系统控制也是运营安全的一部分。在操作系统内,必须实施某些控制,以确保指令在正确的安全上下文中执行。系统采用某些机制来限制一些类型的指令的执行,以便它们只有当操作系统在特权或管理员状态中时才能运行。这样做可以保护系统的总体安全和状态,有助于确保它以稳定和可预期的方式运行。1当一个操作系统或应用程序崩溃或死机时,不应让系统处于任何类型的不安全状态。对于系统崩溃的通常原因,首先考虑的是因为系统遇到了某些它感到不安全的或不理解的事情,并认为死机、关机和重启要比执行当前的活动更为安全。在系统崩溃后应采取的正确步骤:(1)进入单用户或安全模式如果由于系统无法自动恢复到安全状态而发生系统冷启动,那么管理员必须进行干预。系统要么自动进入"单用户模式",要么必须手动引导到一个"恢复控制台"。在这些模式下,系统尚未开始为用户或网络提供服务,文件系统通常仍未安装,并且只有本地控制台可以访问。因此,管理员必须手动进入控制台,或者使用外部技术,如附加到控制台串行端口上的拨入/拨回调制解调器、附加到图形控制台上的远程键盘/显示器/鼠标(KeyboardVideoMouse,KVM)切换器。(2)修复问题并恢复文件在单用户模式下,管理员会抢救由于系统突然关闭而导致损害的文件系统,然后设法确定系统关闭的原因,以防止这种情况再次发生。有时候,管理员还必须回滚或前滚用户模式下的数据库或其他应用程序。一般情况下,这些行为会在管理员让系统离开单用户模式时自动发生,或者在应用程序和服务返回到正常状态前由系统管理员手动完成。(3)确证关键的文件和操作如果对突然关闭的原因进行调查的结果表明破坏已经发生(例如软件或硬件故障、用户/管理员重新配置、某种攻击),那么管理员必须确证配置文件的内容,并确保系统文件(操作系统程序文件、共事库文件、可能的应用程序文件等)与它们预期的状态保持一致。这些文件的密码校验和(由诸如Tripwire的程序验证)可以执行对系统文件的确证。管理员必须根据系统文挡来验证系统配置文件的内容。在可信恢复进程中应该正确应对的安全问题。引导顺序(C:、A:、D:)应当不能重新配置为了确保系统恢复到安全状态,设计系统时必须防止攻击者改变系统的引导顺序。例如,在Windows工作站或服务器上,应当只允许授权用户访问BIOS设置,以改变由硬件检查的可引导设备的顺序。如果认可的硬盘只有C:(主要的硬盘驱动器)而没有其他硬盘,也不允许可移动设备(如软盘、CD/DVD或U...
