1.账号管理与认证授权

1.1.按用户类型分配账号

目的:根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  右击账户 -> 属性 -> 更改隶属于

  右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  删除或锁定无关账号(删除操作不可逆)

1.3.重命名 administrator,禁用 guest

目的:减少账户被爆破可能性,提高系统访问安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  为管理员 administrator 账户改名

  禁用来宾 guest

1.4.设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

实施方法

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 密码策略

  修改默认值:

    密码必须符合复杂性要求(启用)

    密码长度最小值(8)

    密码最短使用期限:0

    密码最长使用期限:90天

    强制密码历史:5

    用可还原的加密来存储:禁用

1.5.配置账户锁定策略

目的:有效降低 administrator 以外的账户被爆破的几率

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 账户锁定策略

    账户锁定时间:30分钟

    账户锁定阈值:6

    复位账户锁定计数器:30分钟(不能小于锁定时间)

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的:防止远程用户非法关闭系统;防止用户非法绕过 NTFS 权限,获取文件内容;防止用户非法登录主机;防止非法用户通过网络访问计算机资源

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到用户权限分配:本地策略 -> 用户权限分配

    从远端系统强制关机策略中,只保留 administrators 组

    取得文件或对象的所有权策略,只保留 administrators 组

    从本地登录此计算机策略,加入授权用户

    网络访问此计算机策略,加入授权用户

2.日志配置

2.1.审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

实施方法:

  打开本地安全策略:打开运行,输入 secpool.msc

  找到审核策略:本地策略 -> 审核策略

  修改审核策略:审核策略更改 (成功、失败都要审核)

2.2.日志记录策略设置

目的:优化系统日志记录,防止日志溢出

实施方法:

  进入事件查看器:eventvwr.msc

  在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时,按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器:一台服务器从微软下载补丁,内网通过 WSUS 安装补丁

安装和更新杀软(企业版)

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙:控制面板 -> 网络连接 -> 本地连接,在高级选项中设置启用 Windows 防火墙

设置例外:只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的:防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略:secpol.msc

打开安全选项:本地策略 -> 安全选项

  “microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的:Windows 默认共享分区,关闭后提高信息安全性

打开注册表编辑器,编辑和新建键值:regedit.msc

展开Lsa目录:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  调整 restrictanonymous 键值为 1

  建两个 DWORD 值,分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器:services.msc

关闭禁用服务:先停止,后禁用

4.7.关闭无用自启动项

微软控制台:msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的:防止从移动存储设备感染自运行病毒

打开组策略编辑器:gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放

11、操作系统安全加固-Windows 加固的更多相关文章

  1. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  2. 操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

  3. Fedora 11中用MinGW编译Windows的Qt4程序(在Linux系统下编译Windows的程序)

    Ubuntu下可以直接安装: sudo apt-get install mingw32 mingw32-binutils mingw32-runtime 安装后编译程序可以: i586-mingw32 ...

  4. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  5. windows加固方案

    1     账号管理.认证授权.... 1 1.1      账号... 1 1.2      口令... 1 1.3      授权... 2 2     日志配置操作.... 3 3     IP ...

  6. windows加固

    1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...

  7. oracle 11.2.0.1 rman异机恢复 11.2.0.3(windows X64)

    问题原因: 误操作,需要时间点恢复. 备份情况:rman 备份,每天一次全备份,并且附带备份当天所有产生的archivelog,无expdp备份 恢复目标: 恢复到9号晚上21点数据 源系统:WIND ...

  8. Sublime Test 3 搭建C++11编译环境(Windows)

    0. 我的环境: Windows 8.1,Sublime Test 3 - Build 3126,CodeBlocks 16.01. 1. 下载Sublime Test 3,以及安装Package和各 ...

  9. [转]操作系统Unix、Windows、Mac OS、Linux的故事

    [写得很江湖气,可惜找不到原作者了] 文章转自:http://blog.csdn.net/wenmingchan/article/details/49925379 http://www.jb51.ne ...

  10. 【转】操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

随机推荐

  1. multisim中常见的显示器

    multisim中常见的显示器 1.实验原理 multisim中做实验仿真一般需要各种各样的仿真器来模拟实验结果.这里列举几种比较常见的显示器以便后面快速选择. 2.实验操作 (1)LED[二极管] ...

  2. KingbaseES使用sys_backup.sh脚本init初始化配置文件常见错误处理

    KingbaseES使用sys_backup.sh脚本init初始化配置文件常见错误处理: 一.sys_backup.sh脚本按照如下顺序寻找初始化配置文件: [kingbase@postgres ~ ...

  3. UE4 c++重构简单死亡之眼的效果

    虚幻社区中有蓝图教学视频 使用C++重构,主要用到UGameplayStatics类中的SetGlobalTimerDilation方法,以及角色的相机管理器的调用,之后通过StartCameraFa ...

  4. 高德地图和echarts结合实现地图下钻(一)

    疫情大屏优化-ECharts 地图下钻功能实现 https://www.sohu.com/a/373917631_100123073   全国:100000                北京:110 ...

  5. HTTPS&SPDY&HTTP2&QUIC&HTTP3

    HTTPS 密钥交换,加密和解密 SPDY&HTTP2 QUIC&HTTP3

  6. Emmet Documentation ( Actions+Filters+Customization )

    Emmet Documentation Actions Expand Abbreviation Balance 选择范围 Go to Matching Pair 匹配对应标签 在sublime tex ...

  7. [洛谷P3961,TJOI2013]黄金矿工题解

    这无疑是一个分组背包问题,斜率是分组的依据,组内物品则是这个斜率下金块的价值与重量的前缀和. 发现很多人的都是用的double储存斜率,其实我们可以用分数的方法保存,这就需要一个gcd. 然后我们用m ...

  8. Java HashMap 和 HashSet 的高效使用技巧

    Java HashMap HashMap 是一种哈希表,它存储键值对.键用于查找值,就像数组中的索引一样.HashMap 的优势在于它可以使用任何类型作为键,并且查找速度很快. 创建 HashMap ...

  9. HarmonyOS 3百机升级计划,来了!

    HarmonyOS 3规模升级来了! 为大家奉上百余款机型升级计划! 你的手机什么时候可以升级? 赶快下滑查看!

  10. 第十五篇:JavaScript 之 Dom操作

    一.后台管理页面布局 主站布局 <div class="pg-header"></div> <div style="width:980px; ...