XPE漏洞修复文档
一、系统漏洞的修复方法和补丁
1.Microsoft远程桌面
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
RDP远程代码执行漏洞(MS12-020)
“开始→运行”,输入“regedit”,打开注册表,进入注册表以下路径:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],找到PortNamber值,其默认值是3389,修改成所希望的端口即可,例如6900。再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],将PortNumber的值(默认是3389)修改成端口6900。修改完毕,执行commit脚本,重启设备,之后远程登录的时候使用端口6900就可以了。
2.Microsoft Windows SMB NT Trans2请求远程拒绝服务及代码执行漏洞(MS09-001)【原理扫描】
3.服务器消息块中的漏洞可能允许远程执行代码 (896422)
4.关闭xp系统不需要的服务
注意:只要开头带*的服务不要关闭
alerter—错误警报器(需要关闭的)
5. 设置IP 安全策略
如.禁止访问135端口
ipseccmd -w reg -p "clxp safe policy" -r "block tcp/135" -f *=0:135:tcp -n BLOCK -x
ipseccmd -w reg -p "clxp safe policy" -r "block tcp/135" -f *=0:137:udp -n BLOCK -x
注:如果没有ipseccmd命令,可单独下载ipseccmd.exe,放置system32下
application layer gateway service—给与第三者网络共享/防火墙支持的服务,有些防火墙/网络共享软件需要。(例如瑞星某版本的防火墙等)
application management—用于设定,发布和删除软件服务。 (不要改动它)
automatic updates—windows自动更新 (不管是哪个版本的XP,都关!)
background intelligent transfer service—这个服务原是用来实现http1.1服务器之间的信息传输,微软称支持windows更新时断点续传。(就是V6的断点续传,既然不需要更新,也关闭这个服务)
clipbook—用与局域网电脑来共享/粘贴/剪贴的内容。(等于打开你电脑中的后门让黑客和木马程序攻击你的电脑,关闭这个服务)
com+Event system—一些 COM+软件需要,检查你的 c:/programfiles/ComPlus Applications 目录,没东西可以把这个服务关闭。(先看看那个文件夹再决定)
COM+Event system application—同上
Computer browser—用来浏览局域网电脑的服务,关了也不影响浏览!(就是提前把局域网中的信息cache,没什么用处,有点消耗内存)
cryptographic services—windows更新时用来确认Windows文件指纹的。 (不需要更新,关闭这个服务)
DHCP client—静态IP者需要(xDSL等) (开着吧,省的出现莫名其妙的问题)
Distributed link tracking client—用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。 (一般用户用不到,可以关闭;但企业用户就别关闭了)
Distributed Transaction coordinator—无聊的东西。 (还是一般用户用不到)
DNS Client—DNS解析服务。 (还是一般用户用不到;前提是你的电脑不做域名解析)
Error reporting service—错误报告器,把windows中错误报告给微软。(关闭这个服务)
*Event Log—系统日志纪录服务,很有用于查找系统毛病。(不能关闭)
Fast user switching compatibility—多用户快速切换服务。 (就是开始-注消中的用户切换,不能关闭)
help and support—帮助。(就是开始-帮助;一般可以设置为手动)
Human inte***ce device access—支持“弱智“电脑配件的。比如键盘上调音量的按钮等等(不要关闭)
IMAPI CD-burning COM service—XP刻牒服务,用软件就不用了。(关了吧,没什么用处)
Indexing service—影响xp运行速度(需要关闭)
Internet Connection Firewall(ICF)—xp防火墙。(需要关闭)
IPSEC Services—一般用户用不到的。(需要关闭)
Logical Disk manager—磁盘管理服务。(不能关闭)
Logical Disk manager administrative service— (不能关闭)
messenger—不是msn;不想被骚扰的话就关。(需要关闭)
MS software shadow copy provider—无用。(是备份用的,我看什么用都没)
Net Logon—登陆Domain Controller用的。(需要关闭 )
Netmeeting remote desktop sharing—用Netmeeting实现电脑共享。(需要关闭)
Network Connections—上网/局域网要用的东东!(不能关闭)
Network DDE—和Clipbook一起用的。(不能关闭)
Network DDE DSDM—同上(不能关闭)
Network Location Awareness—如有网络共享或ICS/ICF可能需要。(服务器端使用)
NT LM Security support provider—telnet服务用的东东。(需要关闭)
NVIDIA Driver helper service—nvidia显卡帮助。(需要关闭)
PDEngine—perfectdisk引擎 (不能关闭)
PDScheduler—perfectdisk
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
服务 (不能关闭)
Performance logs and alerts—记录机器运行状况而且定时写入日志或发警告。(不能关闭)
*Plug and Play—自动查测新装硬件,(不能关闭)
Portable media serial number—绝对无用。(需要关闭)
Print Spooler—打印机用(需要关闭)
Protected Storage—储存本地密码和网上服务密码的服务。(常见的有:填表时的“自动完成”功能 )
Remote access auto connection manager—宽带者/网络共享可能需要!(需要关闭)
Remote desktop help session manager—远程帮助服务。(安全与方便,你选择哪个?)
*Remote Procedure Call (RPC)—系统核心服务!(不能关闭)
Remote Procedure Call LOCATOR—管理RPC数据库服务。(不能关闭)
remote registry—远程注册表运行/修改。(需要关闭)
removable storage—一般情况下不用。(磁带备份用的)
routing and remote access—不知者关!(需要关闭)
secondary logon—给与administrator以外的用户分配指定操作权。(默认吧)
security accounts manager—像Protected Storage,IIS Admin 才需要。(不要修改)
server—局域网文件/打印共享需要的。(网络打印机的必须品)
shell hardware detection—给有些配置自动启动。(例如:U盘和有些cd驱动器等)
smart card—关。(你还用N年前的设备么?)
smart card helper—关! (同上)
SSDP Discovery service—没有什么硬件利用这个服务。(XP的核心果然是N年的产物)
system event notification—记录用户登录/注销/重起/关机信息。(需要关闭)
system restore service—系统还原服务,消耗资源和内存(自己决定)
task scheduler—windows计划服务。(需要关闭)
TCP/IP NetBIOS helper—如果你的网络不用Netbios 或WINS。(你只有在安全与方便中选择)
Telephony—拨号服务。(如果你的宽带不用拨号,那么关了它)
telnet—大漏洞。(系统的大漏洞,这跟dos中telnet命令没关系)
terminal services—实现远程登录本地电脑,快速用户切换和远程桌面功能需要。(不能关闭)
themes—支持xp华丽的外表。(不能关闭)
uninterruptible power supply—支持UPS的服务。(需要关闭)
universal plug and play device host—同SSDP Discovery Service ,没用。(需要关闭的)
upload manager—用来实现服务器和客户端输送文件的服务。(简单文件传输不需要这个)
volume shadow copy—同MS Software Shadow Copy provider一样无用。(需要关闭)
webclient—可能和以后的.net技术有联系。(安全起见,需要关闭)
*Windows Audio—控制着你听到的声音。(关了就没声音了)
Windows Installer—windows的MSI安装服务。(建议设成手动)
windows image acquisition (WIA)—有些数码相机和扫描器用的。(不能关闭)