1.账号管理与认证授权

1.1.按用户类型分配账号

目的:根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  右击账户 -> 属性 -> 更改隶属于

  右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  删除或锁定无关账号(删除操作不可逆)

1.3.重命名 administrator,禁用 guest

目的:减少账户被爆破可能性,提高系统访问安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  为管理员 administrator 账户改名

  禁用来宾 guest

1.4.设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

实施方法

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 密码策略

  修改默认值:

    密码必须符合复杂性要求(启用)

    密码长度最小值(8)

    密码最短使用期限:0

    密码最长使用期限:90天

    强制密码历史:5

    用可还原的加密来存储:禁用

1.5.配置账户锁定策略

目的:有效降低 administrator 以外的账户被爆破的几率

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 账户锁定策略

    账户锁定时间:30分钟

    账户锁定阈值:6

    复位账户锁定计数器:30分钟(不能小于锁定时间)

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的:防止远程用户非法关闭系统;防止用户非法绕过 NTFS 权限,获取文件内容;防止用户非法登录主机;防止非法用户通过网络访问计算机资源

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到用户权限分配:本地策略 -> 用户权限分配

    从远端系统强制关机策略中,只保留 administrators 组

    取得文件或对象的所有权策略,只保留 administrators 组

    从本地登录此计算机策略,加入授权用户

    网络访问此计算机策略,加入授权用户

2.日志配置

2.1.审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

实施方法:

  打开本地安全策略:打开运行,输入 secpool.msc

  找到审核策略:本地策略 -> 审核策略

  修改审核策略:审核策略更改 (成功、失败都要审核)

2.2.日志记录策略设置

目的:优化系统日志记录,防止日志溢出

实施方法:

  进入事件查看器:eventvwr.msc

  在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时,按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器:一台服务器从微软下载补丁,内网通过 WSUS 安装补丁

安装和更新杀软(企业版)

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙:控制面板 -> 网络连接 -> 本地连接,在高级选项中设置启用 Windows 防火墙

设置例外:只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的:防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略:secpol.msc

打开安全选项:本地策略 -> 安全选项

  “microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的:Windows 默认共享分区,关闭后提高信息安全性

打开注册表编辑器,编辑和新建键值:regedit.msc

展开Lsa目录:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  调整 restrictanonymous 键值为 1

  建两个 DWORD 值,分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器:services.msc

关闭禁用服务:先停止,后禁用

4.7.关闭无用自启动项

微软控制台:msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的:防止从移动存储设备感染自运行病毒

打开组策略编辑器:gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放

11、操作系统安全加固-Windows 加固的更多相关文章

  1. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  2. 操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

  3. Fedora 11中用MinGW编译Windows的Qt4程序(在Linux系统下编译Windows的程序)

    Ubuntu下可以直接安装: sudo apt-get install mingw32 mingw32-binutils mingw32-runtime 安装后编译程序可以: i586-mingw32 ...

  4. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  5. windows加固方案

    1     账号管理.认证授权.... 1 1.1      账号... 1 1.2      口令... 1 1.3      授权... 2 2     日志配置操作.... 3 3     IP ...

  6. windows加固

    1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...

  7. oracle 11.2.0.1 rman异机恢复 11.2.0.3(windows X64)

    问题原因: 误操作,需要时间点恢复. 备份情况:rman 备份,每天一次全备份,并且附带备份当天所有产生的archivelog,无expdp备份 恢复目标: 恢复到9号晚上21点数据 源系统:WIND ...

  8. Sublime Test 3 搭建C++11编译环境(Windows)

    0. 我的环境: Windows 8.1,Sublime Test 3 - Build 3126,CodeBlocks 16.01. 1. 下载Sublime Test 3,以及安装Package和各 ...

  9. [转]操作系统Unix、Windows、Mac OS、Linux的故事

    [写得很江湖气,可惜找不到原作者了] 文章转自:http://blog.csdn.net/wenmingchan/article/details/49925379 http://www.jb51.ne ...

  10. 【转】操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

随机推荐

  1. KingbaseES数据库导入数据invalid byte sequence for encoding

    一.适用版本: KingbaseES数据库所有版本. 二.问题现象: 使用备份的数据进行还原,还原过程中发生异常. 日志信息: sys_restore: connecting to database ...

  2. mybatis一次执行多条SQL语句报错

    如果这样来写一个 mapper 1 <update id="createTable3" parameterType="map"> 2 drop ta ...

  3. Web、Android等程序开发中src引入外部文件和资源的方法总结

    方法一:使用相对于当前文件(源文件)的相对路径 使用 ../ 对于这个例子来说 ../ 把路径带到了项目根目录的下一级目录 1 <script src="../static/js/wo ...

  4. 强烈推荐:2024 年12款 Visual Studio 亲测、好用、优秀的工具,AI插件等

    工具类扩展 1. ILSpy 2022 (免费) ILSpy 是 ILSpy 开源反编译器的 Visual Studio 扩展. 是一款开源.免费的.且适用于.NET平台反编译[C#语言编写的程序和库 ...

  5. #点分治,树状数组#洛谷 5311 [Ynoi2011] 成都七中

    题目 给你一棵 \(n\) 个节点的树,每个节点有一种颜色,有 \(m\) 次查询操作. 查询操作给定参数 \(l\) \(r\) \(x\),需输出: 将树中编号在 \([l,r]\) 内的所有节点 ...

  6. 使用OHOS SDK构建assimp

    参照OHOS IDE和SDK的安装方法配置好开发环境. 从github下载源码. 执行如下命令: git clone https://github.com/assimp/assimp.git 进入源码 ...

  7. .Net 代码分析工具对比 visual studio 2022 current

    目录 原因 背景知识 名词解释 分析器 分析器在IDE里 目标 查找思路及过程 CodeMaid Roslyn StyleCop.Analyzer StyleCop? StyleCop.Analyze ...

  8. 深入理解MD5算法:原理、应用与安全

    第一章:引言 导言 在当今数字化时代,数据安全和完整性变得至关重要.消息摘要算法是一种用于验证数据完整性和安全性的重要工具.在众多消息摘要算法中,MD5(Message Digest Algorith ...

  9. spring boot yaml 配置[三]

    前言 我们知道java 因为历史的原因,一直有一个配置地狱的痛点.那么如何解决掉它呢? spring boot 是一柄利器,但是呢,还是要配置. 看来配置的避免不了的了. 那么如何可以减轻这种痛苦呢? ...

  10. ST语言

    CODESYS平台的ST语言笔记 前言: 基于汇川plc软件,底层是CODESYS平台.这回ST语言正儿八经要用 所以要学,做笔记是为了梳理加深基础要点印象,顺便分享交流学习.codesys平台包括汇 ...