当前位置：首页 > news >正文

系统如何做好安全加固？

news 文章来源：https://blog.csdn.net/NSME1/article/details/138533499 2025/4/5 11:26:40

一、Windows系统

Windows系统出厂时，微软为了兼容性，默认并未对系统安全做严格的限制，因此还需要做一些基本的安全加固，方可防止黑客入侵。

1、系统补丁更新

为什么要更新系统补丁？很多人感觉漏洞更新没必要，但是这种疏忽往往会带来致命的入侵。因为现在的漏洞挖掘已经形成产业链，挖掘漏洞，贩卖新型漏洞已经屡见不鲜，漏洞利用工具已经非常成熟，甚至一些不法分子不懂得漏洞利用原理就能傻瓜式操作漏洞利用工具对目标主机系统进行渗透提权。
千万不要使用任何第三方软件更新补丁，用Windows自带的补丁更新工具才是最好的。没有谁比微软更了解Windows，而且第三方软件有可能会加入一些自己的软件进去，比如某安全巨头公司曾经就干过这种卑鄙的事情，而且第三方软件打的补丁导致蓝屏的概率也更大。

2、禁用不需要的服务

以下服务必须禁用：Server、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser

3、卸载危险组件

regsvr32 /u %SystemRoot%system32shell32.dll
regsvr32 /u %SystemRoot%system32wshom.ocx

4、删除危险权限

由于系统权限设置的地方非常多，我们只能公布常用的部分。
部分文件被系统隐藏了，不便于设置，因此我们先将所有文件显示出来。
更改系统盘所有者为Administrators
所有盘根目录只保留Administrators和SYSTEM权限。
系统盘加上Users“读取权限”，仅当前目录
C:WINDOWS、C:WINDOWSsystem32、C:WindowsSysWOW64 只保留Administrators和SYSTEM，以及User读和执行
C:Program Files 、C:Program Files (x86) 只保留Administrators和SYSTEM
C:Program FilesCommon Files 、C:Program Files (x86)Common Files 只保留Administrators和SYSTEM，以及User读和执行
C:ProgramData 只保留Administrators和SYSTEM，以及User读和执行
C:Users 只保留Administrators和SYSTEM
C:inetpub 只保留Administrators和SYSTEM
C:inetpubcusterr 只保留Administrators和SYSTEM，以及User读
C:inetpub emp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除
C:WindowsTemp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除
C:Windows racing 只保留Administrators和SYSTEM，以及User读和network service读
C:WindowsVss 只保留Administrators和SYSTEM，以及User读和network service读写删除
C:ProgramDataMicrosoftDeviceSync 只保留Administrators和SYSTEM，以及User读
C:WINDOWS下的部分exe软件只保留Administrators和SYSTEM，如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx

注意：如果您安装了SQL Server软件，还需要给系统盘上SQL Server相关目录加上MSSQLSERVER的权限。

如果设置后网站无法访问，给网站目录加上Users的读写删除权限
做到以上这些就安全了？答案是否，没有绝对的安全，所以尽量安装一个防病毒软件

5、安装防病毒软件

有些人说杀毒会直接误杀掉自己的程序，由于很多程序开发后没有签名和过杀毒认证，导致程序报毒。
1、如果只是误报而不是真正的毒，那就直接将程序加入杀毒信任列表，病毒处理方式改为：询问
2、是真的病毒，使用过程还会导致系统、内存感染等一系列异常，这种情况会导致杀毒直接将其杀灭，但是又必须使用，这种情况就没办法使用杀毒，最好是找干净的程序文件替换掉解决。
推荐使用火绒杀毒，干净无捆绑，误杀率低，又能阻止恶意文件提权，修改系统层文件等。腾讯管家也尚可
某卫士存在强杀情况，而且广告弹窗满天飞，容易给远程桌面带来严重卡顿情况。

二、Liunx系统

liunx系统如何进行补丁更新呢？
使用命令 yum update -y 进行全面更新

注意：这个命令会升级内核，一般是在新装的系统使用比较好，后期不要轻易这样操作，要在保证软件兼容性的条件使用。而且有些软件可能会对内核有一定的要求。

有些服务器硬件（特别是组装的机器）在升级内核后，新的内核可能会认不出某些硬件，要重新安装驱动，很麻烦。所以在生产环境中不要轻易的升级内核，除非你确定升级内核后不会出现麻烦的问题。使用yum update更新系统软件时，禁止升级内核，可以防止产生因不兼容导致的未知错误。

方法一

#yum -exclude=kernel* update

方法二
修改yum配置文件/etc/yum.conf

#vi /etc/yum.conf

#在[main]的最后添加两行并保存：

exclude=kernel*
exclude=centos-release*

系统如何做好安全加固？

一、Windows系统

1、系统补丁更新

2、禁用不需要的服务

3、卸载危险组件

4、删除危险权限

5、安装防病毒软件

二、Liunx系统

相关文章：

系统如何做好安全加固？

对NI系统和PLC系统的应用比较

微服务架构中的挑战及应对方式：Outbox 模式

使用Docker安装MySQL5.7.36

【PyTorch】6-可视化（网络结构可视化、CNN可视化、TensorBoard、wandb）

C++容器——map和pair对组

MVC和DDD的贫血和充血模型对比

如何利用AI提高内容生产效率?

C++ stack、queue以及deque

科沃斯，「扫地茅」荣光恐难再现

双向BFS算法学习

C++从入门到精通---模版

Unity数据持久化之Json

LeetCode 35.搜索插入位置

速来get！多微信聚合聊天功能大揭秘！

【跟我学RISC-V】（一）认识RISC-V指令集并搭建实验环境

如何使用google.protobuf.Struct？

Vue3 + TS + Element-Plus 封装的 Dialog 弹窗组件

大数据技术概述_4.大数据的应用领域

ABB RobotStudio学习记录（一）新建工作站

雷达通信一体化（含WCSP2023会议论文集学习）

特斯拉擎天柱机器人：工厂自动化的未来

【管理咨询宝藏93】大型制造集团数字化转型设计方案

【数学建模】天然肠衣搭配问题

Dockerfile实践java项目

【管理咨询宝藏96】企业数字化转型的中台战略培训方案

【webrtc】MessageHandler 3：基于线程的消息处理：以sctp测试为例

redisson 使用脚本实现将一个队列的元素弹出并推入另一个队列的原子操作

基于Springboot的校园新闻管理系统（有报告）。Javaee项目，springboot项目。

Windows环境下基于CMake构建Lua