Windows10的系统安全包括

Windows10的系统安全包括？

一、 安全环境

1、身份验证：通过交互式登录和网络身份验证等方式验证用户的身份。

2、访问控制：通过给用户和组指定权限来允许或拒绝用户对相应资源的访问。

3、授权管理器：授权管理器提供了基于角色的访问控制。管理员可以基于角色进行授权，来确定某角色所能执行的操作。

4、安全配置管理器：安全配置管理器允许管理员创建、应用和编辑本地计算机、组织单位或域的安全性。

5、软件限制策略：使用软件限制策略，可以标识软件并控制它在本地计算机、组织单位、域或站点中的运行能务。

6、审核安全事件：设置审核策略，以便记录用户和系统的活动。 7、加密文件系统：使用“加密文件系统（EFS）”可以加密保存在磁盘上的文件和目录。 8、公钥基础结构：“公钥基础结构“（通常简写成PKI）是数字证书、证书颁发机构（OA）的系统，用于验证使用公钥加密进行电子交易时所涉及的每一方的有效性。 9、IPSEC：“INTERNET协议安全性（IPSEC）”是一种开放标准的框架结构，通过使用加密安全服务以确保在INTERNET协议（IP）网络上进行保密而安全的通信。

二、注册表安全

1、Windows Server 2003注册表的结构

2、Windows Server 2003注册表的主要组成

3、修改注册表、备份注册表、恢复注册表

三、安全设置

1、Windows Server 2003 安全配置和管理

1）定制自己的Windows Server 2003（选择合适的版本。只安装必要的组件、合理选择应用程序，暂不接入网络、安装补丁、安装防病毒软件，最少组件 最小限权=最大安全） 2）进行必要的安全配置。

除了通过防火墙来加强网络安全之外，我们也可以使用一些其它谇来强化系统安全，简介如下。

（1）物理安全

物理安全是指服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱、键盘、电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全地方。

（2）禁用guest账号

在“计算机管理”的“用户”里停用guest帐号，任何时候都不允许guest帐号登录系统。同时，还要给guest加一个复杂的密码。

（3）限制不必要的用户数量

去掉所有的无用账号，如测试用账号、共享账号、普通部门账号等。这些账号往往是黑客们入侵系统的突破口，系统的账号，黑客们得到合法权限的可能性也就越大。

（4）把系统Administrator账号改名

Windows Server 2003 的Administrator账号是不能被停用的，这意味着别人可以一遍又一遍的尝试这个账号的密码，把Administrator账号改名可以有效地防止这一点。当然，请不要使用Amin之类的名字，这样改了等于没改，昼把它伪装成变通用户。

（5）创建一个陷阱账号

所谓陷阱账号，是指创建一个名为“Aministrator”的本地账户，把它的权限设置成最，并且加上一个超过10位的很复杂的密码。这样可以让那些非法用户秀难获得管理员权限，并且可以借此发现它们的入侵企图。

（6）把共享文件的权限从“Everyone”组改成“授权用户”

“Everyone”在Windws Server 2003中意味着任何有权进入你的网络的用户都能够获得这些共享。任何时候都不要把共享文件的用户设置成“everyone”组。

（7）使用安全密码

一个好的密码对于一个网络是非常重要的，便这也是最容易被忽略的。一些公司的管理员在创建账号时，往言行一致用公司名、计算机名，或者一些很容易被别人猜到的用户名，然后又把这些账户的密码设置得很简单。这样的账房应该要求用户首次登录时改成复杂的密码，还要注意经常更改密码。

（8）设置屏幕保护密码 这一点虽然很简单，但却是很有必要的。设置屏幕保护密码也是防止内部人员破坏报务器的一个屏障。注意不要使用OpenGBL和一些复杂的屏幕保护程序，这样浪费系统资源，让它黑屏就可以了。还有一点，所有系统用户所使用的机器也是最好加上屏幕保护密码。

（9）使用NTFS格式分区

把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。

（10）运行防毒软件 这一点非常重要，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，使“黑客”们使用的那些有名的木马毫无用武之地。同时不要忘了经常升级病毒库。

（11）保障备份盘的安全

一旦系统资料被破坏，备份盘将是你恢复资料的惟一途径，备件完资料后，把备份盘放在安全的地方，千万不要把资料备份在同一台服务器上，那样的话，还不如不备份。

（12）关闭不必要的服务

Windows Server 2003的Termtel Server(终端服务)，Js和RAS都可能给你的系统带来安全漏洞。为了能够远程管理服务器，很多机器的终端服务都是打开的，如果你的也开了，要确认你已经正确地配置了终端服务。有些恶意的程序也能以服务的方式悄悄运行。要留意服务器上开启的所有服务，每天检查它们。

（13）关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上应该有所选择。用端口扫描器扫描系统所开放的端口，确定开放的哪些服务是黑客入侵系统的第一步。\System32\Drivers\Etc\Servces文件中有知名端口和服务的对照表可供参考。关闭端口的具体方法为：依次打开“网上邻居”/“属性”/“本地连接”/“属性”/“Internet协议（TCP/IP）”/“属性”/“高级”/“选项”/“TCP/IP筛选”/“属性”，打开TCP/IP筛选，添加需要的TCP，UDP协议的端口即可。

（14）打开审核策略

开启安全审核是Windows Server 2003最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码、改变账户策略、未经许可的文件访问等）入侵的时候，都会被安全审核记录下来。很多管理员在系统被入侵了几个月还不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加。 策略设置

审核系统登录事件 成功，失败 审校账户管理 成功，失败 审核登录事件 成功，失败 审核对象访问 成功

审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败

（15）设定安全记录的访问权限

安全记录在默认情况下是没有保护的，把它设置成只有Adminitrator和系统账户才有权访问。

（16）把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大，但是我们还是应该把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。

Windows 10为用户提供了可以信任的全面、内置和持续的安全保护，包括Windows Defender防病毒、防火墙等。通过自动检查最新更新，可以使电脑保持最新状态，这样无需花费任何额外费用，就可以放心使用最新功能和保护。

在Cortana搜索框中键入“安全中心”，打开Windows安全中心设置。

1、Windows Defender智能屏幕

根据微软的说法，Windows Defender Smart Screen可以“一见钟情”。如果他们尝试访问以前报告为包含网络钓鱼或恶意软件的站点，并阻止他们下载潜在的恶意文件，它将有助于保护员工。它还可以帮助防止假冒广告，诈骗网站和驱动器攻击。

Benoit说：“这是反网络钓鱼和恶意软件保护策略的多层次防御之一。

2、Windows Defender Application Guard

Application Guard提供针对针对Microsoft Edge使用Microsoft Hyper-V虚拟化技术的高级，有针对性的威胁的保护。该功能与白名单一起使用：用户可以指定受信任的站点自由浏览。如果站点不受信任，Application Guard将在容器中打开它，完全阻止访问内存，本地存储，其他已安装的应用程序，企业网络端点或攻击者感兴趣的任何其他资源。

3、用户帐号控制

用户帐户控制（UAC）通过防止恶意软件损坏机器来保护用户，并帮助企业部署更好的管理桌面。启用此功能后，应用程序和任务总是在非管理员帐户的安全上下文中运行，除非管理员专门授权对系统进行管理员级访问。它还可以阻止未经授权的应用程序的自动安装，并防止意外更改系统设置。

4、Windows Defender Device Guard

后卫设备防护包括驱动程序和应用程序白名单，Benoit说。该功能从应用程序被信任的模式（从防病毒解决方案阻止）转变为操作系统信任企业授权的应用程序的模式。它运行在两个组件上：第一个内核模式代码完整性（KMCI）通过使用HVCI来保护内核模式进程和驱动程序免受零日攻击和其他漏洞。第二个用户模式代码完整性（UMCI）是企业级应用程序白名单，为仅使用可信应用程序的企业实现PC锁定。

5、Windows Defender Exploit Guard

Defender Exploit guard包括攻击防护，攻击面减少规则，网络保护和受控文件夹访问。它还提供遗留的应用程序保护，包括任意代码保护，阻止低完整性映像，阻止不受信任的字体以及导出地址过滤。

“这有助于您审核，配置和管理Windows系统和应用程序利用缓解，”Benoit说。 “它还提供了一类新的入侵防御能力。”

6、微软Bitlocker

Bitlocker是Windows 10 Professional和Enterprise中本机提供的全驱动加密解决方案，Benoit说。它有助于通过增强文件和系统保护来减轻未经授权的数据访问，并且如果计算机停用或回收，则使数据无法访问。

他说：“这是非常重要的 - 你不想成为在CEO的设备丢失或被盗之后被指责的人，而且所有的数据都是在万维网上找到的。”他补充说。

7、Windows Defender Credential Guard

Defender Credential Guard使用基于虚拟化的安全性来隔离秘密，以便只有特权的系统软件可以访问它们 - 防止凭据窃取攻击。启用此功能可提供硬件安全性和更好的防御高级持久性威胁。