簡述如何加固計算機作業系統

  出於安全,我們可以對計算機作業系統進行加固處理,下面由小編為大家整理了的相關知識,希望對大家有幫助!

  (以windows為例)

  一安裝對策

  在進行系統安裝時,採取以下對策:

  1、在完全安裝、配置好作業系統,給系統全部安裝系統補丁之前,一定不要把機器接入網路。

  2、在安裝作業系統時,建議至少分三個磁碟分割槽。第一個分割槽用來安裝作業系統,第二分割槽存放IIS、FTP和各種應用程式,第三個分割槽存放重要的資料和日誌檔案。

  3、採用NTFS檔案格式安裝作業系統,可以保證檔案的安全,控制使用者對檔案的訪問許可權。

  4、在安裝系統元件時,不要採用預設安裝,刪除系統預設選中的IIS、DHCP、DNS等服務。

  5、在安裝完作業系統後,應先安裝在其上面的應用系統,後安裝系統補丁。安裝系統補丁一定要全面。

  6、做系統的ghost以備還原。

  二執行對策

  在系統執行時,採取以下對策:

  1、關閉系統預設共享

  修改系統登錄檔,禁止預設共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=

  2、刪除多餘的不需要的網路協議,只保留TCP/IP網路通訊協議。

  3、關閉不必要的有安全隱患的服務  使用者可以根據實際情況,關閉如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等有安全隱患的系統服務。

  4、啟用安全策略Gpedit.msc 開啟系統策略編輯器

  1帳號鎖定策略:設定帳號鎖定閥值,3次無效登入後,即鎖定帳號。

  2密碼策略:

  一是密碼必須符合複雜性要求,即密碼中必須包括字母、數字以及特殊字元。

  二是伺服器密碼長度最少設定為8位字元以上。

  3稽核策略:預設安裝時是關閉的。啟用此功能有利於管理員很好的掌握機器的狀態,可以從日誌中瞭解到機器是否在被人蠻力攻擊、非法的檔案訪問等等。建議至少稽核登入事件、帳戶登入事件、帳戶管理三個事件。

  4“使用者權利指派”:在“使用者權利指派”中,將“從遠端系統強制關機”許可權設定為禁止任何人有此許可權,防止黑客從遠端關閉系統。

  5“安全選項”:在“安全選項”中,將“對匿名連線的額外限制”許可權改為“不允許列舉SAM帳號和共享”。也可以通過修改登錄檔中的值來禁止建立空連線,[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空連線列舉SAM帳號和共享資源,造成系統資訊的洩露。

  5、加強對Administrator帳號和Guest帳號的管理監控

  將Administrator帳號重新命名,建立一個陷阱賬號,名為“Administrator”,口令為10位以上的複雜口令,其許可權設定成最低,即:將其設為不隸屬於任何一個組,並通過安全稽核,藉此發現攻擊者的入侵企圖。設定2個管理員用賬號,一個具有一般許可權,用來處理一些日常事物;另一個具有Administrators 許可權,只在需要的時候使用。修改Guest使用者口令為複雜口令,並禁用GUEST使用者帳號。

  6、 關閉檔案和列印共享

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001