操作系統(tǒng)平安主要內(nèi)容了解操作系統(tǒng)平安的含義和平安控制方法掌握Windows平安配置方法.操作系統(tǒng)的平安問題以OS為手段，獲得授權以外或未授權的信息它危害計算機及信息系統(tǒng)的保密性和完整性。如特洛伊木馬以OS為手段，阻礙計算機系統(tǒng)的正常運行或用戶的正常使用它危害了計算機系統(tǒng)的可用性。如計算機病毒以OS為對象，破壞系統(tǒng)完成指定的功能如計算機病毒和人為因素等以OS為手段，破壞計算機及其信息系統(tǒng)的平安，竊聽或非法獲取系統(tǒng)的信息以軟件為對象，非法復制和非法使用.操作系統(tǒng)的平安控制隔離控制訪問控制.隔離控制物理隔離如把不同的打印機分配給不同平安級別的用戶時間隔離如讓不同平安級別的程序在不同的時間使用計算機加密隔離如將文件、數(shù)據(jù)加密，使無關人員無法閱讀邏輯隔離如把各個進程的運行限于一定的空間，使得相互之間感覺不到其他進程或程序的存在.訪問控制訪問控制是指主體依據(jù)某些控制策略對客體進行的不同授權訪問訪問控制的根本任務是防止非法用戶對資源的訪問以及合法用戶對資源的非法使用訪問控制包括三個要素，即主體、客體和控制策略.訪問控制主體指一個提出請求或要求的實體客體是接受其他實體訪問的被動實體控制策略是主體對客體的訪問規(guī)那么集.訪問控制面向主體的訪問控制面向客體的訪問控制訪問控制矩陣.目前操作系統(tǒng)的種類目前操作系統(tǒng)大致分為以下幾類：Windows系列包括Windows98、windows2000、WindowsXP等開放源代碼操作系統(tǒng)系列包括Unix和Linux兩大局部其中Unix比較有名的版本包括FreeBSD、Solaris等Linux比較有名有RedHatLinuxMacintosh操作系統(tǒng)主要用于蘋果計算機等.系統(tǒng)漏洞計算機系統(tǒng)中的漏洞是指任意的允許非法用戶未經(jīng)授權就獲得訪問或提高訪問層次的硬件或者軟件特征。這種特征是一種廣義的，漏洞可以是任何東西沒有絕對平安的事物，無論硬件平臺還是軟件平臺都存在漏洞，換句話說，漏洞就是某種形式的脆弱性。另一些漏洞可能由系統(tǒng)管理員(Administrator)引起.CVE簡介CVE(CommonVulnerabilitiesandExposures)公共漏洞和暴露CVE就好似是一個字典表，為廣泛認同的信息平安漏洞或者已經(jīng)暴露出來的弱點給出一個公共的名稱.CVE的特點為每個漏洞和暴露確定了唯一的名稱給每個漏洞和暴露一個標準化的描述不是一個數(shù)據(jù)庫，而是一個字典任何完全迥異的漏洞庫都可以用同一個語言表述由于語言統(tǒng)一，可以使得平安事件報告更好地被理解，實現(xiàn)更好的協(xié)同工作可以成為評價相應工具和數(shù)據(jù)庫的基準非常容易從互聯(lián)網(wǎng)查詢和下載，://通過“CVE編輯部〞表達業(yè)界的認可.Windows平安設置文件系統(tǒng)設為NTFS格式比設為FAT32更平安NTFS文件系統(tǒng)可以實現(xiàn)對文件、文件夾設置訪問權限控制，可以對文件加密等操作，將FAT32格式轉(zhuǎn)換成NTFS的命令為：C:>CONVERTC:/FS:NTFS使用不同的分區(qū)應用程序和操作系統(tǒng)不要安裝在同一個分區(qū)，以免因為應用程序的漏洞導致系統(tǒng)文件的泄漏和損壞.Windows平安設置組件的定制只安裝需要的組件啟動設置限制用戶數(shù)量禁止他人ping你的電腦具體步驟為通過控制臺添加“IP平安策略〞，再按要求進行設置.Windows平安設置創(chuàng)立兩個管理員用賬號創(chuàng)立一個一般權限用戶用來收信以及處理一些日常事物，另一個擁有Administrators權限的用戶只在需要的時候使用把系統(tǒng)Administrator賬號改名創(chuàng)立一個陷阱用戶即創(chuàng)立一個名為“Administrator〞的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼.Windows平安設置目錄和文件權限將其權限從Everyone組改成授權用戶關閉默認共享禁止C$、D$一類的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer設為0禁止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks設為0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous設為1.Windows平安設置禁用Guest賬號密碼平安設置使用平安密碼設置屏幕保護密碼開啟密碼策略.Windows平安設置關閉不必要的端口只開放效勞需要的端口與協(xié)議。

具體方法為：按順序翻開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet

協(xié)議→屬性→高級→選項→TCP/IP篩選→屬性〞，添加需要的TCP、UDP端口以及IP協(xié)議即可。.Windows平安設置關閉不必要的效勞只留必需的效勞，多一些效勞可能會給系統(tǒng)帶來更多的平安因素。如Windows

2000的Terminal

Services〔終端效勞〕、IIS〔web效勞〕、RAS〔遠程訪問效勞〕等，這些都有產(chǎn)生漏洞的可能禁止建立空連接默認情況下，任何用戶可通過空連接連上效勞器，枚舉賬號并猜測密碼?？者B接用的端口是139，通過空連接，可以復制文件到遠端效勞器，方案執(zhí)行一個任務，這就是一個漏洞?？梢酝ㄟ^以下兩種方法禁止建立空連接：

〔1〕

修改注冊表中Local_Machine\System\

CurrentControlSet\Control\LSA-RestrictAnonymous

的值為1。

〔2〕

修改Windows

2000的本地平安策略。設置“本地平安策略→本地策略→選項〞中的RestrictAnonymous〔匿名連接的額外限制〕為“不容許枚舉SAM賬號和共享〞。.Windows平安設置利用網(wǎng)絡監(jiān)聽器啟用平安日志審核Windows缺省是關閉平安審核操作步驟為“控制面板〞—“管理工具〞—“本地平安策略〞—“本地策略〞.Windows平安設置平安日志文件：%systemroot%\system32\config\SecEvent.EVT系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT.Windows平安設置Internet信息效勞FTP日志默認位置：%systemroot%\system32\logfiles\msftpsvc1\Internet信息效勞WWW日志默認位置：%systemroot%\system32\logfiles\w3svc1\Scheduler效勞器日志默認位置：%systemroot%\schedlgu.txt.Windows平安設置保護注冊表的平安物理平安.Windows平安設置防止ICMP重定向報文的攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentC