Windows安全设置
目录和文件权限 将其权限从Everyone组改成授权用户
关闭默认共享 禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters\AutoShareServer 设为 0 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters\AutoShareWks 设为0 限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\Lsa\restrictanonymous 设为1
实现更好的协同工作 可以成为评价相应工具和数据库的基准 非常容易从互联网查询和下载，通过“CVE编辑部”
体现业界的认可
Windows安全设置
文件系统设为NTFS格式比设为FAT32更安全 NTFS文件系统可以实现对文件、文件夹设置
访问权限控制，可以对文件加密等操作，将 FAT32格式转换成NTFS的命令为： C:>CONVERT C:/FS:NTFS
听或非法获取系统的信息 以软件为对象，非法复制和非法使用
操作系统的安全控制
隔离控制 访问控制
隔离控制
物理隔离 如把不同的打印机分配给不同安全级别的用户 时间隔离 如让不同安全级别的程序在不同的时间使用计算机 加密隔离 如将文件、数据加密，使无关人员无法阅读 逻辑隔离 如把各个进程的运行限于一定的空间，使得相互之间
操作系统安全
主要内容 了解操作系统安全的含义和安全控制方法 掌握Windows安全配置方法
操作系统的安全问题
以OS为手段，获得授权以外或未授权的信息 它危害计算机及信息系统的保密性和完整性。如特洛
伊木马 以OS为手段，阻碍计算机系统的正常运行或用户的
正常使用 它危害了计算机系统的可用性。如计算机病毒 以OS为对象，破坏系统完成指定的功能 如计算机病毒和人为因素等 以OS为手段，破坏计算机及其信息系统的安全，窃
Windows安全设置
禁用Guest账号
密码安全设置 使用安全密码 设置屏幕保护密码 开启密码策略
Windows安全设置
关闭不必要的端口 只开放服务需要的端口与协议。
具体方法为：按顺序打开“网上邻居→属 性→本地连接→属性→Internet 协议→属性 →高级→选项→TCP/IP筛选→属性”，添 加需要的TCP、UDP端口以及IP协议即可。
使用不同的分区 应用程序和操作系统不要安装在同一个分区，
以免因为应用程序的漏洞导致系统文件的泄漏 和损坏
Windows安全设置
组件的定制 只安装需要的组件
启动设置
限制用户数量
禁止他人ping你的电脑 具体步骤为通过控制台添加“IP安全策略”，再按要
求进行设置
Windows安全设置来自Windows安全设置
关闭不必要的服务 只留必需的服务，多一些服务可能会给系统带来更多的安全因
素。如Windows 2000的Terminal Services（终端服务）、IIS （web服务）、RAS（远程访问服务）等，这些都有产生漏洞 的可能
禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并
创建两个管理员用账号 创建一个一般权限用户用来收信以及处理一些
日常事物，另一个拥有Administrators权限的 用户只在需要的时候使用 把系统Administrator账号改名 创建一个陷阱用户 即创建一个名为“Administrator”的本地用户， 把它的权限设置成最低，什么事也干不了的那 种，并且加上一个超过10位的超级复杂密码
感觉不到其他进程或程序的存在
访问控制
访问控制是指主体依据某些控制策略对客 体进行的不同授权访问
访问控制的基本任务是防止非法用户对资 源的访问以及合法用户对资源的非法使用
访问控制包括三个要素，即主体、客体和 控制策略
访问控制
主体 指一个提出请求或要求的实体
客体 是接受其他实体访问的被动实体
CVE简介
CVE(Common Vulnerabilities and Exposures)公共漏洞和暴露
CVE就好像是一个字典表，为广泛认同的 信息安全漏洞或者已经暴露出来的弱点给 出一个公共的名称
CVE的特点
为每个漏洞和暴露确定了唯一的名称 给每个漏洞和暴露一个标准化的描述 不是一个数据库，而是一个字典 任何完全迥异的漏洞库都可以用同一个语言表述 由于语言统一，可以使得安全事件报告更好地被理解，
控制策略 是主体对客体的访问规则集
访问控制
面向主体的访问控制 面向客体的访问控制 访问控制矩阵
目前操作系统的种类
目前操作系统大致分为以下几类： Windows系列 包括Windows98、windows2000、Windows XP等 开放源代码操作系统系列 包括Unix和Linux两大部分 其中Unix比较有名的版本包括FreeBSD、Solaris等 Linux比较有名有Red Hat Linux Macintosh操作系统 主要用于苹果计算机等
猜测密码。空连接用的端口是139，通过空连接，可以复制文件 到远端服务器，计划执行一个任务，这就是一个漏洞。可以通 过以下两种方法禁止建立空连接： （1） 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为 1。 （2） 修改Windows 2000的本地安全策略。设置“本地安全策 略→本地策略→选项”中的RestrictAnonymous（匿名连接的额 外限制）为“不容许枚举SAM账号和共享”。
系统漏洞
计算机系统中的漏洞是指任意的允许非法 用户未经授权就获得访问或提高访问层次 的硬件或者软件特征。这种特征是一种广 义的，漏洞可以是任何东西
没有绝对安全的事物，无论硬件平台还是 软件平台都存在漏洞，换句话说，漏洞就 是某种形式的脆弱性。另一些漏洞可能由 系统管理员(Administrator)引起