簡述如何加固計算機作業系統

　　出於安全，我們可以對計算機作業系統進行加固處理，下面由小編為大家整理了的相關知識，希望對大家有幫助!

　　（以windows為例）

　　一安裝對策

　　在進行系統安裝時，採取以下對策：

　　1、在完全安裝、配置好作業系統，給系統全部安裝系統補丁之前，一定不要把機器接入網路。

　　2、在安裝作業系統時，建議至少分三個磁碟分割槽。第一個分割槽用來安裝作業系統，第二分割槽存放IIS、FTP和各種應用程式，第三個分割槽存放重要的資料和日誌檔案。

　　3、採用NTFS檔案格式安裝作業系統，可以保證檔案的安全，控制使用者對檔案的訪問許可權。

　　4、在安裝系統元件時，不要採用預設安裝，刪除系統預設選中的IIS、DHCP、DNS等服務。

　　5、在安裝完作業系統後，應先安裝在其上面的應用系統，後安裝系統補丁。安裝系統補丁一定要全面。

　　6、做系統的ghost以備還原。

　　二執行對策

　　在系統執行時，採取以下對策：

　　1、關閉系統預設共享

　　修改系統登錄檔，禁止預設共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=

　　2、刪除多餘的不需要的網路協議，只保留TCP/IP網路通訊協議。

　　3、關閉不必要的有安全隱患的服務　　使用者可以根據實際情況，關閉如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP　Services 、Terminal Services 等有安全隱患的系統服務。

　　4、啟用安全策略Gpedit.msc 開啟系統策略編輯器

　　1帳號鎖定策略：設定帳號鎖定閥值，3次無效登入後，即鎖定帳號。

　　2密碼策略：

　　一是密碼必須符合複雜性要求，即密碼中必須包括字母、數字以及特殊字元。

　　二是伺服器密碼長度最少設定為8位字元以上。

　　3稽核策略：預設安裝時是關閉的。啟用此功能有利於管理員很好的掌握機器的狀態，可以從日誌中瞭解到機器是否在被人蠻力攻擊、非法的檔案訪問等等。建議至少稽核登入事件、帳戶登入事件、帳戶管理三個事件。

　　4“使用者權利指派”：在“使用者權利指派”中，將“從遠端系統強制關機”許可權設定為禁止任何人有此許可權，防止黑客從遠端關閉系統。

　　5“安全選項”：在“安全選項”中，將“對匿名連線的額外限制”許可權改為“不允許列舉SAM帳號和共享”。也可以通過修改登錄檔中的值來禁止建立空連線，[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空連線列舉SAM帳號和共享資源，造成系統資訊的洩露。

　　5、加強對Administrator帳號和Guest帳號的管理監控

　　將Administrator帳號重新命名，建立一個陷阱賬號，名為“Administrator”，口令為10位以上的複雜口令，其許可權設定成最低，即：將其設為不隸屬於任何一個組，並通過安全稽核，藉此發現攻擊者的入侵企圖。設定2個管理員用賬號，一個具有一般許可權，用來處理一些日常事物;另一個具有Administrators 許可權，只在需要的時候使用。修改Guest使用者口令為複雜口令，並禁用GUEST使用者帳號。

　　6、 關閉檔案和列印共享

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001