学校计算机房是学校信息化的中枢，为了保证机房系统正常运行，针对各种来源不同的安全威胁，需要有一系列提高系统安全的防范优化应对措施。
    人为威胁

    计算机房承担着学生课堂上机练习、课后上机实验等超负荷的教学任务。由于机房管理制度的不完善，加上学生安全意识淡薄，在上机的过程中有意无意地会出现一些破坏系统的行为。如硬盘被格式化、系统文件被删除造成操作系统无法启动；强行结束学生端客户机程序进程，使得正常的教学无法进行；随意使用可能带有病毒的U盘造成病毒的快速传播。

    最近流行的“机器狗”，可以绕开机房传统的系统保护卡，直接向硬盘写入数据。而“机器狗”等病毒传播的一个重要途径是通过U盘等可移动设备。机房计算机系统应关闭“自动播放”功能，禁止使用可移动设备。禁止使用可移动设备方法有多种，可以在BIOS中关闭USB接口，但这样USB鼠标也不能用了。两全的办法可以通过系统设置，隐藏不需要的盘符。U盘插入后虽然自动加载了驱动，但由于不能分配到盘符，同样可以阻止U盘的使用。

    为防止学生故意结束客户机进程，可以使用修改版的任务管理器程序替代系统原来的任务管理器，只允许查看进程而不能结束进程。在一定程度上可以阻止学生的恶意行为。由于机房是教学场所，对系统的修改不宜过多，以免影响正常的计算机操作功能。

    系统威胁

    Windows操作系统和各种应用程序同样也存在着安全漏洞。黑客、病毒程序往往通过安全漏洞实施传播、攻击系统、破坏数据。机房系统安装完毕后应及时打上最新的补丁，以防攻击者利用这些已知的安全漏洞入侵计算机系统。为方便为计算机更新补丁，可以在本地安装一台WSUS服务器，实现补丁管理的本地化，实时掌握计算机系统补丁更新情况。

    除补丁更新外，还可以利用系统本身提供的权限体系统来加强安全防护，选用安全等级较高的文件系统。Windows NT以上的版本提供对NTFS文件系统的支持，它与FAT文件系统相比，最大的特点是安全，可以让管理员设置文件及目录的存取权限，使用户只能按照系统赋予的权限进行操作，存取设置不仅能防范入侵者，还能使病毒没有执行和安装的权限，有效地保护了系统和数据的安全。设置安全账户和密码，Administrator是系统默认的管理员账户，它往往成为黑客的攻击目标，一旦被破解了密码，整个系统就没有一点安全可言，创建一个拥有全部权限的、自设的管理员账户，更改Administrator账户名或删除它，同时禁用未设任何安全级别的Guest账户，是有效防范攻击的措施。

    互联网威胁

    机房通过校园网接入互联网，网络入侵带来的威胁直接影响机房的安全。现在许多网站的网页中都带有利用IE安全漏洞种植木马的脚本，大量的欺骗性的下载站点更是直接提供含有木马的软件下载。还有互联网上随时可以下载到黑客工具和恶意脚本，即使是普通的计算机使用者都可以利用这些工具对网络进行攻击。因此机房计算机系统除了加上最新的补丁外，还必须安装有效的防病毒程序，可以建立病毒库本地更新服务器，以方便病毒库更新。

    对于目前流行的“机器狗”、“ARP攻击”疫情，可以使用各种专杀工具。为防止内部用户下载攻击工具，可以使用防火墙限制内部用户的上网行为，禁用特殊端口，不允许下载可执行文件等措施，以抑制各种可能的破坏行为。