簡(jiǎn)述如何加固計(jì)算機(jī)操作系統(tǒng)

　　出于安全，我們可以對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行加固處理，下面由學(xué)習(xí)啦小編為大家整理了簡(jiǎn)述如何加固計(jì)算機(jī)操作系統(tǒng)的相關(guān)知識(shí)，希望對(duì)大家有幫助!

　　簡(jiǎn)述如何加固計(jì)算機(jī)操作系統(tǒng)（以windows為例）

　　(一)安裝對(duì)策

　　在進(jìn)行系統(tǒng)安裝時(shí)，采取以下對(duì)策：

　　1、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一定不要把機(jī)器接入網(wǎng)絡(luò)。

　　2、在安裝操作系統(tǒng)時(shí)，建議至少分三個(gè)磁盤(pán)分區(qū)。第一個(gè)分區(qū)用來(lái)安裝操作系統(tǒng)，第二分區(qū)存放IIS、FTP和各種應(yīng)用程序，第三個(gè)分區(qū)存放重要的數(shù)據(jù)和日志文件。

　　3、采用NTFS文件格式安裝操作系統(tǒng)，可以保證文件的安全，控制用戶(hù)對(duì)文件的訪(fǎng)問(wèn)權(quán)限。

　　4、在安裝系統(tǒng)組件時(shí)，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS、DHCP、DNS等服務(wù)。

　　5、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng)補(bǔ)丁一定要全面。

　　6、做系統(tǒng)的ghost以備還原。

　　(二)運(yùn)行對(duì)策

　　在系統(tǒng)運(yùn)行時(shí)，采取以下對(duì)策：

　　1、關(guān)閉系統(tǒng)默認(rèn)共享

　　修改系統(tǒng)注冊(cè)表，禁止默認(rèn)共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。

　　2、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議，只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議。

　　3、關(guān)閉不必要的有安全隱患的服務(wù)　　用戶(hù)可以根據(jù)實(shí)際情況，關(guān)閉如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP　Services 、Terminal Services 等有安全隱患的系統(tǒng)服務(wù)。

　　4、啟用安全策略(Gpedit.msc 打開(kāi)系統(tǒng)策略編輯器)

　　(1)帳號(hào)鎖定策略：設(shè)置帳號(hào)鎖定閥值，3次無(wú)效登錄后，即鎖定帳號(hào)。

　　(2)密碼策略：

　　一是密碼必須符合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特殊字符。

　　二是服務(wù)器密碼長(zhǎng)度最少設(shè)置為8位字符以上。

　　(3)審核策略：默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪(fǎng)問(wèn)等等。建議至少審核登錄事件、帳戶(hù)登錄事件、帳戶(hù)管理三個(gè)事件。

　　(4)“用戶(hù)權(quán)利指派”：在“用戶(hù)權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置為禁止任何人有此權(quán)限，防止黑客從遠(yuǎn)程關(guān)閉系統(tǒng)。

　　(5)“安全選項(xiàng)”：在“安全選項(xiàng)”中，將“對(duì)匿名連接的額外限制”權(quán)限改為“不允許枚舉SAM帳號(hào)和共享”。也可以通過(guò)修改注冊(cè)表中的值來(lái)禁止建立空連接，[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空連接枚舉SAM帳號(hào)和共享資源，造成系統(tǒng)信息的泄露。

　　5、加強(qiáng)對(duì)Administrator帳號(hào)和Guest帳號(hào)的管理監(jiān)控

　　將Administrator帳號(hào)重新命名，創(chuàng)建一個(gè)陷阱賬號(hào)，名為“Administrator”，口令為10位以上的復(fù)雜口令，其權(quán)限設(shè)置成最低，即：將其設(shè)為不隸屬于任何一個(gè)組，并通過(guò)安全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置2個(gè)管理員用賬號(hào)，一個(gè)具有一般權(quán)限，用來(lái)處理一些日常事物;另一個(gè)具有Administrators 權(quán)限，只在需要的時(shí)候使用。修改Guest用戶(hù)口令為復(fù)雜口令，并禁用GUEST用戶(hù)帳號(hào)。

　　6、 關(guān)閉文件和打印共享

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001