第六讲加固wìndows的操作系统安全.ppt

page # 第六讲 加固Windows操作系统安全 彭国军 guojpeng@ 个人电脑的推荐使用策略 用干净的系统安装盘安装操作系统 安装反病毒软件、升级病毒库 安装防火墙软件 修补所有系统补丁 安装必要的应用软件、修补所有补丁 创建低权限账户作为常用账户、做好账户安全设置。 打开系统“审核策略” 使用软件限制策略（路径默认限制所有非C盘的程序运行，需要运行的程序则使用散列规则） 安装SandBoxIE（作为安全上网和可疑程序测试运行之用）、可再安装FireFox或者Opera类浏览器 将桌面、我的文档等默认存储位置转移到D盘。 CTOD安悦系统目录转移软件 安装还原类软件（如影子系统），通常情况下采用“单一影子模式” 常用工具软件存储在非系统盘（建议创建必威体育官网网址盘），并使用MD5校验软件做好各工具软件的散列值存储。 做好C盘的GHOST备份，并记录下MD5值。 以后在觉得系统出现故障时，进行GHOST还原。 1.用干净的系统安装盘安装操作系统 哪些安装方式和版本？ 原版 深度 电脑公司 番茄花园 … 兼容性：原版深度电脑公司番茄花园？ 2.反病毒软件与防火墙 反病毒软件 境内 瑞星、金山毒霸、江民、安天、东方微点… 360安全卫士 境外 AVP 、BitDefender、Command Software Systems 、Eset Software 、Frisk Software 、F-Secure 、InDefense 、McAfee/Network Associates 、NetZ Computing 、Norman Virus Control 、Panda Software 、Proland Software 、Pelican Software SafeTnet 、Sophos 、Stiller Research 、Symantec、Trend Micro 、Antivir、Dr.web… 反病毒软件与防火墙软件 防火墙 Agnitum Outpost Firewall ZoneAarm Firewall Norman Personal Firewall TinyFirewall Jetico Personal Firewall Comodo Firewall 瑞星个人防火墙 江民防火墙 天网防火墙 卡巴斯基全功能安全软件 诺顿Norton Internet Security … 3.修补所有系统补丁 360安全卫士 4.账户安全 创建低权限账户 Net user username userpass /add Net localgroup guests username /add Net localgroup users username /del 帐户口令 为系统登陆设置复杂的口令 让U盘成为自己的开机锁 利用软件NaturalLoginPro，就可以把普通的U盘变成系统登陆验证盘。 登陆时必须插入U盘 拔掉U盘之后，系统自动锁定 隐蔽的空口令帐户：在重新安装系统之后，给没有显示出来的administrator帐户设置密码。 使用安全的密码 密码长度和组合满足复杂性要求 不使用生日，手机号等等容易被人猜测的相关密码。 不要直接使用从字典中可以找到的单词作为密码。 如果发现有什么安全隐患，及时更改自己的密码 为屏幕保护设置密码 个人的多个帐号不要使用相同的密码 账号锁定策略 5.帐户数量及权限 限制不必要的用户数量 给用户仅分配最小权限 可以满足工作需要的最低权限即可。 低权限用户无法上网？ 图形化界面操作 账号陷阱 把系统administrator帐号改名，比如改成：guest。 把系统账号guest改名，譬如，改为administrator，然后设置一个足够复杂的密码。 不允许空白密码用户远程登录。 6.打开系统“审核策略” 开启安全审核是Windows最基本的入侵检测方法。 当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。 打开安全审核之后，相关事件可以通过“事件查看器”查看。 设定安全记录的访问权限 安全记录在默认情况下没有保护，把他设置成只有Administrator和系统帐户才有权访问。 7.软件限制策略 在“开始-运行”输入“gpedit.msc” 或者在“控制面板”-“管理工具”-“本地安全策略”-“软件限制策略” 8.如何安全浏览网页 安装SandBoxIE（作为安全上网和可疑程序测试运行之用） 可再安装FireFox或者Opera类浏览器，并使用SandBoxIE打开 安全浏览器 360安全浏览器 用SandBoxIE打开可疑文件 9.将桌面、我的文档等默认存储位置转移到