Windows10的系統安全包括？

一、 安全環境

1、身份驗證：通過交互式登錄和網絡身份驗證等方式驗證用戶的身份。

2、訪問控制：通過給用戶和組指定權限來允許或拒絕用戶對相應資源的訪問。

3、授權管理器：授權管理器提供了基于角色的訪問控制。管理員可以基于角色進行授權，來確定某角色所能執行的操作。

4、安全配置管理器：安全配置管理器允許管理員創建、應用和編輯本地計算機、組織單位或域的安全性。

5、軟件限制策略：使用軟件限制策略，可以標識軟件并控制它在本地計算機、組織單位、域或站點中的運行能務。

6、審核安全事件：設置審核策略，以便記錄用戶和系統的活動。 7、加密文件系統：使用“加密文件系統（EFS）”可以加密保存在磁盤上的文件和目錄。 8、公鑰基礎結構：“公鑰基礎結構“（通常簡寫成PKI）是數字證書、證書頒發機構（OA）的系統，用于驗證使用公鑰加密進行電子交易時所涉及的每一方的有效性。 9、IPSEC：“INTERNET協議安全性（IPSEC）”是一種開放標準的框架結構，通過使用加密安全服務以確保在INTERNET協議（IP）網絡上進行保密而安全的通信。

二、注冊表安全

1、Windows Server 2003注冊表的結構

2、Windows Server 2003注冊表的主要組成

3、修改注冊表、備份注冊表、恢復注冊表

三、安全設置

1、Windows Server 2003 安全配置和管理

1）定制自己的Windows Server 2003（選擇合適的版本。只安裝必要的組件、合理選擇應用程序，暫不接入網絡、安裝補丁、安裝防病毒軟件，最少組件+最小限權=最大安全） 2）進行必要的安全配置。

除了通過防火墻來加強網絡安全之外，我們也可以使用一些其它誶來強化系統安全，簡介如下。

（1）物理安全

物理安全是指服務器應該安放在安裝了監視器的隔離房間內，并且監視器要保留15天以上的攝像記錄。另外，機箱、鍵盤、電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全地方。

（2）禁用guest賬號

在“計算機管理”的“用戶”里停用guest帳號，任何時候都不允許guest帳號登錄系統。同時，還要給guest加一個復雜的密碼。

（3）限制不必要的用戶數量

去掉所有的無用賬號，如測試用賬號、共享賬號、普通部門賬號等。這些賬號往往是黑客們入侵系統的突破口，系統的賬號，黑客們得到合法權限的可能性也就越大。

（4）把系統Administrator賬號改名

Windows Server 2003 的Administrator賬號是不能被停用的，這意味著別人可以一遍又一遍的嘗試這個賬號的密碼，把Administrator賬號改名可以有效地防止這一點。當然，請不要使用Amin之類的名字，這樣改了等于沒改，晝把它偽裝成變通用戶。

（5）創建一個陷阱賬號

所謂陷阱賬號，是指創建一個名為“Aministrator”的本地賬戶，把它的權限設置成最，并且加上一個超過10位的很復雜的密碼。這樣可以讓那些非法用戶秀難獲得管理員權限，并且可以借此發現它們的入侵企圖。

（6）把共享文件的權限從“Everyone”組改成“授權用戶”

“Everyone”在Windws Server 2003中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享。任何時候都不要把共享文件的用戶設置成“everyone”組。

（7）使用安全密碼

一個好的密碼對于一個網絡是非常重要的，便這也是最容易被忽略的。一些公司的管理員在創建賬號時，往言行一致用公司名、計算機名，或者一些很容易被別人猜到的用戶名，然后又把這些賬戶的密碼設置得很簡單。這樣的賬房應該要求用戶首次登錄時改成復雜的密碼，還要注意經常更改密碼。

（8）設置屏幕保護密碼 這一點雖然很簡單，但卻是很有必要的。設置屏幕保護密碼也是防止內部人員破壞報務器的一個屏障。注意不要使用OpenGBL和一些復雜的屏幕保護程序，這樣浪費系統資源，讓它黑屏就可以了。還有一點，所有系統用戶所使用的機器也是最好加上屏幕保護密碼。

（9）使用NTFS格式分區

把服務器的所有分區都改成NTFS格式，NTFS文件系統要比FAT、FAT32的文件系統安全得多。

（10）運行防毒軟件 這一點非常重要，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序，使“黑客”們使用的那些有名的木馬毫無用武之地。同時不要忘了經常升級病毒庫。

（11）保障備份盤的安全

一旦系統資料被破壞，備份盤將是你恢復資料的惟一途徑，備件完資料后，把備份盤放在安全的地方，千萬不要把資料備份在同一臺服務器上，那樣的話，還不如不備份。

（12）關閉不必要的服務

Windows Server 2003的Termtel Server(終端服務)，Js和RAS都可能給你的系統帶來安全漏洞。為了能夠遠程管理服務器，很多機器的終端服務都是打開的，如果你的也開了，要確認你已經正確地配置了終端服務。有些惡意的程序也能以服務的方式悄悄運行。要留意服務器上開啟的所有服務，每天檢查它們。

（13）關閉不必要的端口 關閉端口意味著減少功能，在安全和功能上應該有所選擇。用端口掃描器掃描系統所開放的端口，確定開放的哪些服務是黑客入侵系統的第一步。\System32\Drivers\Etc\Servces文件中有知名端口和服務的對照表可供參考。關閉端口的具體方法為：依次打開“網上鄰居”/“屬性”/“本地連接”/“屬性”/“Internet協議（TCP/IP）”/“屬性”/“高級”/“選項”/“TCP/IP篩選”/“屬性”，打開TCP/IP篩選，添加需要的TCP，UDP協議的端口即可。

（14）打開審核策略

開啟安全審核是Windows Server 2003最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼、改變賬戶策略、未經許可的文件訪問等）入侵的時候，都會被安全審核記錄下來。很多管理員在系統被入侵了幾個月還不知道，直到系統遭到破壞。下面的這些審核是必須開啟的，其他的可以根據需要增加。 策略設置

審核系統登錄事件 成功，失敗 審校賬戶管理 成功，失敗 審核登錄事件 成功，失敗 審核對象訪問 成功

審核策略更改 成功，失敗 審核特權使用 成功，失敗 審核系統事件 成功，失敗

（15）設定安全記錄的訪問權限

安全記錄在默認情況下是沒有保護的，把它設置成只有Adminitrator和系統賬戶才有權訪問。

（16）把敏感文件存放在另外的文件服務器中

雖然現在服務器的硬盤容量都很大，但是我們還是應該把一些重要的用戶數據（文件、數據表、項目文件等）存放在另外一個安全的服務器中，并且經常備份它們。