1.账号管理与认证授权

1.1.按用户类型分配账号

目的:根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  右击账户 -> 属性 -> 更改隶属于

  右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  删除或锁定无关账号(删除操作不可逆)

1.3.重命名 administrator,禁用 guest

目的:减少账户被爆破可能性,提高系统访问安全性

实施方法:

  打开本地用户和计算机管理器 或 打开运行,输入 lusrmgr.msc

  为管理员 administrator 账户改名

  禁用来宾 guest

1.4.设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

实施方法

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 密码策略

  修改默认值:

    密码必须符合复杂性要求(启用)

    密码长度最小值(8)

    密码最短使用期限:0

    密码最长使用期限:90天

    强制密码历史:5

    用可还原的加密来存储:禁用

1.5.配置账户锁定策略

目的:有效降低 administrator 以外的账户被爆破的几率

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到密码策略:账户策略 -> 账户锁定策略

    账户锁定时间:30分钟

    账户锁定阈值:6

    复位账户锁定计数器:30分钟(不能小于锁定时间)

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的:防止远程用户非法关闭系统;防止用户非法绕过 NTFS 权限,获取文件内容;防止用户非法登录主机;防止非法用户通过网络访问计算机资源

实施方法:

  打开本地安全策略:打开运行,输入 secpol.msc

  找到用户权限分配:本地策略 -> 用户权限分配

    从远端系统强制关机策略中,只保留 administrators 组

    取得文件或对象的所有权策略,只保留 administrators 组

    从本地登录此计算机策略,加入授权用户

    网络访问此计算机策略,加入授权用户

2.日志配置

2.1.审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

实施方法:

  打开本地安全策略:打开运行,输入 secpool.msc

  找到审核策略:本地策略 -> 审核策略

  修改审核策略:审核策略更改 (成功、失败都要审核)

2.2.日志记录策略设置

目的:优化系统日志记录,防止日志溢出

实施方法:

  进入事件查看器:eventvwr.msc

  在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时,按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器:一台服务器从微软下载补丁,内网通过 WSUS 安装补丁

安装和更新杀软(企业版)

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙:控制面板 -> 网络连接 -> 本地连接,在高级选项中设置启用 Windows 防火墙

设置例外:只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的:防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略:secpol.msc

打开安全选项:本地策略 -> 安全选项

  “microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的:Windows 默认共享分区,关闭后提高信息安全性

打开注册表编辑器,编辑和新建键值:regedit.msc

展开Lsa目录:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  调整 restrictanonymous 键值为 1

  建两个 DWORD 值,分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器:services.msc

关闭禁用服务:先停止,后禁用

4.7.关闭无用自启动项

微软控制台:msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的:防止从移动存储设备感染自运行病毒

打开组策略编辑器:gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放

11、操作系统安全加固-Windows 加固的更多相关文章

  1. 柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布

    柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要 ...

  2. 操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

  3. Fedora 11中用MinGW编译Windows的Qt4程序(在Linux系统下编译Windows的程序)

    Ubuntu下可以直接安装: sudo apt-get install mingw32 mingw32-binutils mingw32-runtime 安装后编译程序可以: i586-mingw32 ...

  4. android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测

    android安全检测工具,梆梆安全 - 防止反编译|APP安全加固|应用加固|盗版监测https://dev.bangcle.com/ 业内专业的应用加固服务供应商 帮助数十万APP抵御破解风险,早 ...

  5. windows加固方案

    1     账号管理.认证授权.... 1 1.1      账号... 1 1.2      口令... 1 1.3      授权... 2 2     日志配置操作.... 3 3     IP ...

  6. windows加固

    1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...

  7. oracle 11.2.0.1 rman异机恢复 11.2.0.3(windows X64)

    问题原因: 误操作,需要时间点恢复. 备份情况:rman 备份,每天一次全备份,并且附带备份当天所有产生的archivelog,无expdp备份 恢复目标: 恢复到9号晚上21点数据 源系统:WIND ...

  8. Sublime Test 3 搭建C++11编译环境(Windows)

    0. 我的环境: Windows 8.1,Sublime Test 3 - Build 3126,CodeBlocks 16.01. 1. 下载Sublime Test 3,以及安装Package和各 ...

  9. [转]操作系统Unix、Windows、Mac OS、Linux的故事

    [写得很江湖气,可惜找不到原作者了] 文章转自:http://blog.csdn.net/wenmingchan/article/details/49925379 http://www.jb51.ne ...

  10. 【转】操作系统Unix、Windows、Mac OS、Linux的故事

    电脑,计算机已经成为我们生活中必不可少的一部分.无论是大型的超级计算机,还是手机般小巧的终端设备,都跑着一个操作系统.正是这些操作系统,让那些硬件和芯片得意组合起来,让那些软件得以运行,让我们的世界在 ...

随机推荐

  1. verilog的文件流和项目流

    verilog的文件流和项目流 1.写在前面 在学习FPGA时,一般都是从项目流入手的.从一个集成的开发环境创建一个工程.通过一个个组件的编写和设置来实现某个项目.这样的操作固然简单,对于设计者来说只 ...

  2. KingbaseES数据库适配Activiti7 didn't put process definition问题处理过程

    一.Activiti介绍 Activiti是一个轻量级的java开源BPMN 2工作流引擎.目前以升级至7.x,支持与springboot2.x集成. 二.项目环境 Spring Boot版本2.2. ...

  3. KingbaseESV8R6识别IO使用率过高

    前言 数据库正常运行离不开I/O的使用,在操作系统上,I/O又离不开存储的性能及使用方式,我们可以在存储层利用raid条带化技术使IOPS达到最佳性能. 本篇文章有助于确认数据库I/O使用率过高的原因 ...

  4. mybatis一次执行多条SQL语句报错

    如果这样来写一个 mapper 1 <update id="createTable3" parameterType="map"> 2 drop ta ...

  5. 【开源三方库】Easyui:基于OpenAtom OpenHarmony ArkUI深度定制的组件框架

      万冬阳 公司:中国科学院软件所 小组:知识体系工作组 简介 Easyui是一套基于ArkTS语言开发的轻量.可靠的移动端组件库,它是对OpenAtom OpenHarmony(以下简称" ...

  6. winrt新dx截图最小实现

    转自:https://stackoverflow.co/questions/11283015 效果还是很不错的 #include <iostream> #include <Windo ...

  7. C语言简易万年历带注释

    同学问的课后作业,顺便加了写注释. #include<stdio.h> /* * 注意 每周的第一天是星期天 */ int main() { int day_per_mo[12] = { ...

  8. openGauss Gin 索引

    openGauss Gin 索引 概述 GIN(Generalized Inverted Index)通用倒排索引,是首选的文本搜索索引类型.倒排索引对应的列上的数据类型通常是一个多值类型,索引中包含 ...

  9. DevEco Studio强大的预览功能让开发效率大大提升!

    原文:https://mp.weixin.qq.com/s/C5DL0wBubDX3exvPpeXBPQ,点击链接查看更多技术内容.   应用的开发过程中,往往需要多次调试和修改,如果支持实时预览,边 ...

  10. Windows XP Vmware 无法自适应窗口

    之前在吾爱破解上找到一个 WindowsXP SP3 的精简系统(目前找不到在哪了),自带 VMtools 和 52 破解工具包,很适合 XP 系统下的逆向和病毒分析.目前准备学习一下<恶意代码 ...