對(duì)Windows XP進(jìn)行保護(hù)是一項(xiàng)挑戰(zhàn)，也是一個(gè)復(fù)雜的過程，無法在一個(gè)上網(wǎng)的工作站完成最初安裝后立刻就做好。在教育環(huán)境和公司環(huán)境下，對(duì)Windows XP進(jìn)行保護(hù)的過程比較類似，但是起因有些時(shí)候卻并不相同。對(duì)絕大多數(shù)的企業(yè)環(huán)境來說，要保護(hù)一臺(tái)工作的主要理由一般是為了防止對(duì)系統(tǒng)未經(jīng)授權(quán)的訪問——這包括了對(duì)數(shù)據(jù)的保護(hù)，以及禁止“非官方”的軟件安裝。在某些情況下，由于缺乏相關(guān)的經(jīng)驗(yàn)或者合適的人員，某些公司甚至根本不對(duì)工作站進(jìn)行任何保護(hù)。他們僅僅依賴于Windows XP操作系統(tǒng)自帶的那些“普通”安全防護(hù)措施。

在K-12的環(huán)境中，有一些額外的起因。簡(jiǎn)單的說，教育環(huán)境，特別是K-12，指的是操作系統(tǒng)加上所有本地軟件的總體集合。而網(wǎng)絡(luò)管理員工作中的很大一部分是用于防止意外或故意的篡改。至于工作站上的數(shù)據(jù)安全，對(duì)人們來說則是一個(gè)很罕見的概念，因?yàn)樗械臄?shù)據(jù)幾乎都不是存儲(chǔ)在K-12環(huán)境本地中的。同樣，為了維護(hù)操作的穩(wěn)固性，也是一個(gè)關(guān)鍵性的因素。在K-12環(huán)境中，新手終端用戶一般是那些老師，而熟練終端用戶一般是那些學(xué)生。正確的防護(hù)措施可以為所有組群的終端用戶提供益處。對(duì)老師而言，它提供了一個(gè)堅(jiān)固可靠的接口以及相關(guān)功能。而對(duì)學(xué)生而言，它提供了一個(gè)受到控制的環(huán)境，無法對(duì)之進(jìn)行任何篡改。

在K12環(huán)境中保護(hù)Windows XP——過程
在K12環(huán)境中保護(hù)Windows XP的過程相當(dāng)復(fù)雜。網(wǎng)絡(luò)管理員必須從網(wǎng)絡(luò)管理員、技術(shù)人員、行政管理人員，教師，以及學(xué)生的不同角度來考慮客戶端操作系統(tǒng)。在操作系統(tǒng)中的防護(hù)必須有效、可靠，其保護(hù)的軟件除了一開始就安裝上去的那些，還需要包括后來安裝的部分。要做到這些，必須使用：ACLs（許可）

通過使用Windows XP的“存取控制列表（ACL）”部件，網(wǎng)絡(luò)管理員可以對(duì)工作站上的每一個(gè)驅(qū)動(dòng)器，文件夾，以及文件進(jìn)行保護(hù)。僅有必要的權(quán)限才會(huì)被給予，而必要時(shí)也可以去除相關(guān)的權(quán)限。默認(rèn)情況下，大部分操作系統(tǒng)以及相關(guān)軟件對(duì)終端用戶來說是開放的。使用ACL，對(duì)管理員和系統(tǒng)來說，操作系統(tǒng)所創(chuàng)建的所有文件夾和文件必須被設(shè)置為“完全控制”權(quán)限，而對(duì)用戶則應(yīng)當(dāng)設(shè)置為“讀取和執(zhí)行”。這些權(quán)限必須被繼承到所有的子目錄和文件上（包括Program Files文件夾，以及系統(tǒng)根驅(qū)動(dòng)器上的Windows文件夾）。唯一需要保留一定層次寫權(quán)限的文件夾是：

C:\Temp （未必存在）
C:\Documents and Settings\All Users
C:\Documents and Settings\Default User
C:\WINDOWS\Debug
C:\WINDOWS\Prefetch
C:\WINDOWS\Temp
C:\WINDOWS\system32\MsDtc
C:\WINDOWS\system32\spool

上文的過程需要為了用戶本地組，將全部ACL替換為“讀取和執(zhí)行”權(quán)限（不過，上面所列出的這些目錄除外）

注:在C:\Program Files中的程序顯然需要寫權(quán)限，這樣才能保證它們的正常運(yùn)行。

本地用戶組
一個(gè)ACL僅可以被實(shí)施于一個(gè)用戶或者一個(gè)用戶組上。通常來說，使用本地組來創(chuàng)建權(quán)限總是最好的（你應(yīng)當(dāng)很少有機(jī)會(huì)使用實(shí)際的用戶帳戶）。通過使用本地組來設(shè)置權(quán)限，對(duì)許多網(wǎng)絡(luò)管理員來說是一個(gè)標(biāo)準(zhǔn)操作，也是微軟所推薦的做法。之所以不推薦使用全局組，因?yàn)橐坏┊?dāng)工作站同域控制器失去聯(lián)絡(luò)時(shí)，它的效力就會(huì)消失了。

混合
你應(yīng)當(dāng)僅僅在絕對(duì)必要時(shí)才使用遠(yuǎn)程管理（Terminal服務(wù)）。同樣，你也應(yīng)當(dāng)將其設(shè)置為僅有網(wǎng)絡(luò)管理員才具有存取權(quán)限。你最好應(yīng)當(dāng)禁止一切無必要的系統(tǒng)服務(wù)。這可能是一個(gè)復(fù)雜的任務(wù)，因?yàn)槟惚仨氉屑?xì)進(jìn)行，并執(zhí)行正確的測(cè)試。最后，任何非必要的軟件應(yīng)當(dāng)被從工作站中清除掉。這同樣也包括Windows操作系統(tǒng)本身可以移除的軟件部分。

在K12環(huán)境中保護(hù)Windows XP——排除疑難以及監(jiān)控

審核工具與記錄（Windows XP內(nèi)置）

正確的使用，審核以及記錄，在進(jìn)行排除疑難雜癥時(shí)分外有用，也可以用于確認(rèn)操作系統(tǒng)上的防護(hù)設(shè)置是否正確。

FileMon（文件監(jiān)控）與RegMon（注冊(cè)表監(jiān)控）
Windows XP中內(nèi)置的審核工具功能強(qiáng)大，能提供很高的價(jià)值。而Sysinternals（現(xiàn)在由微軟收購）提供的一套工具，則是這些內(nèi)置工具的絕佳補(bǔ)充。這些工具中的兩個(gè)是FileMon和RegMon，用于監(jiān)控文件系統(tǒng)以及注冊(cè)表活動(dòng)的實(shí)時(shí)圖形工具。通常情況下，它們所能輕易提供的信息，常常是操作系統(tǒng)的審核工具所無法單獨(dú)提供的。在測(cè)試一個(gè)新建/修改后的Windows XP工作站的安裝時(shí)，這些工具分外有用。傳統(tǒng)軟件，或者那些有本地?cái)?shù)據(jù)存儲(chǔ)的軟件，通常會(huì)和上文那些推薦的安全設(shè)置產(chǎn)生沖突。那么這些工具就可以幫助系統(tǒng)管理員迅速的發(fā)現(xiàn)和解決問題。

在K12環(huán)境中保護(hù)Windows XP——結(jié)果
在K12環(huán)境中對(duì)Windows XP進(jìn)行保護(hù)絕不是一個(gè)輕松的任務(wù)。網(wǎng)絡(luò)管理員必須考慮整體的方方方面，以及各種特殊需求。你必須對(duì)使用本地組設(shè)置正確的權(quán)限，并關(guān)閉任何不必要的軟件或功能。你必須使用內(nèi)置的或者第三方的工具，對(duì)所有的修改進(jìn)行測(cè)試。其結(jié)果就是你獲得了一臺(tái)安全可靠，不會(huì)被惡意篡改的Windows XP工作站。