加固操作系統安全性可以從哪些方面入手

加固操作系統安全性可以從以下方面入手：

• 端口和進程：網絡操作系統使用進程向外提供服務，減少無用軟件及服務的任務就是要在所有系統進程中找出多余進程。由于進程通過打開網絡端口向外提供服務，所以找出多余進程的最快方法是觀察進程及端口對應表。Netstat命令顯示協議統計和當前的TCP/IP網絡連接，該命令只有在安裝了TCP/IP協議后才可以使用。通過使用該命令可以列出一個系統上所有打開的TCP/IP網絡監聽端口。這些打開著的端口正是入侵者所要攻擊的，因為它們通向系統平臺內部。因此，作為平臺加固的一部分，用戶使用Netstat命令來識別出無關端口，并由此找到需要刪除或禁用的服務。

• 安裝系統補丁：所有軟件都有缺陷。為了修復這些錯誤，供應商會發布軟件補丁。如果沒有這些補丁，組織很容易遭受攻擊。在有很嚴格的更改控制策略的組織中，及時安裝補丁會是一個問題。對補丁的徹底測試是這個過程的關鍵部分，因為供應商在解決舊問題時，有可能會引入新的問題。而對于和安全缺陷無關的補丁來說沒有問題。但是，入侵者搜索和利用安全弱點的速度很快，所以要求有更快的安全補丁修正過程。企業必須注意安全補丁的發布，并隨時準備快速地使用它們。

• 用戶賬戶：用戶賬戶標識了需要訪問平臺資源的實體（無論是應用程序進程還是人）。操作系統通過權限和優先權將用戶賬戶與其訪問控制系統相關聯。因為用戶賬戶是合法進入系統的機制，所以入侵者常常試圖利用用戶賬戶管理和訪問控制中的缺陷。如果可以作為合法用戶輕松地登錄系統，那么為什么還要浪費時間去做自定義緩沖器溢出攻擊呢？用戶賬戶管理的弱點有5個方面：弱密碼、制造商默認的賬戶、基于角色的賬戶、公司默認賬戶，以及廢棄賬戶。在任何情況下，平臺加固的目標是將用戶賬戶數目減少到所需的絕對最小值。

• 用戶特權：為每一個用戶指派通常只能作為超級用戶運行的特定的應用程序和功能，而不是真正地使用超級用戶賬戶。也可以啟用詳細的日志記錄，使得可以根據任何運行于超級用戶功能追蹤到某個特定的用戶。在特定的應用中，意味著沒有人使用過超級用戶賬戶。

• 文件系統安全：通過在程序文件上設置SUID標志，某一個進程可以臨時提升其特權用以完成某項任務（例如，訪問文件passwd）。當程序執行時，可以暫時得到這些額外的特權而不用被全授予如此高的特權。這個SUID標志常常過度使用，當它與被黑客修改過的軟件包結合時，被修改的程序執行后會使某個用戶得到全時提升的系統權利。UNIX系統可能有很多帶有這個標志的組件，但是通常只需要它們中的一小部分。建議使用命令從整個系統中刪除不需要SUID標志程序的SUID標志。

• 遠程訪問的安全：Telnet和rlogin是UNIX系統上最常用的遠程訪問方式。這些系統都不采用加密技術來保護遠程訪問會話。一種被動的網絡監聽攻擊可以看到用戶在進入Telnet或者rlogin會話中按下的每一個鍵。安全Shell（SSH）是一種在UNIX及Window系統上使用的軟件包，它提供與Telnet和rlogin相同功能，但增加了加密會話功能。這個軟件包已經成為用加密和訪問控制的各種可配置級別進行安全遠程訪問的行業標準。

回答所涉及的環境：聯想天逸510S、Windows 10。