操作系统安全配置.pptx

第二章 操作系统安全配置2025/5/17计算机网络安全1操作系统的概念、安全评估01操作系统的密码安全设置03操作系统的服务安全设置05操作系统的用户安全设置02操作系统的系统安全设置04操作系统的注册表安全设置06本章要点：

2.1操作系统的安全问题2025/5/17计算机网络安全2操作系统的安全是整个计算机系统安全的基础。操作系统安全防护研究，通常包括：提供什么样的安全功能和安全服务采取什么样的配置措施如何保证服务得到安全配置0102

2.1.1操作系统安全概念2025/5/17计算机网络安全3一般意义上，如果说一个计算机系统是安全的，那么是指该系统能够控制外部对系统信息的访问。也就是说，只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。

操作系统的安全通常包含两层意思：2025/5/17计算机网络安全4操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等一些机制实现的安全；操作系统在使用中，通过一系列的配置，保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。

美国可信计算机安全评估标准（TCSEC），是计算机系统安全评估的第一个正式标准。TCSEC将计算机系统的安全划分为4个等级、8个级别。计算机操作系统安全评估

《计算机信息安全保护等级划分准则》将计算机信息系统安全保护等级划分为五个级别：用户自主保护级本级的安全保护机制使用户具备自主安全保护能力，保护用户和用户组信息，避免其他用户对数据的非法读写和破坏。国内的安全操作系统评估

本级的安全保护机制具备第一级的所有安全保护功能，并创建、维护访问审计跟踪记录，以记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息，使所有用户对自己行为的合法性负责。2.系统审计保护级本级的安全保护机制有系统审计保护级的所有功能，并为访问者和访问对象指定安全标记，以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。3.安全标记保护级

4.结构化保护级5.安全域级保护级本级具备第3级的所有安全功能。并将安全保护机制划分成关键部分和非关键部分相结合的结构，其中关键部分直接控制访问者对访问对象的存取。本级具有相当强的抗渗透能力。本级的安全保护机制具备第4级的所有功能，并特别增设访问验证功能，负责仲裁访问者对访问对象的所有访问活动。本级具有极强的抗渗透能力。

操作系统安全配置主要是指：2.1.4操作系统的安全配置2025/5/17计算机网络安全9系统的及时更新对于攻击的防范操作系统访问控制权限的恰当设置

2.1.5操作系统的安全漏洞2025/5/17计算机网络安全10几乎所有的操作系统都不是十全十美的，总存在安全漏洞。 WindowsNT:SAM、ICMPWindowsXP：UPnP、GDI拒绝服务、终端服务IP地址欺骗要想绝对避免软件漏洞是不可能的！010302

2.2用户安全配置2025/5/17计算机网络安全11主要有10类，分别描述如下：新建用户 帐号便于记忆与使用，而密码则要求有一定的长度与复杂度。

帐户授权 对不同的帐户进行授权，使其拥有和身份相应的权限。

停用Guest用户 把Guest账号禁用，并且修改Guest帐号的属性,设置拒绝远程访问。

系统Administrator账号改名 防止管理员账号密码被穷举，伪装成普通用户。

创建一个陷阱用户 将管理员账号权限设置最低，延缓攻击企图。

更改默认权限 将共享文件的权限从“Everyone”改成“授权用户。

不显示上次登录用户名 防止密码猜测，打开注册表编辑器并找到注册表项“HKEY_CURRENT\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。

限制用户数量 减少入侵突破口，账户数不大于10(二进制)。多个管理员帐号 减少管理员账号使用时间，避免被破解。创建一个一般用户权限帐号用来处理电子邮件及处理一些日常事务，创建另一个有Administrator权限的帐户在需要的时候使用。

开启用户策略 可以有效的防止字典式攻击。当某一用户连续5次录都失败后将自动锁定该帐户，30分钟后自动复位被锁定的帐户。

2.3密码安全配置2025/5/17计算机网络安全20主要有4类，分别描述如下：安全密码 创建帐号时不用公司名、计算机名、或者一些别的容易猜到的字符做用户名，密码设置要复杂。安全期内无法破解出来的密码就是安全密码（密码策略是42天必须改密码）。

数字和字母组合2025/5/17计算机网络安全212．开启密码策略 对不同的帐户进行授权