主机加固的重要步骤是什么？

主机加固为任何系统提供各种保护手段，实现多层次、立体式防护。在系统加固中，通常会对各个层，包括物理层、用户层、 *** 作系统层、应用层、主机层和其他层进行安全防护‘

1.删除未使用的应用程序

每天会有许多后台进程和服务在企业服务器端上运行。由于不清楚一些应用程序对 *** 作系统本身是否有用，想要删除这些咐备搜应用程序会很棘手。借助一些扫描工具可以随时检查是否有应用程序是完全没有价值的，从而删除这些应用程序。

2.定期修补系统

应用程序供应商和 *** 作系统供应商普遍会在几周内发布一次补丁，每当更新可用时，更新系统就是一个良好滚闹的做法。所有这些更新都包含漏洞补丁，如果跳过更新，系统就有可能会受到威胁。新系统应安装在隔离环境中，以受到很好的保护，免受安全攻击。当在不受信任的环境中（如互联网）启动服务器时，服务器会处于很不安全的状态，只有在经过完全修补和测试后才能发布。此外，还要保持定期的安全扫描。

3.控制网络服务衡历

要始终检查通过网络可以访问哪些服务以及哪些用户正在访问这些服务，这会对用户、对应用程序和服务的常规使用有一个更清晰的了解。建立及时警报机制，以应对一旦任何用户多次尝试访问受限服务的安全问题。

从实际运作的层面来看，IT安全问题围绕三个基本事实：其一，IT系统不可能绝对可靠地识别用户的身份。其二，授权用户可能会被利用；其三，如果黑客获得了对主机的访问权，那么该主机就可能被闯入。后者，即为主机加固安全，是极其重要的一道防线。

方面，主机等高价值目标往往吸引的是黑客中的高手；另一方面，如果保存在主机上的数据越重要，用户对它的安全投入就越大，正所谓是“魔高一尺，道高一丈”的较量。

在过去的几年间，现实世界的一些犯罪组织一直在积极招揽黑客，从事针对某些目标的犯罪活动，比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为，这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。

如今，黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得，加上USB存储设备随手可得，只要闲置的USB端口能够实际访问公共场所（比如接待处），就有可能利用网络上的任何PC发动攻击。为此，你要开始考虑对主机进行加固，以防直接从网络内部发动的攻击。

断开网络连接

要加强主机安全，最明显的一个办法就是，把主机与不需要连接的部分断开。如果黑客无法碰到主机，非法闯入也就无从谈起。

关闭端口

提高主机安全的第二个办法就是，真正使用主机内置的安全特性。比如，默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易，但取很少有网络管理员去修改。如果用户对某个文件没有拥有权，就不应该享有自动访问该文件的权限。如果你改了配置，那么即便黑客闯入了某个账户，他也未必能够访问该主机上的所有文件。

另外，对外开的端口越少，黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务，主机上运行的进程越少，意味着黑客可以利用的潜在故障以及安全漏洞就越少。

限制访问

你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限，并不意味着有权可以管理其他功能，比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便，但它却使非法闯入数据库的难度加大了一倍，因为黑客必须攻破两个用户身份和口令。同样，你可以把其他管理任务授权给特定的用户组，但不授予主机（或者网络）的全局管理权限。比如说，你可以允许用户管理打印机，但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实，大多数 *** 作系统都内置了所有这些特性，你根本用不着投入资金，需要的只是学习并使用这些特性。

加强保护

视主机 *** 作系统和运行的网络环境而定，你可以要求使用令牌或者生物识别技术进行验证，用于管理员渣睁冲对任何主机进行访问，你还可以限制管理员只能访问安全区域的某个子网。这样，如果管理员想添加一个新用户，就必须在特定的安全区域，通过特定子网上的PC来进行添加，如歼还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。

改变 *** 作系统

不过，如果你需要更高的安全级别，恐怕就得采用专门技术了。不要单单把Windows作为服务器的 *** 作系统。Windows是一款非常流行的服务器 *** 作系统，但每个黑客都知道，就潜在回报而言，花时间查找Windows *** 作系统的安全漏洞，远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证，Unix较之Windows也有一个早肢优点：你可以重新构建内核，只包含主机中真正需要的那些部分。相比之下，Windows在这方面的内核随带了大量的代码，你没法删除，也没法全部关闭。

中超伟业系统加固软件属于主机安全绝茄乎加固的类别。信息系统纳袭经过终端环境、网络环境，最后进入主机环境，完整的信息安全整体方案包括，终端防并悉护（一般是电磁防护，防止电磁波携带信息造成的泄露）、然后进入我们比较熟知的网络安全（杀毒软件、防火墙等）、最后进入 *** 作系统安全（主动防御机制，通过白名单机理，仅允许白名单内用户和进程进入）。

---