windows操作系统存在的更大安全问题是什么

系统知识04

windows操作系统存在的更大安全问题是什么,第1张

windows操作系统存在的更大安全问题是什么
导读:随着计算机及 *** 技术与应用的不断发展,伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。 一、

随着计算机及 *** 技术与应用的不断发展,伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。

一、计算机系统面临的安全问题

目前,广域网应用已遍全省各级地税系统。广域网覆盖地域广、用户多、资源共享程度高,所面临的威胁和攻击是错综复杂的,归结起来主要有物理安全问题、操作系统的安全问题、应用程序安全问题、 *** 协议的安全问题。

(一)物理安全问题 *** 安全首先要保障 *** 上信息的物理安全。物理安全是指在物理介质层次上对存贮和传输的信息安全保护。目前常见的不安全因素(安全威胁或安全风险)包括三大类:

1自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。

2电磁泄漏(如侦听微机操作过程)。

3操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)

4计算机系统机房环境的安全。

(二)操作系统及应用服务的安全问题现在地税系统主流的操作系统为Windows操作系统,该系统存在很多安全隐患。操作系统不安全,也是计算机不安全的重要原因。

(三)黑客的攻击人们几乎每天都可能听到众多的黑客事件:一位年仅15岁的黑客通过计算机 *** 闯入美国五角大楼;黑客将美国司法部主页上的美国司法部的字样改成了美国不公正部;黑客们联手袭击世界上更大的几个热门网站如yahoo、amazon、美国在线,使得他们的服务器不能提供正常的服务;黑客袭击中国的人权网站,将人权网站的主页改成反 *** 的言论;贵州多媒体通信网169网遭到黑客入侵;黑客攻击上海信息港的服务器,窃取数百个用户的账号。这些黑客事件一再提醒人们,必须高度重视计算机 *** 安全问题。黑客攻击的主要 *** 有:口令攻击、 *** 监听、缓冲区溢出、电子邮件攻击和其它攻击 *** 。

(四)面临名目繁多的计算机病毒威胁计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏,使 *** 的效率和作用大大降低,使许多功能无法使用或不敢使用。虽然,至今尚未出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在各个角落,令人堪忧。去年的“冲击波”病毒、今年的“震荡波”病毒,给我们的正常工作已经造成过严重威胁。

二、计算机系统的安全防范工作

计算机系统的安全防范工作是一个极为复杂的系统工程,是人防和技防相结合的综合性工程。首先是各级领导的重视,加强工作责任心和防范意识,自觉执行各项安全制度。在此基础上,再采用一些先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。

(一)加强安全制度的建立和落实

制度建设是安全前提。通过推行标准化管理,克服传统管理中凭借个人的主观意志驱动管理模式。标准化管理更大的好处是它推行的法治而不是人治,不会因为人员的去留而改变,先进的管理 *** 和经验可以得到很好的继承。各单位要根据本单位的实际情况和所采用的技术条件,参照有关的法规、条例和其他单位的版本,制定出切实可行又比较全面的各类安全管理制度。主要有:操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机 *** 安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。并制定以下规范:

1制定计算机系统硬件采购规范。系统使用的关键设备服务器、路由器、交换机、防火墙、ups、关键工作站,都应统一选型和采购,对新产品、新型号必须经过严格测试才能上线,保证各项技术方案的有效贯彻。

2制定操作系统安装规范。包括硬盘分区、网段名,服务器名命名规则、操作

  Win10管理员账户Administrator默认关闭和隐藏,就是防止这个高权限账户被“滥用”影响系统安全。不过我们有时候也需要开启该账户,以便完成一些特殊任务。但我们在登录Windows10管理员账户后却发现,所有Windows应用都无法运行,甚至有部分用户反映连开始菜单都无法打开(个别现象),因为Win10的开始菜单也是Windows应用。 这个问题的原因在于Windows应用开启默认需要用户账户控制UAC支持(在普通账户下关闭UAC通知不影响此类应用运行),而Win10管理员账户不开启UAC。因此在Administrator账户下默认不能运行Windows应用。 不过只要略微修改以下注册表,就可以突破默认的封锁,在管理员账户中正常运行Windows应用。但需要提醒各位,修改注册表操作有风险,为了在误操作后能够及时挽回,请提前使用软媒魔方的清理大师(点击下载)备份注册表。修改 *** 如下:1、在普通账户Cortana搜索栏输入regedit后,选择之一项2、在注册表编辑器中定位到以下位置:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem3、在右边找到FilterAdministratorToken,双击后将数值数据改为“1”后点击“确定” 注意:若没有FilterAdministratorToken,则需要手动在右边空白处点击鼠标右键,新建 DWORD(32位)值,并更名为FilterAdministratorToken,将其数值数据改为1。此时登录到管理员账户,就可以正常打开Windows应用了,如果你之前也无法使用开始菜单,此时应该也可以正常打开。

一、 安全环境

1、身份验证:通过交互式登录和 *** 身份验证等方式验证用户的身份。

2、访问控制:通过给用户和组指定权限来允许或拒绝用户对相应资源的访问。

3、授权管理器:授权管理器提供了基于角色的访问控制。管理员可以基于角色进行授权,来确定某角色所能执行的操作。

4、安全配置管理器:安全配置管理器允许管理员创建、应用和编辑本地计算机、组织单位或域的安全性。

5、软件限制策略:使用软件限制策略,可以标识软件并控制它在本地计算机、组织单位、域或站点中的运行能务。

6、审核安全事件:设置审核策略,以便记录用户和系统的活动。 7、加密文件系统:使用“加密文件系统(EFS)”可以加密保存在磁盘上的文件和目录。 8、公钥基础结构:“公钥基础结构“(通常简写成PKI)是数字证书、证书颁发机构(OA)的系统,用于验证使用公钥加密进行电子交易时所涉及的每一方的有效性。 9、IPSEC:“INTERNET协议安全性(IPSEC)”是一种开放标准的框架结构,通过使用加密安全服务以确保在INTERNET协议(IP) *** 上进行保密而安全的通信。

二、注册表安全

1、Windows Server 2003注册表的结构

2、Windows Server 2003注册表的主要组成

3、修改注册表、备份注册表、恢复注册表

三、安全设置

1、Windows Server 2003 安全配置和管理

1)定制自己的Windows Server 2003(选择合适的版本。只安装必要的组件、合理选择应用程序,暂不接入 *** 、安装补丁、安装防病毒软件,最少组件+最小限权=更大安全) 2)进行必要的安全配置。

除了通过防火墙来加强 *** 安全之外,我们也可以使用一些其它谇来强化系统安全,简介如下。

(1)物理安全

物理安全是指服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全地方。

(2)禁用guest账号

在“计算机管理”的“用户”里停用guest帐号,任何时候都不允许guest帐号登录系统。同时,还要给guest加一个复杂的密码。

(3)限制不必要的用户数量

去掉所有的无用账号,如测试用账号、共享账号、普通部门账号等。这些账号往往是黑客们入侵系统的突破口,系统的账号,黑客们得到合法权限的可能性也就越大。

(4)把系统Administrator账号改名

Windows Server 2003 的Administrator账号是不能被停用的,这意味着别人可以一遍又一遍的尝试这个账号的密码,把Administrator账号改名可以有效地防止这一点。当然,请不要使用Amin之类的名字,这样改了等于没改,昼把它伪装成变通用户。

(5)创建一个陷阱账号

所谓陷阱账号,是指创建一个名为“Aministrator”的本地账户,把它的权限设置成最,并且加上一个超过10位的很复杂的密码。这样可以让那些非法用户秀难获得管理员权限,并且可以借此发现它们的入侵企图。

(6)把共享文件的权限从“Everyone”组改成“授权用户”

“Everyone”在Windws Server 2003中意味着任何有权进入你的 *** 的用户都能够获得这些共享。任何时候都不要把共享文件的用户设置成“everyone”组。

(7)使用安全密码

一个好的密码对于一个 *** 是非常重要的,便这也是最容易被忽略的。一些公司的管理员在创建账号时,往言行一致用公司名、计算机名,或者一些很容易被别人猜到的用户名,然后又把这些账户的密码设置得很简单。这样的账房应该要求用户首次登录时改成复杂的密码,还要注意经常更改密码。

(8)设置屏幕保护密码 这一点虽然很简单,但却是很有必要的。设置屏幕保护密码也是防止内部人员破坏报务器的一个屏障。注意不要使用OpenGBL和一些复杂的屏幕保护程序,这样浪费系统资源,让它黑屏就可以了。还有一点,所有系统用户所使用的机器也是更好加上屏幕保护密码。

(9)使用NTFS格式分区

把服务器的所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。

(10)运行防毒软件 这一点非常重要,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,使“黑客”们使用的那些有名的木马毫无用武之地。同时不要忘了经常升级病毒库。

(11)保障备份盘的安全

一旦系统资料被破坏,备份盘将是你恢复资料的惟一途径,备件完资料后,把备份盘放在安全的地方,千万不要把资料备份在同一台服务器上,那样的话,还不如不备份。

(12)关闭不必要的服务

Windows Server 2003的Termtel Server(终端服务),Js和RAS都可能给你的系统带来安全漏洞。为了能够远程管理服务器,很多机器的终端服务都是打开的,如果你的也开了,要确认你已经正确地配置了终端服务。有些恶意的程序也能以服务的方式悄悄运行。要留意服务器上开启的所有服务,每天检查它们。

(13)关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上应该有所选择。用端口扫描器扫描系统所开放的端口,确定开放的哪些服务是黑客入侵系统的之一步。\System32\Drivers\Etc\Servces文件中有知名端口和服务的对照表可供参考。关闭端口的具体 *** 为:依次打开“网上邻居”/“属性”/“本地连接”/“属性”/“Internet协议(TCP/IP)”/“属性”/“高级”/“选项”/“TCP/IP筛选”/“属性”,打开TCP/IP筛选,添加需要的TCP,UDP协议的端口即可。

(14)打开审核策略

开启安全审核是Windows Server 2003最基本的入侵检测 *** 。当有人尝试对你的系统进行某些方式(如尝试用户密码、改变账户策略、未经许可的文件访问等)入侵的时候,都会被安全审核记录下来。很多管理员在系统被入侵了几个月还不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加。 策略设置

审核系统登录事件 成功,失败 审校账户管理 成功,失败 审核登录事件 成功,失败 审核对象访问 成功

审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败

(15)设定安全记录的访问权限

安全记录在默认情况下是没有保护的,把它设置成只有Adminitrator和系统账户才有权访问。

(16)把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大,但是我们还是应该把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。