第一篇：Windows系統(tǒng)和Linux系統(tǒng)的安全性能比較

安全問題對于IT管理員來說是需要長期關(guān)注的。主管們需要一套框架來對操作系統(tǒng)的安全性進行合理的評估，包括：基本安全、網(wǎng)絡(luò)安全和協(xié)議，應(yīng)用協(xié)議、發(fā)布與操作、確信度、可信計算、開放標(biāo)準(zhǔn)。在本文中，我們將按照這七個類別比較微軟Windows和Linux的安全性。最終的定性結(jié)論是：目前為止，Linux提供了相對于Windows更好的安全性能，只有一個方面例外（確信度）。

無論按照什么標(biāo)準(zhǔn)對Windows和Linux進行評估，都存在一定的問題：每個操作系統(tǒng)都不止一個版本。微軟的操作系統(tǒng)有Windows98、Windows NT、Windows 2000、Windows 2003 Server和Windows CE，而Linux的發(fā)行版由于內(nèi)核（基于2.2、2.4、2.6）的不同和軟件包的不同也有較大的差異。我們本文所使用的操作系統(tǒng)，都是目前的技術(shù)而不是那些“古老”的解決方案。

用戶需要記?。篖inux和Windows在設(shè)計上就存在哲學(xué)性的區(qū)別。Windows操作系統(tǒng)傾向于將更多的功能集成到操作系統(tǒng)內(nèi)部，并將程序與內(nèi)核相結(jié)合；而Linux不同于Windows，它的內(nèi)核空間與用戶空間有明顯的界限。根據(jù)設(shè)計架構(gòu)的不同，兩者都可以使操作系統(tǒng)更加安全。

Linux和Windows安全性的基本改變

對于用戶來說，Linux和Windows的不斷更新引發(fā)了兩者之間的競爭。用戶可以有自己喜歡的系統(tǒng)，同時也在關(guān)注競爭的發(fā)展。微軟的主動性似乎更高一些――這是由于業(yè)界“冷嘲熱諷”的“激勵”與Linux的不斷發(fā)展。微軟將在下幾個月對Windows安全進行改觀，屆時微軟會發(fā)布Windows XP的Service Pack2。這一服務(wù)包增強了Windows的安全性，關(guān)閉了原先默認(rèn)開放的許多服務(wù)，也提供了新的補丁管理工具，例如：為了避免受到過多無用的信息，警告服務(wù)和信使服務(wù)都被關(guān)閉。大多數(shù)情況下，關(guān)閉這些特性對于增強系統(tǒng)安全性是有好處的，不過很難在安全性與軟件的功能性、靈活性之間作出折衷。

最顯著的表現(xiàn)是：微軟更加關(guān)注改進可用性的同時增強系統(tǒng)的安全性。比如：2003年許多針對微軟的漏洞攻擊程序都使用可執(zhí)行文件作為電子郵件的附件（例如MyDoom）。Service Pack2包括一個附件執(zhí)行服務(wù)，為Outlook/Exchange、Windows Messenger和Internet Explorer提供了統(tǒng)一的環(huán)境。這樣就能降低用戶運行可執(zhí)行文件時感染病毒或者蠕蟲的威脅性。另外，禁止數(shù)據(jù)頁的可執(zhí)行性也會限制潛在的緩沖區(qū)溢出的威脅。不過，微軟在Service Pack2中并沒有修改Windows有問題的架構(gòu)以及安全傳輸?shù)牟糠?，而是將這部分重?fù)?dān)交給了用戶。

微軟的重點顯然是支持應(yīng)用程序的安全性。Service Pack2中增強的許多方面都是以O(shè)utlook/Exchange和Internet Explorer作為對象的。例如：Internet Explorer中有一個智能的MIME類型檢查，會對目標(biāo)的內(nèi)容類型進行檢查，用戶可以獲悉該內(nèi)容中是否存在潛在的有害程序。不過這一軟件是不是能將病毒與同事的電子數(shù)據(jù)表區(qū)分開來呢？

Service Pack2的另一個新特性是能夠卸載瀏覽器的多余插件，這需要終端用戶檢查并判斷需要卸載哪些插件。Outlook/Exchange可以預(yù)覽電子郵件消息，因此用戶可以在打開之前就將電子郵件刪除。另一個應(yīng)用安全的增強，防火墻在網(wǎng)絡(luò)協(xié)議棧之前啟動。對于軟件開發(fā)者來說，遠方過程調(diào)用中權(quán)限的改變，使得安全性差的代碼難以工作正常。

Service Pack2也為Windows用戶提供了許多華麗的新特性，但是問題仍然存在：這些特性會不會對管理員甚至是終端用戶造成負(fù)擔(dān)？是不是在增加了Windows操作系統(tǒng)代碼安全性的同時讓系統(tǒng)變得更加復(fù)雜？

Linux與Windows安全性能的重要結(jié)論

對操作系統(tǒng)的安全性進行定性分析，很容易包含主觀意見，得到的結(jié)論會由于過去和現(xiàn)在的經(jīng)驗而有很大的不同。本文的目標(biāo)是給用戶提供一個框架，讓他們更多的理解Windows和Linux的安全性能。下面的分析并不全面，只是終端用戶進行評估的起點。Linux和Windows在技術(shù)上不斷進步，究竟哪個系統(tǒng)更安全的結(jié)論也會不斷變化。本文分析的結(jié)果：Linux提供了比Windows更好的安全特性。

基本安全

微軟和Linux都提供了對驗證、訪問控制、記帳／日至、受控的訪問保護實體、加密的支持。不過Linux的表現(xiàn)更好一些，因為Linux還提供了Linux安全模塊、SELinux和winbind。Linux用戶不需對內(nèi)核打補丁就能增加額外的安全機制。

Linux在LSM之上構(gòu)建了多種訪問控制機制，例如：為應(yīng)用程序建立了單獨的空間，使它們之間相互分離，也與基本的操作系統(tǒng)隔離，這樣即使應(yīng)用程序出現(xiàn)了安全問題也不會影響操作系統(tǒng)。Linux的基本安全也可以通過應(yīng)用程序增強，比如Tripwire（可以定期對系統(tǒng)進行關(guān)鍵文件的完整性檢查，如果文件的內(nèi)容或者屬性有變化就通知系統(tǒng)管理員）。

Windows的限制在于基本安全是依靠MSCAPI的，在代碼簽名時信任多個密鑰。微軟的模型重點在于可以同時對一個產(chǎn)品使用弱加密或者強加密。盡管模塊不是以相同的密鑰進行簽名，MSCAPI卻信任許多根驗證機構(gòu)，代碼簽名也信任多個密鑰。因此只要有一個密鑰被泄露就會使整個系統(tǒng)異常脆弱。密鑰泄漏的情況：授權(quán)的代碼簽名者不小心紕漏了自己的私鑰，或者簽名機構(gòu)錯誤的簽發(fā)了一個證書。這些情況曾經(jīng)發(fā)生，有一次Verisign錯誤的以微軟的名義簽發(fā)了兩個證書，并將這些證書的控制權(quán)交給了未授權(quán)的個人。

網(wǎng)絡(luò)安全與協(xié)議

Linux與Windows對網(wǎng)絡(luò)安全和協(xié)議的支持都很不錯。兩者都支持IPSec，這是一個運行于IP層的開放的基于加密的保護方式。IPSec能夠識別終端主機，同時能夠?qū)W(wǎng)絡(luò)傳輸數(shù)據(jù)和加密數(shù)據(jù)的過程中的修改作出判斷。Linux下使用OpenSSH、OpenSSL和OpenLDAP，分別對應(yīng)微軟系統(tǒng)下閉合源碼的SSH、SSL和LDAP。

應(yīng)用安全

由于微軟IIS和Exchange/Outlook不斷出現(xiàn)的安全問題，Linux顯得更勝一籌。Apache和Postfix都是跨平臺的應(yīng)用程序，比微軟的相應(yīng)產(chǎn)品更加安全。由于Linux有內(nèi)建的防火墻使得其安全性有所增強，Snort也是一個優(yōu)秀的入侵檢測系統(tǒng)。關(guān)于基于x86系統(tǒng)的Linux內(nèi)核，一個很重要的特性就是IngoMolnar的exec-shield，可以保護系統(tǒng)不受緩沖區(qū)或者函數(shù)指針溢出的攻擊，從而對那些通過覆蓋數(shù)據(jù)結(jié)果或者插入代碼的攻擊程序有

所防護。exec-shield補丁使攻擊者很難實現(xiàn)基于shell-code的攻擊程序，因為exec-shield的實現(xiàn)對于應(yīng)用程序是透明的，因此不需要應(yīng)用程序的重新編譯。

微軟正在大刀闊斧的重新設(shè)計產(chǎn)品的安全架構(gòu)，并為已安裝的系統(tǒng)提供補丁。不過舊版本的Windows產(chǎn)品仍然存在安全問題，這使得任務(wù)變得復(fù)雜。許多微軟用戶正面臨安全威脅，而補丁在發(fā)布之前必須做好文檔。另外，微軟傾向于將應(yīng)用程序的數(shù)據(jù)和程序代碼混合在一起，比如ActiveX，這使得系統(tǒng)外的不可信數(shù)據(jù)也能被使用，甚至是利用不可信數(shù)據(jù)執(zhí)行任意代碼。某些情況下，Windows甚至允許外部系統(tǒng)提供數(shù)據(jù)簽名的代碼，這就意味著本地的系統(tǒng)管理員也不能審查代碼，不過他仍然知道是誰對代碼簽的名。

在.NET框架下，微軟應(yīng)用程序的安全性有所改進。當(dāng)然，對于那些異構(gòu)平臺，例如Linux、Windows、Unix尤其是建立在Java平臺下的應(yīng)用程序，微軟的產(chǎn)品是有很大局限性的。

分發(fā)和操作

關(guān)于分發(fā)和操作，Linux與微軟的側(cè)重點不同，Linux下大部分的管理都通過命令行接口。Linux的發(fā)行商也提供了各種安裝和配置工具，例如：up2date、YaST2和Webmin。Bastille Linux是一個支持Red Hat、Debian、Mandrake、SUSE和Turbolinux的加固工具。相比之下，Windows的系統(tǒng)管理員使用簡單易用的GUI工具，配置的時候也很容易出錯誤。盡管一些人認(rèn)為，一個周之內(nèi)將任何人都可能成為Windows的系統(tǒng)管理員，問題是他們到底對管理了解多少？微軟的安全問題，絕大多數(shù)都是由于發(fā)布與操作時的拙劣配置。Windows自帶安裝和配置工具，微軟也為加固域控制器、架構(gòu)服務(wù)器、文件服務(wù)器、打印服務(wù)器、IAS服務(wù)器、證書服務(wù)器和堡壘主機提供了向?qū)?，不過加固架構(gòu)與加固操作系統(tǒng)還是有區(qū)別的。

確信度

定義操作系統(tǒng)確信度的標(biāo)準(zhǔn)是公共標(biāo)準(zhǔn)（CC），這是ISO標(biāo)準(zhǔn)（ISO 15408）。關(guān)于確信度的等級有一個層次結(jié)構(gòu) ―― 從EAL1到EAL7。只有在特定的軟件、硬件和系統(tǒng)配置下，公共標(biāo)準(zhǔn)的評估才是有效的。Windows的EAL比Linux要高，達到了EAL4，而Linux目前只達到了EAL3。SUSE正計劃在年底達到EAL4。政府機構(gòu)大部分都需要CC的確信度。即使只有政府客戶（甚至特指美國國防部）才需要確信度，商業(yè)產(chǎn)品滿足這一要求也是一件好事。不過大部分的用戶都不需要達到國防部的標(biāo)準(zhǔn)。

可信計算

可信計算是一種架構(gòu)，可以避免對應(yīng)用程序的修改，與廠商的通信也是安全的。許多廠商，比如Intel、微軟和IBM，都在歡迎這項新興的技術(shù)。目前，這一功能只供展示，現(xiàn)實中并沒有可用的系統(tǒng)，因此Linux和Windows都不能勝任。微軟的可信計算與數(shù)字權(quán)力管理有關(guān)，而開源社區(qū)目前沒有可信計算的項目。

開放標(biāo)準(zhǔn)

Linux要優(yōu)于Windows，因為它支持所有的開放標(biāo)準(zhǔn)（盡管Windows也支持許多相同的開放便準(zhǔn)，如IPSec、IKE和IPv6，也樂意擴展標(biāo)準(zhǔn)）。對于使用異構(gòu)系統(tǒng)并有互操作

需求的公司，“標(biāo)準(zhǔn)”如果代有私有代碼，就使得對缺陷的檢測和錯誤的修正更困難、耗費的時間也更多。一個例子就是微軟對Kerberos標(biāo)準(zhǔn)協(xié)議的擴展。微軟提供了對Kerberos票據(jù)的授權(quán)功能，盡管Kerberos一開始也是按照這個目的設(shè)計的，這一功能卻一直沒有使用。微軟擴展了Kerberos標(biāo)準(zhǔn)，在處理過程中也期望其它程序共享票據(jù)的授權(quán)數(shù)據(jù)字段。因此，微軟的Kerberos版本與標(biāo)準(zhǔn)不能完全交互。IT經(jīng)理會發(fā)現(xiàn)：在一個異構(gòu)的IT環(huán)境中，使用微軟Kerberos會使得整個環(huán)境難以管理，它們需要完全的Windows IT架構(gòu)。

開源

如果安全操作系統(tǒng)的標(biāo)準(zhǔn)就是開源，那么Linux顯然要優(yōu)于Windows。微軟的共享源代碼計劃就是為了滿足用戶對源代碼的需要。不過，該計劃的大部分內(nèi)容都是“可看但不可修改”的情況。俄羅斯、英國、中國和北約參與了微軟的政府安全計劃。盡管該計劃的目標(biāo)是增加透明度和加強合作，如果某組織需要訪問微軟的源代碼，需要遵守各種各樣的要求。例如：并不是所有的Windows源代碼都可以在線查看，因此如果用戶需要編譯并測試應(yīng)用程序，必須親自訪問微軟的總部。

推薦

Linux和Windows的安全性必定會引起持續(xù)的爭論，到底是開源的操作系統(tǒng)好，還是封閉源代碼的操作系統(tǒng)好？業(yè)界的邏輯是：基于開放標(biāo)準(zhǔn)與開放源代碼的操作系統(tǒng)，能提供更好的互用性，更好的錯誤發(fā)現(xiàn)和修正機制，這要比通過隱藏來達到安全的模型優(yōu)秀。開源也促使Linux的發(fā)行提供商對生產(chǎn)過程完全透明。每一步對于用戶來說都是可再現(xiàn)的，因此能夠逐漸的增強安全。而Windows的源代碼并不易獲得，因此不能提供等價的透明。

Linux提供了至少不遜于Windows的安全性能。Linux系統(tǒng)的安全取決于對Linux發(fā)行版的選擇、使用的內(nèi)核版本、實現(xiàn)與支持系統(tǒng)的IT員工的水平。一旦你選定了產(chǎn)品，實現(xiàn)并維護操作系統(tǒng)的安全就完全依靠IT員工了，你需要對他們進行培訓(xùn)，讓他們掌握足夠的專業(yè)技能，完成分發(fā)、管理和故障排除的任務(wù)。要讓IT經(jīng)理和系統(tǒng)管理員明白如何應(yīng)用這些慣例。

我們推薦各種機構(gòu)首先了解自己的功能需要，然后熟悉一下操作系統(tǒng)關(guān)鍵性的安全性能，這樣就能減少使用操作系統(tǒng)的風(fēng)險，確保一致性。

如果你正考慮移植到另一個操作系統(tǒng)或者是升級目前的產(chǎn)品，你需要按照安全性能的要求來選擇操作系統(tǒng)的環(huán)境。把你的商業(yè)需要與對操作系統(tǒng)安全性的理解相結(jié)合，就能在實現(xiàn)功能的同時，兼顧一致性與風(fēng)險最小化。

開放源代碼、共享源代碼

Linux和Windows對于代碼透明度這一哲學(xué)問題上是完全不同的。Linux符合GNU通用公用許可證，用戶可以拷貝、復(fù)制并分發(fā)源代碼。Windows使用的是封閉源代碼，因此微軟的安全方法被稱為“通過隱藏來保證安全”。2001年，微軟為了響應(yīng)客戶與共享源代碼計劃的要求，提供了對Windows源代碼的訪問權(quán)?，F(xiàn)在，共享源代碼計劃有一百萬的參與者，可以訪問的源代碼包括Windows2000、WindowsXP、Windows Server2003、Windows CE 3.0、Windows CE、C#/CLI實現(xiàn)和ASP.NET與Visual Studio.NET。共享源代碼計劃許可證的對象包括公司用戶、政府、合作者、學(xué)術(shù)機構(gòu)與個人。

微軟的共享源代碼計劃政策屬于“可看但不可修改”，例外的情況是Windows CE共享源代碼許可證計劃。對于公司來說，可以將基于Windows CE的設(shè)備和解決方案推向市場。這是微軟共享源代碼計劃下，源設(shè)備制造商（OEM）、半導(dǎo)體提供商、系統(tǒng)集成商可以完全訪問Windows CE源代碼的唯一項目。所有許可證持有者都有對源代碼的完全訪問權(quán)，當(dāng)然可以修改代碼，但只有OEM才能發(fā)布對基于WinCE設(shè)備的修改。所有其他的共享源代碼許可證持有者，如果要訪問該項目不允許的源代碼，需要向Redmond.Wash的微軟總部請示。

某些用戶認(rèn)為共享源代碼計劃對于調(diào)試程序會有幫助，微軟要求編譯的時候必須在微軟總部，這不得不說是一個很大的限制。盡管微軟想盡力增加透明，如果無法編譯，就很難確定源代碼在真實的IT環(huán)境中是否能正常工作。限制用戶修改并編譯Windows的源代碼，降低了人們訪問Windows共享源代碼并尋找安全漏洞的熱情。

數(shù)據(jù)中心和桌面下Linux的安全收益

在未來的12個月里，Linux將加強在數(shù)據(jù)中心的份額，并試圖沖擊微軟在桌面上的壟斷。這很大程度上是受益于Linux2.6版內(nèi)核的新特性與新功能。有了Linux v2.6，安全框架現(xiàn)在已經(jīng)模塊化了。在這種模型下，Linux內(nèi)核的所有方面都提供了細(xì)粒度的用戶訪問控制，而以前的版本的內(nèi)核允許超級用戶完全控制?，F(xiàn)在的實現(xiàn)仍然支持root完全訪問系統(tǒng)，但完全可以創(chuàng)建一個不遵循該模型的Liinux系統(tǒng)。

Linux v2.6內(nèi)核的一個主要變化，就是新增的Linux安全模塊（LSM），用戶不需要打內(nèi)核補丁就能為Linux增加更多的安全機制。新版內(nèi)核，在LSM上建立了多個訪問控制機制，其中包括美國國安局（NSA）的Securiy Enhanced Linux（SELinux）。由于國安局對操作系統(tǒng)安全與強制訪問控制的興趣，產(chǎn)生了SELinux。國安局的研究人員正在開發(fā)Linux的安全模塊，可以支持2.6內(nèi)核的類型加強、基于腳色的訪問控制、多層次安全。SELinux使用了命為“域類型強制”的安全模型，可以將應(yīng)用程序互相隔離，同時也與基本的操作系統(tǒng)隔離，從而限制入侵后程序或者網(wǎng)絡(luò)服務(wù)造成的影響。

Linux的2.6內(nèi)核中已經(jīng)加入了對SELinux的細(xì)粒度布爾值標(biāo)簽的支持，其他的廠商也開始利用國安局的SELinux。例如，Immunix提供了一些列產(chǎn)品，包括StackGuard和子域StackGuard模塊，可以配置進程只使用某些系統(tǒng)調(diào)用。RedHat聲稱SELinux將在RedHat企業(yè)服務(wù)器4.0的安全架構(gòu)上起重要的作用。

今天，Linux的內(nèi)核中已經(jīng)有一個功能強大、靈活的強制訪問控制子系統(tǒng)。這個系統(tǒng)強制隔離有機密和完整性要求的數(shù)據(jù)，因此任何潛在的破壞，即時是由超級用戶進程所造成的，都被Linux系統(tǒng)限制起來了。

Linux v2.6還提供了對加密安全的支持，包括了IPSec使用的加密API。這樣，在網(wǎng)絡(luò)和存儲加密時就可以使用多種算法（例如：SHA-

1、DES、三重DES、MD4、HMAC、EDE、和Blowfish）。Linux對IPSec IPv4和IPv6協(xié)議的支持是一個很大的進步。由于安全抽象到了協(xié)議層，用戶程序?qū)撛诠舫绦虻拇嗳跣杂兴档?。密碼加密模塊目前還不是

Linux內(nèi)核的一部分，如果Linux真的實現(xiàn)了這樣的特性，就可以阻止未簽名的模塊被內(nèi)核訪問。

現(xiàn)在仍然困擾Windows用戶的一個問題就是緩沖區(qū)溢出。Linux用戶從2.6內(nèi)核開始就會收益于exec-shield補丁。exec-shield可以阻止許多漏洞攻擊程序覆蓋數(shù)據(jù)結(jié)構(gòu)并向這些結(jié)構(gòu)中插入代碼的企圖。由于不需要重新編譯應(yīng)用程序就能使exec-shield補丁奏效，實現(xiàn)起來很方便。

另外，2.6內(nèi)核中的搶占式內(nèi)核，也減少了延遲，使得Linux不但可以應(yīng)用到數(shù)據(jù)中心，甚至可以在有軟實時要求的應(yīng)用程序使用。許多Linux用戶使用的是硬件廠商和系統(tǒng)提供商的不開源的驅(qū)動程序（二進制模塊）。問題在于：雖然添加這些驅(qū)動和模塊有用，對于Linux系統(tǒng)并不一定有益。例如，一個未開源的驅(qū)動模塊有可能控制系統(tǒng)調(diào)用并修改系統(tǒng)調(diào)用表。2.6的內(nèi)核提供了特殊的保護措施，可以對限制未開源驅(qū)動或者模塊對內(nèi)核的訪問。這一特性增加了穩(wěn)定性，但從安全角度并沒有增加新的限制，也不能阻止黑客編寫惡意模塊。

許多Linux用戶來說，最有創(chuàng)造性的特性就是用戶模式Linux了（UML），UML是Linux內(nèi)核的一個補丁，可以允許可執(zhí)行二進制文件在Linux宿主主機上編譯并運行。使用UML有很多好處，最有用的特性就是虛擬機。由于對UML的操作不會影響宿主主機，可以把它作為測試軟件、運行不穩(wěn)定發(fā)行版、檢查有威脅活動的平臺。UML最終會創(chuàng)建一個安全架構(gòu)上完全虛擬的環(huán)境。

第二篇：Windows系統(tǒng)安全技巧

Window系統(tǒng)安全技巧

系統(tǒng)光盤個人比較喜歡使用雨林木風(fēng)安裝版或者GHOST版，純凈無插件，破解和優(yōu)化得都比較好。使用電腦公司裝機版也可以，番茄花園以前做得不錯，現(xiàn)在的版本插件比較多，且界面不是很喜歡。

（1）系統(tǒng)安裝完后，做個純凈版的ghost備份，可以使用MaxDos或者矮人DOS工具箱。以備以后系統(tǒng)出問題可以快速恢復(fù)到純凈系統(tǒng)，節(jié)省安裝系統(tǒng)時間，（使用安裝版安裝系統(tǒng)需要時間大約45分鐘，恢復(fù)系統(tǒng)時間只需10分鐘左右）。

（2）在連接網(wǎng)絡(luò)之前先安裝殺毒軟件，連接網(wǎng)絡(luò)后將殺毒軟件更新到最新。個人比較喜歡NOD32（占用系統(tǒng)資源小，殺毒速度快，防護能力強）或者卡巴斯基（主動 防御很強，殺毒能力強，但是殺毒速度很慢，占用系統(tǒng)資源較大）；感覺江民還可以，尤其不喜歡瑞星和金山，并非不支持國產(chǎn)，瑞星我覺得除了界面還可以之外，其他的優(yōu)點沒有什么感覺，金山感覺能力平平。

（3）打上最新的系統(tǒng)補丁，建議用手動安裝版，安裝速度快。將IE升級到IE7.0。將系統(tǒng)更新方式更改為“手動”，防止安裝windows正版驗證程序。

（4）安裝好常用的軟件。個人比較喜歡雨林木風(fēng)下載，無插件，破解比較完美。建議使用魔法兔子或者優(yōu)化大師，方便以后對系統(tǒng)進行維護。

（5）修改注冊表啟動項（run、runonce等），刪除不必要的隨系統(tǒng)啟動的程序，以節(jié)省系統(tǒng)開機時間、系統(tǒng)資源、系統(tǒng)關(guān)機時間。并關(guān)閉run項的設(shè)置權(quán)限，可以使大部分木馬程序失去作用。（必做）

（6）刪除不必要的服務(wù)。以節(jié)省系統(tǒng)資源及開機時間。（必做）

（7）設(shè)置系統(tǒng)組策略。如無局域網(wǎng)可以關(guān)閉網(wǎng)絡(luò)訪問；關(guān)閉自動播放功能。（必做）

（8）屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。減少給黑客入侵的機會。（推薦）

（9）最后做個ghost備份鏡像，用于以后萬一系統(tǒng)出問題時恢復(fù)系統(tǒng)，可以免去安裝軟件，設(shè)置系統(tǒng)麻煩，所需時間大約是10分鐘。

第三篇：Windows操作系統(tǒng)安全(一)

一、實驗項目名稱

Windows操作系統(tǒng)安全

（一）二、實驗?zāi)康耐ㄟ^實驗掌握Windows賬戶與密碼的安全設(shè)置、文件系統(tǒng)的保護和加密、安全策略與安全模板的使用、審核和日志的啟用、本機漏洞檢測軟件MBSA的使用，建立一個Windows操作系統(tǒng)的基本安全框架。根據(jù)Windows操作系統(tǒng)的各項安全性實驗要求，詳細(xì)觀察并記錄設(shè)置前后系統(tǒng)的變化，給出分析報告。

三、實驗內(nèi)容與實驗步驟

(1)．賬戶與密碼的安全設(shè)置

(2)．啟用安全策略與安全模板

(3)．用加密軟件EFS加密硬盤數(shù)據(jù)

(4)．NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

四、實驗環(huán)境

1臺安裝Windows2000/XP操作系統(tǒng)的計算機，磁盤格式配置為NTFS，預(yù)裝MBSA(Microsoft Baseline Security Analyzer)工具。

五、實驗過程與分析

任務(wù)一賬戶和密碼的安全設(shè)置

1．刪除不再使用的賬戶，禁用guest賬戶

⑴ 檢查和刪除不必要的賬戶，用戶列表如下

⑵ 禁用guest賬戶

1）操作前用guest用戶登錄，可以登錄，表示guest用戶可以用。在其他用戶登錄下禁止guest用戶的使用。

2）之后再次注銷，試圖登陸guest，發(fā)現(xiàn)無法登陸，證明被禁止了。

２．啟用賬戶策略

⑴ 設(shè)置密碼策略

1）對密碼策略設(shè)置如圖

2）對長度最小值的改變進行測試：設(shè)置只有一個字符的密碼，不成功就代表了長度最小值策略設(shè)置成功。

⑵ 設(shè)置賬戶鎖定策略

1）對賬戶鎖定策略設(shè)置如圖

2）對賬戶鎖定閥值進行測試：

連續(xù)輸入三次錯誤密碼，賬戶被關(guān)閉。證明賬戶鎖定閥值為3。

2）對賬戶鎖定時間進行測試

兩分鐘之后賬戶又重新開放，所以賬戶鎖定時間可以為2。

３．開機時設(shè)置為“不自動顯示上次登陸賬戶”

設(shè)置后注銷重新登錄，發(fā)現(xiàn)賬戶不顯示。

４．禁止枚舉賬戶名

任務(wù)二 啟用安全策略與安全模塊

1．啟用安全模板

（1）打開系統(tǒng)控制臺，為控制臺添加安全膜拜和安全配置分析項，并且查看模板配置信息

（2）建立安全數(shù)據(jù)庫，選擇一個安全模板將其導(dǎo)入。

（3）按照模板，選擇“立即分析計算機”。分析結(jié)果如下。

（4）記錄當(dāng)前安全配置，以密碼策略為例。

（5）選擇“立即配置計算機”，對計算機配置。之后再對計算機分析，可以看到計算機設(shè)置發(fā)生了改變，密碼長度最小值，密碼最長保存期兩個不符合模板的項按照模板進行了配置。

2．建安全模板

（1）打開控制臺，添加“安全模板”、“安全設(shè)置和分析”，查看其相關(guān)配置。建立安全數(shù)據(jù)庫，導(dǎo)入安全模板。

（2）新加自設(shè)模板mytem，并且定義安全策略。如圖是對密碼長度最小值設(shè)置。

任務(wù)三 利用加密軟件EFS加密硬盤數(shù)據(jù)

（1）建立名為MYUSER的新用戶。

（2）打開硬盤格式為NTFS的磁盤，選擇要進行加密的文件夾在屬性窗口對其設(shè)置將其

加密。

（3）加密完成后，保存當(dāng)前用戶下的文件注銷當(dāng)前用戶,以剛才新建的MYUSER用戶登

陸系統(tǒng)，再次訪問加密文件夾，發(fā)現(xiàn)其拒絕訪問。

（4）以原來加密文件夾的管理員用戶登陸系統(tǒng)，打開系統(tǒng)控制臺添加證書，為當(dāng)前的加密文件系統(tǒng)EFS設(shè)置證書。在控制臺窗口左側(cè)的目錄樹中選擇“證書”“個人“證書”?？梢钥吹接糜诩用芪募到y(tǒng)的證書顯示在右側(cè)的窗口中。雙擊此證

書，單擊詳細(xì)信息，則可以看到此證書包含的詳細(xì)信息。

（5）選中用于EFS的證書,導(dǎo)出證書，并設(shè)置保護私鑰的密碼，然后將導(dǎo)出的證書文件

保存。

（6）以新建的MYUSER登陸系統(tǒng)導(dǎo)入該證書。

（7）再次雙擊加密文件擊中的文件，發(fā)現(xiàn)可以進行訪問。

任務(wù)四NTFS文件系統(tǒng)的權(quán)限設(shè)置和管理

1.為學(xué)生創(chuàng)建一個私有的用戶文件夾：在NTFS磁盤分區(qū)上為用戶stu01建立一個用戶文

件夾StuData01,用戶文件夾只允許用戶本人完全控制，用戶tutor讀取訪問，其他人拒絕訪問。用其他用戶訪問，無法訪問。

2.創(chuàng)建一個學(xué)生組公用文件夾

為學(xué)生組Students在windows 2000服務(wù)器的NTFS磁盤分區(qū)上建立一個公用文件夾，該文件夾允許students成員讀取及運行，tutor完全控制，Administrator只有列出文件夾，創(chuàng)建文件夾，刪除文件夾和文件的權(quán)限。并且此文件夾對Administrator的NTFS權(quán)限設(shè)置不傳播到子文件夾。

3.文件夾共享

（1）創(chuàng)建一個文件夾share共享它。

（2）為這個文件夾分配共享權(quán)限，安全權(quán)限

（3）從網(wǎng)絡(luò)上訪問這個文件夾。嘗試用不同賬號訪問權(quán)限

假設(shè)：share共享權(quán)限是everyone完全控制，完全權(quán)限是everyone只讀，那么用戶從網(wǎng)絡(luò)上的訪問權(quán)限是什么？

回答：只讀權(quán)限

假設(shè)：share共享權(quán)限是everyone只讀，完全權(quán)限是everyone完全控制，那么用戶從網(wǎng)絡(luò)上的訪問權(quán)限是什么？

回答:只讀權(quán)限

六、實驗結(jié)果總結(jié)

1．如何檢查系統(tǒng)是否允許guest賬戶登陸？

回答：打開控制面板中的管理工具，選擇計算機管理中本地用戶和組，打開用戶，若

guest用戶前有叉號，則已經(jīng)被禁用。

2.如果一個用戶（非管理員）創(chuàng)建一個文件夾，內(nèi)有文件，他設(shè)置安全權(quán)限，禁止除他以外的用戶訪問，請問管理員有權(quán)限訪問嗎？可以的話，如何操作？

回答：有的，管理員可以更改文件的所有者，可以把所有者改成自己，就可以訪問了?？偨Y(jié)：本實驗內(nèi)容包括對于windows賬戶密碼的安全進行設(shè)置，啟用了安全策略和安全模板，用加密軟件EFS加密硬盤數(shù)據(jù)，設(shè)置和管理NTFS文件系統(tǒng)四個方面。通過以上的手段，建立了windows操作系統(tǒng)的基本安全框架。

第四篇：Windows系統(tǒng)安全分析-病毒篇

病毒是如何進入我們的系統(tǒng)的?

有一點可以肯定計算機病毒不會在自己的硬盤里“生”出來。它一定是從其它儲存介質(zhì)復(fù)制到我們的硬盤，通常有許多途徑都可以讓病毒有被復(fù)制在我們硬盤的可能性。下載就是其中被病毒傳播者用得比較多的一種途徑。我們在下載時，不管是電影、壓縮包、游戲、文檔、或是郵件都有可能被置放病毒。因而下載回來一定要記住:先掃描后使用。

由于閃盤價格的大幅度下降，擁有U盤等閃盤的用戶越來越多。閃盤被病毒盯上，這種傳播方式需要在U盤根目錄下新建一個名為autorun.inf的文件和復(fù)制病毒本身。事前在根目錄下新建名為autorun.inf的文件夾能防止這種方式的傳播此外

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主鍵下，在右窗格中找到“NoDriveTypeAutoRun”，就是這個鍵決定了是否執(zhí)行各類盤的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移動驅(qū)動器。也就是說可以利用這個鍵來防止各類盤的自動播放，預(yù)防中毒。[1]

光盤有時也有可能會被病毒感染，成為病毒傳播的途徑之一。另外系統(tǒng)本身存在的漏洞也是病毒利用的途徑之一。

因而預(yù)防病毒要做到，外來的文件要先經(jīng)過掃描后才使用，系統(tǒng)的漏洞要及時補上。

病毒是如何激活運行的?

計算機病毒是一個程序，一段可執(zhí)行碼，一個可執(zhí)行文件。如何它不運行它就不會對系統(tǒng)造成威脅。最多只是占著硬盤空間。但是一旦激運行了病毒程序，它會對系統(tǒng)造成怎么樣的損害依病毒的破壞性強弱和計算機系統(tǒng)本身的自我保護能力而定。因而不給病毒運行的機會，就是病毒存在于硬盤中也不會對系統(tǒng)造成嚴(yán)重破壞。那如何防止病毒的激活呢?一般情況下，病毒會有好幾種啟動方式。病毒用的比較多的是注冊表和系統(tǒng)服務(wù)。注冊表環(huán)境復(fù)雜，大多數(shù)計算機用戶對其望而生畏。病毒很喜歡將其啟動的資料放在這里面。而系統(tǒng)服務(wù)會在系統(tǒng)啟動的過程中被自動啟動，因而病毒也很喜歡躲在這里面混水摸魚。[2]

除了這兩種啟動方式外，還有捆綁文件，各類盤的自動播放，文件關(guān)聯(lián)，程序映射等方法也能讓病毒有被激活運行的可能性。

保證計算機病毒不被激活是計算機病毒預(yù)防工作的重點之一。所以對注冊表用啟動程序的關(guān)鍵鍵值要加以注意。定時查看系統(tǒng)服務(wù)是不是正常。利用一些小工具查看文件關(guān)聯(lián)是否正常，有沒有程序已經(jīng)被映射了。對外來文件要先經(jīng)過掃描后先可以使用。

除了以上方法外，給系統(tǒng)裝上一個合適的殺病軟件和防火墻也是非常必要的。它們對已經(jīng)出名的病毒的查殺能力是很強的。這樣可以幫計算機管理員省去不少工作。

如果病毒已經(jīng)激活了。及時發(fā)現(xiàn)病毒的存在能保證系統(tǒng)受到的破壞最小。那病毒有哪些癥狀呢?

從目前發(fā)現(xiàn)的病毒來看，主要癥狀有：

（1）由于病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱起來，磁盤壞簇莫名其妙地增多。

（2）由于病毒程序附加在可執(zhí)行程序頭尾或插在中間，使可執(zhí)行程序容量增。

（3）由于病毒程序把自己的某個特殊標(biāo)志作為標(biāo)簽，使接觸到的磁盤出現(xiàn)特別標(biāo)簽。

（4）由于病毒本身或其復(fù)制品不斷侵占系統(tǒng)空間，使可用系統(tǒng)空間變小。

（5）由于病毒程序的異?；顒?，造成異常的磁盤訪問。

（6）由于病毒程序附加或占用引導(dǎo)部分，使系統(tǒng)導(dǎo)引變慢。

（7）丟失數(shù)據(jù)和程序。

（8）中斷向量發(fā)生變化。

（9）打印出現(xiàn)問題。

（10）死機現(xiàn)象增多。

（11）生成不可見的表格文件或特定文件。

（12）系統(tǒng)出現(xiàn)異常動作，例如：突然死機，又在無任何外界介入下，自行起動。

（13）出現(xiàn)一些無意義的畫面問候語等顯示。

（14）程序運行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。

（15）磁盤的卷標(biāo)名發(fā)生變化。

（16）系統(tǒng)不認(rèn)識磁盤或硬盤不能引導(dǎo)系統(tǒng)等。

（17）在系統(tǒng)內(nèi)裝有漢字庫且漢字庫正常的情況下不能調(diào)用漢字庫或不能打印漢字。

（18）在使用寫保護的軟盤時屏幕上出現(xiàn)軟盤寫保護的提示。

（19）異常要求用戶輸入口令

當(dāng)出現(xiàn)這些情況時請及時檢查系統(tǒng)。或許病毒正運行在系統(tǒng)上，破壞著系統(tǒng)！

鬼片網(wǎng) http:// 整理

第五篇：windows系統(tǒng)安全策略

Windows 系統(tǒng)安全設(shè)置策略

１．服務(wù)器的物理安全

２．a(chǎn)dministrator賬號更名、禁用Guest賬號

３．更改文件夾和打印共享默認(rèn)everyone組權(quán)限

４．設(shè)置密碼復(fù)雜性要求，設(shè)置密碼有效期

５．設(shè)置屏保密碼

６．設(shè)置分區(qū)格式為NTFS格式

７．開啟系統(tǒng)安全策略（帳戶策略、本地策略）

８．關(guān)閉TerminalServices和IIS服務(wù)

９．關(guān)閉不必要的服務(wù)端口

常用服務(wù)列表c:windowssystem32driversetcservices

網(wǎng)上鄰居>屬性>本地連接>屬性>internet 協(xié)議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打

開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

10．不顯示上次登錄的用戶帳戶名

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName=1

11．禁止建立IPC$空連接

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSARestrictAnonymous=1

12．下載最新的Service Pack和漏洞補丁

13．禁用磁盤默認(rèn)共享

HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparametersAutoShareServerREG_DWORD=0x0

14．禁用ADMIN共享

HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparametersAutoShareWks REG_DWORD=0x0

15．限制IPC$共享

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSARestrictAnonymousREG_DWORD=0x0 匿名用戶無法列舉本機用戶列表

REG_DWORD=0x1 匿名用戶無法連接本機IPC$共享（不建議使用該值，否則造成某些服務(wù)無

法啟動如Sql Server）

16．禁用445端口

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]

“SMBDeviceEnabled”=dword:00000000

17．禁止網(wǎng)頁修改注冊表

管理工具-> 服務(wù)-> Remote Registry Service-> “已禁用”

18．安裝并運行防病毒軟件、定期升級

19．敏感文件存放不同的文件服務(wù)器上，定期備份數(shù)據(jù)。

20．打開審核策略

21．使用文件加密系統(tǒng)EFS

Windows2000 強大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個的文件.有關(guān)EFS的具體信息可以查看

22．關(guān)機時清除掉頁面文件

編輯注冊表 HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值設(shè)置成1。