1.账号管理与认证授权

1.1.按用户类型分配账号

目的:根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  右击账户 -> 属性 -> 更改隶属于

  右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  删除或锁定无关账号(删除操作不可逆)

1.3.重命名 administrator,禁用 guest

目的:减少账户被爆破可能性,提高系统访问安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  为管理员 administrator 账户改名

  禁用来宾 guest

1.4.设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

实施方法

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 密码策略

  修改默认值:

    密码必须符合复杂性要求(启用)

    密码长度最小值(8)

    密码最短使用期限:0

    密码最长使用期限:90天

    强制密码历史:5

    用可还原的加密来存储:禁用

1.5.配置账户锁定策略

目的:有效降低 administrator 以外的账户被爆破的几率

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 账户锁定策略

    账户锁定时间:30分钟

    账户锁定阈值:6

    复位账户锁定计数器:30分钟(不能小于锁定时间)

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的:防止远程用户非法关闭系统;防止用户非法绕过 NTFS 权限,获取文件内容;防止用户非法登录主机;防止非法用户通过网络访问计算机资源

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到用户权限分配:本地策略 -> 用户权限分配

    从远端系统强制关机策略中,只保留 administrators 组

    取得文件或对象的所有权策略,只保留 administrators 组

    从本地登录此计算机策略,加入授权用户

    网络访问此计算机策略,加入授权用户

2.日志配置

2.1.审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

实施方法:

  打开本地安全策略:打开运行,输入 secpool.msc

  找到审核策略:本地策略 -> 审核策略

  修改审核策略:审核策略更改 (成功、失败都要审核)

2.2.日志记录策略设置

目的:优化系统日志记录,防止日志溢出

实施方法:

  进入事件查看器:eventvwr.msc

  在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时,按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器:一台服务器从微软下载补丁,内网通过 WSUS 安装补丁

安装和更新杀软(企业版)

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙:控制面板 -> 网络连接 -> 本地连接,在高级选项中设置启用 Windows 防火墙

设置例外:只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的:防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略:secpol.msc

打开安全选项:本地策略 -> 安全选项

  “microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的:Windows 默认共享分区,关闭后提高信息安全性

打开注册表编辑器,编辑和新建键值:regedit.msc

展开Lsa目录:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  调整 restrictanonymous 键值为 1

  建两个 DWORD 值,分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器:services.msc

关闭禁用服务:先停止,后禁用

4.7.关闭无用自启动项

微软控制台:msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的:防止从移动存储设备感染自运行病毒

打开组策略编辑器:gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放

11、操作系统安全加固-Windows 加固的更多相关文章

  1. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  2. 操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

  3. Fedora 11中用MinGW编译Windows的Qt4程序(在Linux系统下编译Windows的程序)

    Ubuntu下可以直接安装: sudo apt-get install mingw32 mingw32-binutils mingw32-runtime 安装后编译程序可以: i586-mingw32 ...

  4. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  5. windows加固方案

    1     账号管理.认证授权.... 1 1.1      账号... 1 1.2      口令... 1 1.3      授权... 2 2     日志配置操作.... 3 3     IP ...

  6. windows加固

    1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...

  7. oracle 11.2.0.1 rman异机恢复 11.2.0.3(windows X64)

    问题原因: 误操作,需要时间点恢复. 备份情况:rman 备份,每天一次全备份,并且附带备份当天所有产生的archivelog,无expdp备份 恢复目标: 恢复到9号晚上21点数据 源系统:WIND ...

  8. Sublime Test 3 搭建C++11编译环境(Windows)

    0. 我的环境: Windows 8.1,Sublime Test 3 - Build 3126,CodeBlocks 16.01. 1. 下载Sublime Test 3,以及安装Package和各 ...

  9. [转]操作系统Unix、Windows、Mac OS、Linux的故事

    [写得很江湖气,可惜找不到原作者了] 文章转自:http://blog.csdn.net/wenmingchan/article/details/49925379 http://www.jb51.ne ...

  10. 【转】操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

随机推荐

  1. Docker部署之使用docker-compose部署(全新的干净的服务器,从0开始搭建)

    部署环境准备 安装yum # 安装yum工具 yum install -y yum-utils device-mapper-persistent-data lvm2 --skip-broken 安装d ...

  2. 基于proteus的数字电路设计

    基于proteus的数字电路设计 1.实验原理 proteus的数字电路仿真能力还是比较强大的.这里总结一下proteus的几个基本操作以备后用.大致包括74hc系列的使用.常用调试设备.仿真开关.器 ...

  3. OGNL表达式注入分析

    OGNL基础 依赖 <dependency> <groupId>ognl</groupId> <artifactId>ognl</artifact ...

  4. archlinux xfce未中文化 goldendict不能显示中文

    下载个中文字体包就好了 https://wiki.archlinuxcn.org/wiki/简体中文本地化

  5. SQL Server表分区-水平分区3

    目录 一.常用分区步骤 1.创建文件组 2.创建数据文件到文件组里面 3.使用图形界面向导创建分区表(不推荐) 3.使用T-SQL构建分区函数与分区方案(推荐) [3.1]建表时构造 [3.2]已有表 ...

  6. #保序回归问题,单调栈,二分#洛谷 5294 [HNOI2019]序列

    题目 给定一个长度为 \(n\) 的序列 \(A\),以及 \(m\) 个操作,每个操作将一个 \(A_i\) 修改为 \(k\). 第一次修改之前及每次修改之后,都要求你找到一个同样长度为 \(n\ ...

  7. #割点,Tarjan#洛谷 5058 [ZJOI2004]嗅探器

    题目 询问能编号最小的割点删掉后使\(a\)和\(b\)无法连通 分析 考虑将\(a\)当作根,那么割点的dfn小于等于\(b\)的dfn就可以了, 怎么会呢,如果有一个环呢,所以得要让割点的子节点小 ...

  8. PWA 实践/应用(Google Workbox)

    桌面端 PWA 应用: 移动端添加到桌面: 1 什么是 PWA PWA(Progressive Web App - 渐进式网页应用)是一种理念,由 Google Chrome 在 2015 年提出.P ...

  9. C# Log4net详细说明

    1.概述 log4net是.Net下一个非常优秀的开源日志记录组件.log4net记录日志的功能非常强大.它可以将日志分不同的等级,以不同的格式,输出到不同的媒介.本文主要是介绍如何在Visual S ...

  10. Excel分析师的工资能一直飙升,原因其实是...

    世界上的数据分析师分为使用Excel的分析师和其他分析师两类. 即使在互联网数据分析界,java遍街头,Python不如狗,Excel也是不可替代的. 上班前以为自己是西装笔挺的Excel数据分析师, ...