windows加固方向
- 账号管理与认证授权
- 按用户类型分配账号(根据系统要求,设定不同账户和组,管理员、数据库sa、审计用户、来宾用户等)--打开本地用户和计算机管理器--打开运行,输入lusrmgr.msc--根据用户要求将账户加入功能组--右击账户--属性--更改隶属于--右击功能组--属性--成员
- 清理系统无用账户(删除或锁定与设备运行,维护等工作无关的账号,提高系统账户安全性。)--打开本地用户和计算机管理器--打开运行,输入lusrmgr.msc--删除或者锁定无关账号--右击账户--删除--右击账户--属性--账户已禁用
- 重命名administrator,禁用guest(较少账户被爆破的可能性,提高系统安全性。)--打开本地用户和计算机管理器--打开运行,输入lusrmgr.msc--为管理员administrator账户改名--右击administrator--重命名--属性--全名--禁用来宾guest--右击guest--属性--账户已禁用
- 设置密码策略(防止弱口令出现,降低被爆破的可能性。)--打开本地安全策略--打开运行,属于secpol.msc--找到密码策略--账户策略--密码策略--修改默认值--密码必须符合复杂度要求--禁用--启用
- 配置账户锁定策略(有效降低administrator意外的账户被爆破的几率)--打开本地策略--打开运行--输入secpol.msc--找到密码策略--账户策略--账户锁定策略--账户锁定时间--未定义--30分钟--账户锁定阙值--0-6--复位账户锁定计时器--未定义--30分钟
- 远程关机权限设置(防止远程用户非法关闭系统)--打开本地安全策略--打开运行--输入secpol.msc--找到用户权限分配--从远端系统强制关机策略中,只保留adminstrator组
- 取得文件或对象的所有权设置(防止用户非法绕过NTFS权限,获取文件内容)--打开本地安全策略--打开运行,输入secpol.msc--找到用户权限分配--本地策略--yoghurt权限分配--获得文件或对象的所有权策略,只保留administrator组
- 设置从本地登录此计算机(防止用户非法登录主机)--打开本地安全策略--打开运行,输入secpol.msc--找到用户权限分配--本地策略--用户权限分配--从本地登录此计算机策略,加入授权用户
- 设置从网络访问此计算机(防止非法用户通过网络访问计算机资源)--打开本地安全策略--打开运行,输入secpol.msc--找到用户权限分配--本地策略--用户权限分配--网络访问系计算机策略,加入授权用户
- 日志配置
- 审核策略设置(通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等)--打开本地安全策略--打开运行,输入secpol.msc--找到审核策略--本地策略--审核策略--修改审核策略--审核策略更改--设置为“成功”和“失败”都要审核
- 日志记录策略设置(优化系统日志记录,防止日志溢出)--进入事件查看器--打开运行,输入eventvwr.msc--在日志属性中设置日志大小不小于1024kb,设置当达到最大日志尺寸时,按需要改写事件
- IP协议安全
- 启用TCP/IP筛选(过滤掉不必要的端口,提高网络安全性)--运维人员列出业务所有端口--打开本地连接--控制面板--网络连接--本地连接--找到高级TCP/IP设置--右击本地连接--internet协议属性--高级TCP/IP设置--在选项的属性中启用网络连接的TCP/IP筛选,是开放业务协议端口
- 开启系统防火墙(多角度封堵业务以外的端口连接)--运维人员列出业务所需端口--打开本地连接中的防火墙--控制面板--网络连接--本地连接--在高级选项中设置启用winndows防火墙--设置例外--只允许业务接口接入网络
- 设置空闲超时锁定系统(防止疏忽导致的系统被非法使用)--进入控制面板--显示--屏幕保护程序--启用屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能
- 设置网络服务空闲挂起(防止远程登录时由于疏忽导致的系统被非法利用)--打开本地安全策略--打开运行,输入secpol.msc--打开安全选项--本地策略--安全选项--"microsoft网络服务器"设置“在挂起会话之前所需空闲时间”为5分钟
- 关闭默认共享(windows默认共享分区,关闭后提高信息安全性)--在注册表里面编辑
- 设置共享文件夹权限(只允许授权账户访问共享文件夹)--进入系统工具--控制面板--管理工具--计算机管理--进入系统工具--共享文件夹--查看每个文件夹的共享权限并按需求更改--在共享权限中删除everyone动态组
- 漏洞管理
- 安全系统补丁(修复系统漏洞,安装最新的service pack补丁集)--部署WSUS服务器--从Microsoft Update下载补丁--在测试机上安装补丁后测试业务运行情况--使用WSUS服务器内网分发补丁
- 安装和更新杀毒软件(提高系统防御力,保护关键信息不被破坏)--在服务器上安装最新版企业防病毒软件的服务端--使用C/S结构部署企业版防病毒软件--指定统一安全查杀规则
- windows服务
- 关闭无用服务(关闭不必要的服务,提高系统性能和安全性)--打开服务管理器--打开运行services.msc--关闭禁用服务--右击无关服务--属性--启动类型(禁用)--运行状态--停止
- 关闭无用自启动项(减少开机自启动服务和软件,提高性能和安全性)--打开微软控制台--打开运行--msconfig--在启动选项卡中去掉多余的启动项的复选框
- 关闭windows自动播放功能(防止从移动储存设备感染自运行病毒)--打开组策略编辑器--打开运行--gpedit.msc--找到策略所在--计算机配置--管理模板--系统--设置--关闭自动播放--已启用