Windows安全加固

windows加固方向

• 账号管理与认证授权
  
  
  • 按用户类型分配账号（根据系统要求，设定不同账户和组，管理员、数据库sa、审计用户、来宾用户等）--打开本地用户和计算机管理器--打开运行，输入lusrmgr.msc--根据用户要求将账户加入功能组--右击账户--属性--更改隶属于--右击功能组--属性--成员
    
  • 清理系统无用账户（删除或锁定与设备运行，维护等工作无关的账号，提高系统账户安全性。）--打开本地用户和计算机管理器--打开运行，输入lusrmgr.msc--删除或者锁定无关账号--右击账户--删除--右击账户--属性--账户已禁用
    
  • 重命名administrator，禁用guest（较少账户被爆破的可能性，提高系统安全性。）--打开本地用户和计算机管理器--打开运行，输入lusrmgr.msc--为管理员administrator账户改名--右击administrator--重命名--属性--全名--禁用来宾guest--右击guest--属性--账户已禁用
    
  • 设置密码策略（防止弱口令出现，降低被爆破的可能性。）--打开本地安全策略--打开运行,属于secpol.msc--找到密码策略--账户策略--密码策略--修改默认值--密码必须符合复杂度要求--禁用--启用
    
  • 配置账户锁定策略（有效降低administrator意外的账户被爆破的几率）--打开本地策略--打开运行--输入secpol.msc--找到密码策略--账户策略--账户锁定策略--账户锁定时间--未定义--30分钟--账户锁定阙值--0-6--复位账户锁定计时器--未定义--30分钟
    
  • 远程关机权限设置（防止远程用户非法关闭系统）--打开本地安全策略--打开运行--输入secpol.msc--找到用户权限分配--从远端系统强制关机策略中，只保留adminstrator组
    
  • 取得文件或对象的所有权设置（防止用户非法绕过NTFS权限，获取文件内容）--打开本地安全策略--打开运行，输入secpol.msc--找到用户权限分配--本地策略--yoghurt权限分配--获得文件或对象的所有权策略，只保留administrator组
    
  • 设置从本地登录此计算机（防止用户非法登录主机）--打开本地安全策略--打开运行，输入secpol.msc--找到用户权限分配--本地策略--用户权限分配--从本地登录此计算机策略，加入授权用户
    
  • 设置从网络访问此计算机（防止非法用户通过网络访问计算机资源）--打开本地安全策略--打开运行，输入secpol.msc--找到用户权限分配--本地策略--用户权限分配--网络访问系计算机策略，加入授权用户
    
  
  
• 日志配置
  
  
  • 审核策略设置（通过审核策略，记录系统登录事件，对象访问事件，软件安装事件，安全事件等）--打开本地安全策略--打开运行，输入secpol.msc--找到审核策略--本地策略--审核策略--修改审核策略--审核策略更改--设置为“成功”和“失败”都要审核
    
  • 日志记录策略设置（优化系统日志记录，防止日志溢出）--进入事件查看器--打开运行，输入eventvwr.msc--在日志属性中设置日志大小不小于1024kb，设置当达到最大日志尺寸时，按需要改写事件
    
  
  
• IP协议安全
  
  
  • 启用TCP/IP筛选（过滤掉不必要的端口，提高网络安全性）--运维人员列出业务所有端口--打开本地连接--控制面板--网络连接--本地连接--找到高级TCP/IP设置--右击本地连接--internet协议属性--高级TCP/IP设置--在选项的属性中启用网络连接的TCP/IP筛选，是开放业务协议端口
    
  • 开启系统防火墙（多角度封堵业务以外的端口连接）--运维人员列出业务所需端口--打开本地连接中的防火墙--控制面板--网络连接--本地连接--在高级选项中设置启用winndows防火墙--设置例外--只允许业务接口接入网络
    
  • 设置空闲超时锁定系统（防止疏忽导致的系统被非法使用）--进入控制面板--显示--屏幕保护程序--启用屏幕保护程序，设置等待时间为5分钟，启用在恢复时使用密码保护功能
    
  • 设置网络服务空闲挂起（防止远程登录时由于疏忽导致的系统被非法利用）--打开本地安全策略--打开运行，输入secpol.msc--打开安全选项--本地策略--安全选项--"microsoft网络服务器"设置“在挂起会话之前所需空闲时间”为5分钟
    
  • 关闭默认共享（windows默认共享分区，关闭后提高信息安全性）--在注册表里面编辑
    
  • 设置共享文件夹权限（只允许授权账户访问共享文件夹）--进入系统工具--控制面板--管理工具--计算机管理--进入系统工具--共享文件夹--查看每个文件夹的共享权限并按需求更改--在共享权限中删除everyone动态组
    
  
  
• 漏洞管理
  
  
  • 安全系统补丁（修复系统漏洞，安装最新的service pack补丁集）--部署WSUS服务器--从Microsoft Update下载补丁--在测试机上安装补丁后测试业务运行情况--使用WSUS服务器内网分发补丁
    
  • 安装和更新杀毒软件（提高系统防御力，保护关键信息不被破坏）--在服务器上安装最新版企业防病毒软件的服务端--使用C/S结构部署企业版防病毒软件--指定统一安全查杀规则
    
  
  
• windows服务
  
  
  • 关闭无用服务（关闭不必要的服务，提高系统性能和安全性）--打开服务管理器--打开运行services.msc--关闭禁用服务--右击无关服务--属性--启动类型（禁用）--运行状态--停止
    
  • 关闭无用自启动项（减少开机自启动服务和软件，提高性能和安全性）--打开微软控制台--打开运行--msconfig--在启动选项卡中去掉多余的启动项的复选框
    
  • 关闭windows自动播放功能（防止从移动储存设备感染自运行病毒）--打开组策略编辑器--打开运行--gpedit.msc--找到策略所在--计算机配置--管理模板--系统--设置--关闭自动播放--已启用
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！