1.账号管理与认证授权

1.1.按用户类型分配账号

目的:根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  右击账户 -> 属性 -> 更改隶属于

  右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  删除或锁定无关账号(删除操作不可逆)

1.3.重命名 administrator,禁用 guest

目的:减少账户被爆破可能性,提高系统访问安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  为管理员 administrator 账户改名

  禁用来宾 guest

1.4.设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

实施方法

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 密码策略

  修改默认值:

    密码必须符合复杂性要求(启用)

    密码长度最小值(8)

    密码最短使用期限:0

    密码最长使用期限:90天

    强制密码历史:5

    用可还原的加密来存储:禁用

1.5.配置账户锁定策略

目的:有效降低 administrator 以外的账户被爆破的几率

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 账户锁定策略

    账户锁定时间:30分钟

    账户锁定阈值:6

    复位账户锁定计数器:30分钟(不能小于锁定时间)

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的:防止远程用户非法关闭系统;防止用户非法绕过 NTFS 权限,获取文件内容;防止用户非法登录主机;防止非法用户通过网络访问计算机资源

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到用户权限分配:本地策略 -> 用户权限分配

    从远端系统强制关机策略中,只保留 administrators 组

    取得文件或对象的所有权策略,只保留 administrators 组

    从本地登录此计算机策略,加入授权用户

    网络访问此计算机策略,加入授权用户

2.日志配置

2.1.审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

实施方法:

  打开本地安全策略:打开运行,输入 secpool.msc

  找到审核策略:本地策略 -> 审核策略

  修改审核策略:审核策略更改 (成功、失败都要审核)

2.2.日志记录策略设置

目的:优化系统日志记录,防止日志溢出

实施方法:

  进入事件查看器:eventvwr.msc

  在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时,按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器:一台服务器从微软下载补丁,内网通过 WSUS 安装补丁

安装和更新杀软(企业版)

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙:控制面板 -> 网络连接 -> 本地连接,在高级选项中设置启用 Windows 防火墙

设置例外:只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的:防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略:secpol.msc

打开安全选项:本地策略 -> 安全选项

  “microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的:Windows 默认共享分区,关闭后提高信息安全性

打开注册表编辑器,编辑和新建键值:regedit.msc

展开Lsa目录:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  调整 restrictanonymous 键值为 1

  建两个 DWORD 值,分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器:services.msc

关闭禁用服务:先停止,后禁用

4.7.关闭无用自启动项

微软控制台:msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的:防止从移动存储设备感染自运行病毒

打开组策略编辑器:gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放

11、操作系统安全加固-Windows 加固的更多相关文章

  1. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  2. 操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

  3. Fedora 11中用MinGW编译Windows的Qt4程序(在Linux系统下编译Windows的程序)

    Ubuntu下可以直接安装: sudo apt-get install mingw32 mingw32-binutils mingw32-runtime 安装后编译程序可以: i586-mingw32 ...

  4. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  5. windows加固方案

    1     账号管理.认证授权.... 1 1.1      账号... 1 1.2      口令... 1 1.3      授权... 2 2     日志配置操作.... 3 3     IP ...

  6. windows加固

    1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...

  7. oracle 11.2.0.1 rman异机恢复 11.2.0.3(windows X64)

    问题原因: 误操作,需要时间点恢复. 备份情况:rman 备份,每天一次全备份,并且附带备份当天所有产生的archivelog,无expdp备份 恢复目标: 恢复到9号晚上21点数据 源系统:WIND ...

  8. Sublime Test 3 搭建C++11编译环境(Windows)

    0. 我的环境: Windows 8.1,Sublime Test 3 - Build 3126,CodeBlocks 16.01. 1. 下载Sublime Test 3,以及安装Package和各 ...

  9. [转]操作系统Unix、Windows、Mac OS、Linux的故事

    [写得很江湖气,可惜找不到原作者了] 文章转自:http://blog.csdn.net/wenmingchan/article/details/49925379 http://www.jb51.ne ...

  10. 【转】操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

随机推荐

  1. Linux内核数据管理利器--红黑树

    目录 写在前面 1. 红黑树的原理 2. 红黑树操作 2.1 红黑树的节点插入 2.2 红黑树的节点删除 2.3 红黑树的查询操作 3. 红黑树操作实验 附录A: 实验代码 写在前面 本文通过两个方面 ...

  2. #裴蜀定理#洛谷 2520 [HAOI2011]向量

    题目 分析 首先若 \(a,b\) 都为 0 要特判. 若 \(\begin{cases}x=pa+qb+p'a+q'b\\y=qa+pb-q'a-p'b\end{cases}\) 合并同类项可以得到 ...

  3. #线性dp#洛谷 5999 [CEOI2016]kangaroo

    题目 问有多少个长度为 \(n\) 的排列满足首项为 \(st\),末项为 \(ed\), 并且 \(\forall i\in (1,n),\left[a_{i-1}<a_i \oplus a_ ...

  4. #模型转换#[ARC126C] Maximize GCD

    题目 有 \(n\) 个数,最多 \(k\) 次让所选择的数加一,求 \(n\) 个数的GCD的最大值 \(n,a_i\leq 3*10^5,k\leq 10^{18}\) 分析 设答案为 \(d\) ...

  5. #zkw线段树,扫描线,dp,离散#NOIP2020.9.26模拟speike

    分析 由于可以走边界,那么最短路径一定按横坐标递增并且经过矩形的顶点, 考虑扫描线,找到当前线段(矩形右边界可以忽略)两个端点离的最近而又可达的线段, dp一下并用线段树维护就可以了 代码 #incl ...

  6. Numpy广播功能

    广播(Broadcast)是对不同形状(shape)的数组进行数值计算的方式. 广播规则: 如果两个数组的维度数不相同,那么小维度数组的形状将会在最左边补1: 如果两个数组的形状在任何一个维度都不匹配 ...

  7. IDEA Tab键设置为4个空格

    在不同的编辑器里 Tab 的长度可能会不一致,这会导致有 Tab 的代码,用不同的编辑器打开时,格式可能会乱. 而且代码压缩时,空格会有更好的压缩率. 所以建议将 IDEA 的 Tab 键设置为 4 ...

  8. Quanto: PyTorch 量化工具包

    量化技术通过用低精度数据类型 (如 8 位整型 (int8)) 来表示深度学习模型的权重和激活,以减少传统深度学习模型使用 32 位浮点 (float32) 表示权重和激活所带来的计算和内存开销. 减 ...

  9. HarmonyOS SDK 助力新浪新闻打造精致易用的新闻应用

    原生智能是HarmonyOS NEXT的核心亮点之一,依托HarmonyOS SDK丰富全面的开放能力,开发者只需通过几行代码,即可快速实现AI功能.新浪新闻作为鸿蒙原生应用开发的先行者之一,从有声资 ...

  10. 基于QUBO模型的多体分子对接

    技术背景 本文分享内容来自于最新的一篇名为Multibody molecular docking on a quantum annealer的文章,这篇文章的核心思想,是使用QUBO(二次受限二元优化 ...