在K-12网络保护Windows XP

　　对Windows XP进行保护是一项挑战，也是一个复杂的过程，无法在一个上网的工作站完成最初安装后立刻就做好。在教育环境和公司环境下，对Windows XP进行保护的过程比较类似，但是起因有些时候却并不相同。对绝大多数的企业环境来说，要保护一台工作的主要理由一般是为了防止对系统未经授权的访问——这包括了对数据的保护，以及禁止“非官方”的软件安装。在某些情况下，由于缺乏相关的经验或者合适的人员，某些公司甚至根本不对工作站进行任何保护。他们仅仅依赖于Windows XP操作系统自带的那些“普通”安全防护措施。

　　在K-12的环境中，有一些额外的起因。简单的说，教育环境，特别是K-12，指的是操作系统加上所有本地软件的总体集合。而网络管理员工作中的很大一部分是用于防止意外或故意的篡改。至于工作站上的数据安全，对人们来说则是一个很罕见的概念，因为所有的数据几乎都不是存储在K-12环境本地中的。同样，为了维护操作的稳固性，也是一个关键性的因素。在K-12环境中，新手终端用户一般是那些老师，而熟练终端用户一般是那些学生。正确的防护措施可以为所有组群的终端用户提供益处。对老师而言，它提供了一个坚固可靠的接口以及相关功能。而对学生而言，它提供了一个受到控制的环境，无法对之进行任何篡改。

　　在K12环境中保护Windows XP——过程

　　在K12环境中保护Windows XP的过程相当复杂。网络管理员必须从网络管理员、技术人员、行政管理人员，教师，以及学生的不同角度来考虑客户端操作系统。在操作系统中的防护必须有效、可靠，其保护的软件除了一开始就安装上去的那些，还需要包括后来安装的部分。要做到这些，必须使用：ACLs（许可）

　　通过使用Windows XP的“存取控制列表（ACL）”部件，网络管理员可以对工作站上的每一个驱动器，文件夹，以及文件进行保护。仅有必要的权限才会被给予，而必要时也可以去除相关的权限。默认情况下，大部分操作系统以及相关软件对终端用户来说是开放的。使用ACL，对管理员和系统来说，操作系统所创建的所有文件夹和文件必须被设置为“完全控制”权限，而对用户则应当设置为“读取和执行”。这些权限必须被继承到所有的子目录和文件上（包括Program Files文件夹，以及系统根驱动器上的Windows文件夹）。唯一需要保留一定层次写权限的文件夹是：

　　C:\Temp （未必存在）

　　C:\Documents and Settings\All Users

　　C:\Documents and Settings\Default User

　　C:\WINDOWS\Debug

　　C:\WINDOWS\Prefetch

　　C:\WINDOWS\Temp

　　C:\WINDOWS\system32\MsDtc

　　C:\WINDOWS\system32\spool

　　上文的过程需要为了用户本地组，将全部ACL替换为“读取和执行”权限（不过，上面所列出的这些目录除外）

　　注:在C:\Program Files中的程序显然需要写权限，这样才能保证它们的正常运行。

　　本地用户组

　　一个ACL仅可以被实施于一个用户或者一个用户组上。通常来说，使用本地组来创建权限总是最好的（你应当很少有机会使用实际的用户帐户）。通过使用本地组来设置权限，对许多网络管理员来说是一个标准操作，也是微软所推荐的做法。之所以不推荐使用全局组，因为一旦当工作站同域控制器失去联络时，它的效力就会消失了。

　　混合

　　你应当仅仅在绝对必要时才使用远程管理（Terminal服务）。同样，你也应当将其设置为仅有网络管理员才具有存取权限。你最好应当禁止一切无必要的系统服务。这可能是一个复杂的任务，因为你必须仔细进行，并执行正确的测试。最后，任何非必要的软件应当被从工作站中清除掉。这同样也包括Windows操作系统本身可以移除的软件部分。

　　在K12环境中保护Windows XP——排除疑难以及监控

　　审核工具与记录（Windows XP内置）

　　正确的使用，审核以及记录，在进行排除疑难杂症时分外有用，也可以用于确认操作系统上的防护设置是否正确。

　　FileMon（文件监控）与RegMon（注册表监控）

　　Windows XP中内置的审核工具功能强大，能提供很高的价值。而Sysinternals（现在由微软收购）提供的一套工具，则是这些内置工具的绝佳补充。这些工具中的两个是FileMon和RegMon，用于监控文件系统以及注册表活动的实时图形工具。通常情况下，它们所能轻易提供的信息，常常是操作系统的审核工具所无法单独提供的。在测试一个新建/修改后的Windows XP工作站的安装时，这些工具分外有用。传统软件，或者那些有本地数据存储的软件，通常会和上文那些推荐的安全设置产生冲突。那么这些工具就可以帮助系统管理员迅速的发现和解决问题。

　　在K12环境中保护Windows XP——结果

　　在K12环境中对Windows XP进行保护绝不是一个轻松的任务。网络管理员必须考虑整体的方方方面，以及各种特殊需求。你必须对使用本地组设置正确的权限，并关闭任何不必要的软件或功能。你必须使用内置的或者第三方的工具，对所有的修改进行测试。其结果就是你获得了一台安全可靠，不会被恶意篡改的Windows XP工作站。