windows操作系統(tǒng)安全加固過程中重難點(diǎn)？

安全加固重點(diǎn)就是切斷連接網(wǎng)絡(luò)連接，封鎖USB端口，主機(jī)上鎖。鍵盤、鼠標(biāo)用PS2圓口，不要用USB接口。

創(chuàng)新互聯(lián)，專注為中小企業(yè)提供官網(wǎng)建設(shè)、營銷型網(wǎng)站制作、響應(yīng)式網(wǎng)站建設(shè)、展示型成都做網(wǎng)站、成都網(wǎng)站制作等服務(wù)，幫助中小企業(yè)通過網(wǎng)站體現(xiàn)價值、有效益。幫助企業(yè)快速建站、解決網(wǎng)站建設(shè)與網(wǎng)站營銷推廣問題。

使用的Windows操作系統(tǒng)，運(yùn)行在虛擬機(jī)中，且被影子衛(wèi)士等出于保護(hù)之下。

操作房間設(shè)置視頻監(jiān)控、加裝門禁系統(tǒng)。

機(jī)房電源采用隔離電源，必要時，加裝電磁波干擾器。

windowsxp系統(tǒng)的安全加固措施有哪些

1、安全補(bǔ)丁檢測及安裝。

2、系統(tǒng)用戶口令及策略加固。

3、日志及審核策略配置。

4、安全選項(xiàng)策略配置。

5、用戶權(quán)限策略配置。

6、注冊表安全設(shè)置。

7、網(wǎng)絡(luò)與服務(wù)加固。

8、其他安全性加固。

比如安全防火墻和防病毒軟件。

怎樣對windows操作系統(tǒng)進(jìn)行安全加固

1、修改默認(rèn)管理員賬戶名稱

Windows操作系統(tǒng)安裝后，默認(rèn)的管理員用戶名為administrator，只要知道了該賬戶的密碼，就掌握了系統(tǒng)的最高權(quán)限，若將管理員名稱更改為其它名稱，對于入侵者而言，是提高了入侵的門檻。

2、密碼管理

密碼長度和強(qiáng)度，建議設(shè)置密碼長度為10位以上，并采用大寫字母、小寫字母、數(shù)字、字符混合使用；定期修改密碼，比如1個月、3個月修改一次，根據(jù)系統(tǒng)的重要性確定修改周期。

3、禁用不需要的用戶

禁用GUEST賬號，以及其它不使用的賬號。

4、安裝殺毒軟件

安裝殺毒軟件后，定期、及時更新到最新版本的特征庫，提升系統(tǒng)反病毒的能力。

5、開啟防火墻

在控制面板中，開啟windows防火墻，可根據(jù)具體情況，進(jìn)行細(xì)化配置。

6、禁用不用的服務(wù)

在控制面板的管理工具中，找到服務(wù)，打開后，根據(jù)具體情況，禁用不必要的服務(wù)。

7、關(guān)閉常被入侵的端口

開放的端口是網(wǎng)絡(luò)入侵的部分前提，所以關(guān)閉常被入侵的端口，減少安全事件發(fā)生的概率。

8、關(guān)閉默認(rèn)共享

刪除盤符下的默認(rèn)共享，比如要刪除C盤下的默認(rèn)共享，在命令提示符中，輸入以下命令：net share c$/del。

9、配置安全策略

在控制面板的管理工具中，打開本地安全策略。在本地策略的安全選項(xiàng)中，進(jìn)行安全配置。

可通過什么方法對windows操作系統(tǒng)進(jìn)行加固

一）安裝對策

在進(jìn)行系統(tǒng)安裝時，采取以下對策：

1、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一定不要把機(jī)器接入網(wǎng)絡(luò)。

2、在安裝操作系統(tǒng)時，建議至少分三個磁盤分區(qū)。第一個分區(qū)用來安裝操作系統(tǒng)，第二分區(qū)存放IIS、FTP和各種應(yīng)用程序，第三個分區(qū)存放重要的數(shù)據(jù)和日志文件。

3、采用NTFS文件格式安裝操作系統(tǒng)，可以保證文件的安全，控制用戶對文件的訪問權(quán)限。

4、在安裝系統(tǒng)組件時，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS、DHCP、DNS等服務(wù)。

5、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng)補(bǔ)丁一定要全面。

6、做系統(tǒng)的ghost以備還原。

（二）運(yùn)行對策

在系統(tǒng)運(yùn)行時，采取以下對策：

1、關(guān)閉系統(tǒng)默認(rèn)共享

修改系統(tǒng)注冊表，禁止默認(rèn)共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。

2、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議，只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議。

3、關(guān)閉不必要的有安全隱患的服務(wù)

用戶可以根據(jù)實(shí)際情況，關(guān)閉如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP　Services 、Terminal Services 等有安全隱患的系統(tǒng)服務(wù)?！?/p>

4、啟用安全策略（Gpedit.msc 打開系統(tǒng)策略編輯器）

（1）帳號鎖定策略。設(shè)置帳號鎖定閥值，3次無效登錄后，即鎖定帳號。

（2）密碼策略。

一是密碼必須符合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特殊字符。

二是服務(wù)器密碼長度最少設(shè)置為8位字符以上。

（3）審核策略。默認(rèn)安裝時是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問等等。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個事件。

（4）“用戶權(quán)利指派”。在“用戶權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置為禁止任何人有此權(quán)限，防止黑客從遠(yuǎn)程關(guān)閉系統(tǒng)。

（5）“安全選項(xiàng)”。在“安全選項(xiàng)”中，將“對匿名連接的額外限制”權(quán)限改為“不允許枚舉SAM帳號和共享”。也可以通過修改注冊表中的值來禁止建立空連接，[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空連接枚舉SAM帳號和共享資源，造成系統(tǒng)信息的泄露。

5、加強(qiáng)對Administrator帳號和Guest帳號的管理監(jiān)控

將Administrator帳號重新命名，創(chuàng)建一個陷阱賬號，名為“Administrator”，口令為10位以上的復(fù)雜口令，其權(quán)限設(shè)置成最低，即：將其設(shè)為不隸屬于任何一個組，并通過安全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置2個管理員用賬號，一個具有一般權(quán)限，用來處理一些日常事物；另一個具有Administrators 權(quán)限，只在需要的時候使用。修改Guest用戶口令為復(fù)雜口令，并禁用GUEST用戶帳號。

6、 關(guān)閉文件和打印共享

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001