Windows XP的结构是层次结构和客户机／服务器结构的混合体。系统划分为三层，其中，最底层是硬件抽象层，它为上面的一层提供硬件结构的接口，有了这一层就可以使系统方便地移植；第二层是内核层，它为低层提供执行、中断、异常处理和同步的支持；第三层是由一系列实现基本系统服务的模块组成的，例如虚拟内存管理、对象管理、进程和线程管理、I/O管理、进程间通信和安全参考监督器。---注意，没有“应用程序层”

Windows2000系统在安全设计上有专门的安全子系统，安全子系统主要由本地安全授权（LSA）、安全账户管理（SAM）和安全参考监视器（SRM）等组成。其中，本地安全授权部分提供了许多服务程序，保障用户获得存取系统的许可权。它产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由SRM产生的审查记录信息。

安全账户管理部分对SAM数据库进行维护，该数据库包含所有组和用户的信息。SAM提供用户登录认证，负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对，并为用户赋予一个安全标识符（SID）。根据网络配置的不同，SAM数据库可能存在于一个或多个WindowsNT系统中。

安全参考监视器负责访问控制和审查策略。SRM提供客体（文件、目录等）的存取权限，检查主体（用户账户等）的权限，产生必要的审查信息。客体的安全属性由访问控制项（ACE）来描述，全部客体的ACE组成访问控制列表（ACL）。没有ACL的客体意味着任何主体都可访问。而有ACL的客体则由SRM检查其中的每一项ACE，从而决定主体的访问是否被允许。

以Windows2000为例，系统提供两种基本认证类型，即本地认证和网络认证。其中，本地认证是根据用户的本地计算机或Active Directory账户确认用户的身份。而网络认证，则根据此用户试图访问的任何网络服务确认用户的身份。为提供这种类型的身份验证，Windows 2000安全系统集成三种不同的身份验证技术：KerberosV5、公钥证书和NTLM。

Windows NT／XP的安全性达到了橘皮书C2级，实现了用户级自主访问控制。为了实现进程间的安全访问，WindowsNT／XP中的对象采用了安全性描述符（Security Descriptor）。安全性描述符主要由用户SID（Owner）、工作组SID（Group）、自由访问控制列表（DACL）和系统访问控制列表（SACL）组成。

Windows日志有三种类型：系统日志、应用程序日志和安全日志，它们对应的文件名为SysEvent.evt、AppEvent.evt和SecEvent.evt。这些日志文件通常存放在操作系统安装的区域“system32＼config”目录下。

针对来自网络上的威胁，Windows NT4.0、Windows 2000则提供了包过滤机制，通过过滤机制可以限制网络包进入用户计算机。而Windows XP则自带了防火墙，该防火墙能够监控和限制用户计算机的网络通信。

微软公司研究开发了加密的文件系统EFS，文件中的数据利用EFS在磁盘上加密。用户如果访问加密的文件，则必须拥有这个文件的密钥，才能够打开这个文件。

针对常见的缓冲区溢出、恶意代码等攻击，微软公司的新版本操作系统Windows7、Windows10增加抗攻击安全机制，集成了内存保护机制，主要包括堆栈保护、安全结构例外处理SafeSEH、数据执行保护DEP、地址随机化ASLR、补丁保护PatchGuard、驱动程序签名等保护机制。Windows10提供减少攻击面规则配置。

1||| Windows口令

2||| Windows恶意代码

3||| Windows应用软件漏洞

4||| Windows系统程序的漏洞

5||| Windows注册表安全

6||| Windows文件共享安全

7||| Windows物理临近攻击

1||| 安全漏洞打补丁（Patch）。

2||| 停止服务和卸载软件。

3||| 升级或更换程序。

4||| 修改配置或权限。

5||| 去除特洛伊等恶意程序。

6||| 安装专用的安全工具软件。针对Windows漏洞修补问题，用户可以安装自动补丁管理程序。

1||| 确认系统安全增强的安全目标和系统的业务用途。

2||| 安装最小化的操作系统。安装最小化的操作系统要求：尽量使用英文版Windows操作系统；不要安装不需要的网络协议；使用NTFS分区；删除不必要的服务和组件。

3||| 安装最新系统补丁

4||| 配置安装的系统服务。不要安装与系统业务运行无关的网络／系统服务和应用程序；安装最新的应用程序和服务软件，并定期更新服务的安全补丁。

5||| 配置安全策略。以配置账户策略为例，策略包含：密码复杂度要求；账户锁定阂值；账户锁定时间；账户锁定记数器。

6||| 禁用NetBIOS。NetBIOS提供名称服务和会话服务，这些服务通常会给攻击者提供入侵切入点。为了系统的安全，一般建议禁用NetBIOS，其方法如下： 在防火墙上过滤外部网络访问135～139、445端口。 （1）修改注册表，禁用NetBIOS。 （2）禁用NetBIOSoverTCP／IP。 （3）禁用Microsoft网络的文件和打印共享。

7||| 账户安全配置。禁用默认账号；定期检查账户，尽早发现可疑账户：锁定Guest账户。

8||| 文件系统安全配置。文件系统安全的措施通常如下： （1）删除不必要的帮助文件和“％System％＼Drivercache”目录下的文件；删除不必要的应用程序，例如cmd.exe； （2）启用加密文件系统； （3）设置文件共享口令；---文件共享时要设置口令 （4）修改系统默认安装目录名。

9||| 配置TCP／IP筛选。过滤不需要使用的端口；过滤不需要的应用层网络服务；过滤ICMP数据包。

10||| 禁用光盘或软盘启动。

11||| 使用屏幕保护口令。使用屏幕保护口令防止工作主机被他人滥用。

12||| 设置应用软件安全。应用软件安全的设置应做到以下几个方面： （1）及时安装应用软件安全的补丁，特别是IE、Outlook、Office办公套件等； （2）修改应用软件安全的默认设置； （3）限制应用软件的使用范围。

13||| 安装第三方防护软件。

关闭软盘及光盘的启动功能。设置方法为：启动计算机，在系统自检时进入系统的CMOS设置功能，然后将系统的启动选项设置为“Conly”（即仅允许从C盘启动），同时为COMS设置必要的密码。

加强用户账号与口令的安全管理，措施有：

1）停掉guest账号

2）限制不必要的用户数量

3）把系统Administrator账号改名

4）创建一个陷阱账号。---比如新建一个Administrator账号，但权限设置最小

5）设置安全复杂的口令

6）设置屏幕保护口令

7）不让系统显示上次登录的用户名。---系统默认记“登录名”，比如xxx

8）开启口令安全策略

9）开启账号策略

1||| 禁止建立空连接。方法是修改注册表LSA-RestrictAnonymous的键值为1。

2||| 关闭默认共享。

3||| 关闭不必要的网络服务和网络端口。

1||| 基于口令的认证方式。

2||| 终端认证。提供一个限制超级用户从远程登录的终端认证。

3||| 主机信任机制。提供不同主机之间的相互信任机制，这样使得不同主机用户之间无须系统认证就可以登录。

4||| 第三方认证。是指非UNIX／Linux系统自身带有的认证机制，而是由第三方提供认证。

普通的UNIX／Linux系统一般通过文件访问控制列表ACL来实现系统资源的控制，也就是常说的通过“9bit＂位来实现。---如-rwxr--r--

早期版本UNIX的审计日志目录放在／usr／adm；较新版本的在／var／adm；Solaris、Linux和BSD在UNIX／var／log。常见日志文件如下：

lastlog：记录用户最近成功登录的时间；

loginlog：不良的登录尝试记录；

messages：记录输出到系统主控台以及由syslog系统服务程序产生的消息；

utmp：记录当前登录的每个用户；

utmpx：扩展的utmp；

wtmp：记录每一次用户登录和注销的历史信息；wtmpx：扩展的wtmp；

vold.log：记录使用外部介质出现昀错误；

xferkig：记录ftp的存取情况；

sulog：记录su命令的使用情况；

acct：记录每个用户使用过的命令。

口令信息保存在passwd和shadow文件中，目录是／etc。

系统提供两个文件＄HOME／．rhost或／etc／hosts.equiv来配置实现可信主机的添加。

略...

SUID文件是指被设置成可以带有文件拥有者的身份和权限被执行的可执行文件。

略...

文件系统是UNIX／Linux系统安全的核心，在UNIX／Linux中，所有的资源都被看作文件。UNIX／Linux文件安全是通过“9bit”值控制的，每个文件有三组权限，一组是文件的拥有者，一组是文件所属组的成员，一组是其他所有用户。文件的权限有：r（读）、w（写）、x（执行）。

略...

略...

1||| 给安全漏洞打补丁；

2||| 停止不必要的服务；

3||| 升级或更换软件包；

4||| 修改系统配置；

5||| 安装专用的安全工具软件。

略...

具体安全要求如下：

inetd．conf的文件权限设置为600；---600，即-rw-------

inetd.conf的文件属主为root；

servlces的文件权限设置为644；

services的文件属主为root；

在inetd.conf中，注销不必要的服务，比如fnger、echo、chargen、rsh、rlogin、tftp服务；

只开放与系统业务运行有关的网络通信端口。

cmos之类。略...

略...

针对Telnet、FTP的安全（---远程）

通过tcp＿wrapper，管理员可以设置对inetd提供的各种服务进行监控和过滤。

略...

防篡改之类。略...

略...

常用的安全工具有Netstat、Isof.Snort等.

对于系统中的某些关键性文件，如inetd．conf、servlces和lilo．conf等可修改其属性，防止意外修改和被普通用户查看。

首先改变文件属性为600：chmod600／etc／inetd．conf

保证文件的属主为root，将其设置为不能改变：chattr＋i／etc／inetd.conf，这样，对该文件的任何改变都将被禁止。

只有root重新设置复位标志后才能进行修改：chattr-i／etc／inetd.conf

SUID可以使普通用户以root权限执行某个程序，因此应严格控制系统中的此类程序。

在／etc／lilo．conf文件中增加选项，从而使LILO启动时要求输入口令，以加强系统的安全性。需注意，由于在LILO中口令是以明码方式存放的，所以还需要将lilo.conf的文件属性设置为只有root可以读写。

略...

略...

修改／etc／profile文件，保证账户在一段时间没有操作后，自动从系统注销。

编辑文件／etc／profile，在“HISTFILESIZE＝”行的下一行增加如下一行：TMOUT=600；---＃则所有用户将在10分钟无操作后自动注销。

编辑／etc／skel／．bash＿logout文件，增加如下行：rm-f$HOME/.bash_hsitory，这样使得系统中的用户在注销时都会删除其命令记录。

内核漏洞类型主要有输入验证错误、缓冲区溢出错误、边界条件错误、访问验证错误、异常条件处理错误、环境错误、配置错误、条件竞争错误、设计错误等。

国产操作系统所依赖的第三方系统组件存在安全漏洞，引发操作系统安全风险问题。

略...

中科方德方舟安全操作系统。以安全性为主要特征，通过了公安部信息安全产品检测中心的检测，满足第四级-结构化保护级的要求，其安全特点主要如下。

①基于三权分立的管理机制。系统管理员、安全管理员、审计管理员，形成相互制约关系，防止管理员的恶意或偶然操作引起系统安全问题。

②强化的身份标识与认证机制。为系统中的所有用户提供身份标识和认证机制，用户的身份标识在系统的整个生命周期内可以唯一地标识用户的身份，采用强化的口令管理及基于数字证书认证机制，实现对用户身份的真实性鉴别。

③综合应用多种安全策略，提高系统的安全性。系统通过数据所有者自身定义的访问控制策略与主客体集中控制和授权机制相结合的方式，实现“最小特权”，防止数据访问范围扩大，保证系统数据的机密性和完整性，从而有效提供系统的安全性。

④基于内核层的安全审计。用户所有的操作和各种应用程序（包括恶意的）的操作，都一定要通过操作系统的内核才能作用，因此，在系统内核层进行的审计，是不可能被绕过的。

⑤支持各类通用软件，具有良好的软硬件兼容性。

中标麒麟安全操作系统。基于LSM机制的SELinux安全子系统框架，提供三权分立机制权限集管理功能和统一的安全管理中心SMC，支持安全管理模式切换，针对特定应用的安全策略定制；提供核心数据加密存储、双因子认证、高强度访问控制、进程级最小权限、网络安全防护、细粒度的安全审计、安全删除、可信路径、TCM支持等多项安全功能；提供可持续性的安全保障；兼容主流的软硬件；为用户提供全方位的操作系统和应用安全保护，防止关键数据被篡改、被窃取，系统免受攻击，保障关键应用安全、可控和稳定地对外提供服务。

中标麒麟可信操作系统。结合可信计算技术和操作系统安全技术，通过信任链的建立及传递实现对平台软硬件的完整性度量。主要功能如下：

①提供基于三权分立机制的多项安全功能（身份鉴别、访问控制、数据保护、安全标记、可信路径、安全审计等）和统一的安全控制中心。

②支持国内外可信计算规范（TCM／TPCM、TPM2.0）。

③支持国家密码管理部门发布的SM2、SM3、SM4等国密算法；兼容主流的软硬件和自主CPU平台。提供可持续性的安全保障，防止软硬件被篡改和信息被窃取，系统免受攻击。