Windows操作系統安全加固

本文檔旨在指導系統管理人員或安全檢查人員進行Windows操作系統的安全合規性檢查和配置。


1. 賬戶管理和認證授權

1.1 賬戶

默認賬戶安全

  • 禁用Guest賬戶。
  • 禁用或刪除其他無用賬戶(建議先禁用賬戶三個月,待確認沒有問題后刪除。)

操作步驟

打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 > 用戶 中,雙擊 Guest 帳戶,在屬性中選中 帳戶已禁用,單擊 確定

按照用戶分配帳戶

按照用戶分配帳戶。根據業務要求,設定不同的用戶和用戶組。例如,管理員用戶,數據庫用戶,審計用戶,來賓用戶等。

操作步驟

打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 中,根據您的業務要求設定不同的用戶和用戶組,包括管理員用戶、數據庫用戶、審計用戶、來賓用戶等。

定期檢查并刪除與無關帳戶

定期刪除或鎖定與設備運行、維護等與工作無關的帳戶。

操作步驟

打開 控制面板 > 管理工具 > 計算機管理,在 系統工具 > 本地用戶和組 中,刪除或鎖定與設備運行、維護等與工作無關的帳戶。

不顯示最后的用戶名

配置登錄登出后,不顯示用戶名稱。

操作步驟:

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,雙擊 交互式登錄:不顯示最后的用戶名,選擇 已啟用 并單擊 確定

log

1.2 口令

密碼復雜度

密碼復雜度要求必須滿足以下策略:

  • 最短密碼長度要求八個字符。
  • 啟用本機組策略中密碼必須符合復雜性要求的策略。
    即密碼至少包含以下四種類別的字符中的兩種:
    • 英語大寫字母 A, B, C, … Z
    • 英語小寫字母 a, b, c, … z
    • 西方阿拉伯數字 0, 1, 2, … 9
    • 非字母數字字符,如標點符號,@, #, $, %, &, *等

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,確認 密碼必須符合復雜性要求 策略已啟用。

密碼最長留存期

對于采用靜態口令認證技術的設備,帳戶口令的留存期不應長于90天。

操作步驟打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 密碼策略 中,配置 密碼最長使用期限 不大于90天。pwd

帳戶鎖定策略

對于采用靜態口令認證技術的設備,應配置當用戶連續認證失敗次數超過10次后,鎖定該用戶使用的帳戶。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 帳戶策略 > 帳戶鎖定策略 中,配置 帳戶鎖定閾值 不大于10次。

配置樣例:

con

1.3 授權

遠程關機

在本地安全設置中,從遠端系統強制關機權限只分配給Administrators組。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 從遠端系統強制關機 權限只分配給Administrators組。

本地關機

在本地安全設置中關閉系統權限只分配給Administrators組。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 關閉系統 權限只分配給Administrators組。

用戶權限指派

在本地安全設置中,取得文件或其它對象的所有權權限只分配給Administrators組。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 取得文件或其它對象的所有權 權限只分配給Administrators組。

授權帳戶登錄

在本地安全設置中,配置指定授權用戶允許本地登錄此計算機。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 允許本地登錄 權限給指定授權用戶。

授權帳戶從網絡訪問

在本地安全設置中,只允許授權帳號從網絡訪問(包括網絡共享等,但不包括終端服務)此計算機。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用戶權限分配 中,配置 從網絡訪問此計算機 權限給指定授權用戶。

au1

2. 日志配置操作

2.1 日志配置

審核登錄

設備應配置日志功能,對用戶登錄進行記錄。記錄內容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核登錄事件

審核策略

啟用本地安全策略中對Windows系統的審核策略更改,成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核策略更改

審核對象訪問

啟用本地安全策略中對Windows系統的審核對象訪問,成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核對象訪問

審核事件目錄服務訪問

啟用本地安全策略中對Windows系統的審核目錄服務訪問,僅需要審核失敗操作。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核目錄服務器訪問

審核特權使用

啟用本地安全策略中對Windows系統的審核特權使用,成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核特權使用

審核系統事件

啟用本地安全策略中對Windows系統的審核系統事件,成功和失敗操作都需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核系統事件

審核帳戶管理

啟用本地安全策略中對Windows系統的審核帳戶管理,成功和失敗操作都要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核帳戶管理

審核過程追蹤

啟用本地安全策略中對Windows系統的審核進程追蹤,僅失敗操作需要審核。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 審核策略 中,設置 審核進程追蹤au

日志文件大小

設置應用日志文件大小至少為 8192 KB,可根據磁盤空間配置日志文件大小,記錄的日志越多越好。并設置當達到最大的日志尺寸時,按需要輪詢記錄日志。

操作步驟

打開 控制面板 > 管理工具 > 事件查看器,配置 應用日志、系統日志、安全日志 屬性中的日志大小,以及設置當達到最大的日志尺寸時的相應策略。
log

3. IP協議安全配置

3.1 IP協議安全

啟用SYN攻擊保護

啟用SYN攻擊保護。

  • 指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5。
  • 指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500。
  • 指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。

操作步驟

打開 注冊表編輯器,根據推薦值修改注冊表鍵值。

Windows Server 2012

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
    推薦值:2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
    推薦值:500

Windows Server 2008

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
    推薦值:2
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
    推薦值:5
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
    推薦值:500
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
    推薦值:400

4. 文件權限

4.1 共享文件夾及訪問權限

關閉默認共享

非域環境中,關閉Windows硬盤默認共享,例如C$,D$。

操作步驟

打開 注冊表編輯器,根據推薦值修改注冊表鍵值。

注意: Windows Server 2012版本已默認關閉Windows硬盤默認共享,且沒有該注冊表鍵值。

  • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
    推薦值: 0

共享文件夾授權訪問

每個共享文件夾的共享權限,只允許授權的帳戶擁有共享此文件夾的權限。

操作步驟

每個共享文件夾的共享權限僅限于業務需要,不要設置成為 Everyone。打開 控制面板 > 管理工具 > 計算機管理,在 共享文件夾 中,查看每個共享文件夾的共享權限。

5. 服務安全

5.1 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS協議,可以關閉監聽的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。

操作步驟

  1. 計算機管理 > 服務和應用程序 > 服務 中禁用 TCP/IP NetBIOS Helper 服務。
  2. 在網絡連接屬性中,雙擊 Internet協議版本4(TCP/IPv4),單擊 高級。在 WINS 頁簽中,進行如下設置:
    bios

禁用不必要的服務

禁用不必要的服務,請參考:
ser

6.安全選項

6.1 啟用安全選項

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,進行如下設置:
audit

6.2 禁用未登錄前關機

服務器默認是禁止在未登錄系統前關機的。如果啟用此設置,服務器安全性將會大大降低,給遠程連接的黑客造成可乘之機,強烈建議禁用未登錄前關機功能。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,禁用 關機: 允許系統在未登錄前關機 策略。
sg

7. 其他安全配置

7.1 防病毒管理

Windows系統需要安裝防病毒軟件。

操作步驟

安裝企業級防病毒軟件,并開啟病毒庫更新及實時防御功能。

7.2 設置屏幕保護密碼和開啟時間

設置從屏幕保護恢復時需要輸入密碼,并將屏幕保護自動開啟時間設定為五分鐘。

操作步驟

啟用屏幕保護程序,設置等待時間為 5分鐘,并啟用 在恢復時使用密碼保護

7.3 限制遠程登錄空閑斷開時間

對于遠程登錄的帳戶,設置不活動超過時間15分鐘自動斷開連接。

操作步驟

打開 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全選項 中,設置 Microsoft網絡服務器:暫停會話前所需的空閑時間數量 屬性為15分鐘。

7.4 操作系統補丁管理

安裝最新的操作系統Hotfix補丁。安裝補丁時,應先對服務器系統進行兼容性測試。

操作步驟

安裝最新的操作系統Hotfix補丁。安裝補丁時,應先對服務器系統進行兼容性測試。

注意:對于實際業務環境服務器,建議使用通知并自動下載更新,但由管理員選擇是否安裝更新,而不是使用自動安裝更新,防止自動更新補丁對實際業務環境產生影響。
update

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/254198.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/254198.shtml
英文地址,請注明出處:http://en.pswp.cn/news/254198.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

ios修改了coredata數據結構后,更新安裝會閃退

如果iOS App 使用到CoreData,并且在上一個版本上有數據庫更新(新增表、字段等操作),那在覆蓋安裝程序時就要進行CoreData數據庫的遷移,具體操作如下: 1.選中你的mydata.xcdatamodeld文件,選擇菜…

TI DAVINCI開發原理(總共5部分)

2011-06-03 11:14:17| 分類: TI 達芬奇視頻處 | 標簽: |字號大中小訂閱 DAVINCI開發原理之一----ARM端開發環境的建立(DVEVM) 1. 對DAVINCI平臺,TI在硬件上給予雙核架構強有力的支撐,在DSP端用DSP/BIOS來支持音視頻算法的運行…

數據庫代碼寫法

1.創建數據庫create database test2; 2.刪除數據庫drop database test2; 3.創建表 create table ceshi (ids int auto_increment primary key,uid varchar(20),name varchar(20),class varchar(20),foreign key (class) references class(code) ); create table class (code …

random庫的使用

有關Python中random標準庫的使用 Python中關于隨機值的部分,借助的是根據當前的隨機種子,通過梅森旋轉算法,生成一段隨機序列。 基本隨機函數 random.seed(aNone)初始化給定的隨機種子,默認值為當前的系統時間。 random.random()生…

ThinkPHP--欄目增刪改查ADSF

<?php /*** 欄目發布*/ //V層&#xff0c;action/name值 action " :U( Admin/Cat/Cateadd )";/*** 添加欄目數據* C層&#xff0c;寫相應的方法進行數據添加*/ public function add(){if(!IS_POST){$this->display();}else{//var_dump($_POST);$catModelD…

模擬查找晶元的位置

通過模板匹配找到所有模板位置&#xff0c;并且當單擊某個模板時&#xff0c;選中某個模板 read_image (Image, C:/Users/22967/Desktop/晶圓找位置/0.bmp) dev_close_window () dev_open_window_fit_image (Image, 0, 0, -1, -1, WindowHandle) dev_display (Image)* draw_cir…

JavaScript常用函數之Eval()使用

eval() 功能&#xff1a;首先解釋Javascript代碼 然后執行它 用法&#xff1a;Eval&#xff08;codeString&#xff09; codeString是包含有javascript語句的字符串&#xff0c;在eval之后使用Javascript引擎編譯。即&#xff1a;eval函數可以把一個字符串當作一個javascript表…

初探數位dp

前言&#xff1a;這是蒟蒻第一次寫算法系列&#xff0c;請諸位大佬原諒文筆與排版。 一、導入 在刷題的時候&#xff0c;我們有時會見到這樣一類問題&#xff1a;在區間$[l,r]$內&#xff0c;共有多少個整數滿足某種條件。如果$l$和$r$間的差很小&#xff0c;我們可以考慮暴力枚…

Java演示手機發送短信驗證碼功能實現

我們這里采用阿里大于的短信API 第一步&#xff1a;登陸阿里大于&#xff0c;下載阿里大于的SDK a、在阿里大于上創建自己的應用 b、點擊配置管理中的驗證碼&#xff0c;先添加簽名&#xff0c;再配置短信模板 第二步&#xff1a;解壓相關SDK&#xff0c;第一個為jar包&#xf…

使用標定板對相機位姿進行估計

使用標定板幾個特定的點&#xff0c;來對相機相對標定板平面進行位姿估計。 首先進行相機的畸變校正&#xff0c;之后同個各個標定板間的圓點距離進行位姿估計。 gen_caltab (7, 7, 0.002, 0.5, C:/Users/22967/Desktop/新建文件夾/111.descr, C:/Users/22967/Desktop/新建文件…

音、視頻文件格式

* 說明&#xff1a;首先要分清楚 媒體文件和編碼的區別&#xff1a;文件是既包括視頻又包括音頻、甚至還帶有腳本的一個集合&#xff0c;也可以叫容器&#xff1b;文件當中的視頻和音頻的壓縮算法才是具體的編碼。 *AVI音視頻交互存儲&#xff0c;最常見的音頻視頻容器。支持的…

ELK日志分析系統(轉)

原創作品&#xff0c;允許轉載&#xff0c;轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://467754239.blog.51cto.com/4878013/1700828大綱&#xff1a; 一、簡介 二、Logstash 三、Redis 四、Elasticsearch 五、Kinaba 一、簡介 …

Glide使用總結

首先&#xff0c;添加依賴 implementation com.github.bumptech.glide:glide:4.5.0 annotationProcessor com.github.bumptech.glide:compiler:4.5.0之后添加訪問網絡權限 <uses-permission android:name"android.permission.INTERNET" />一、常用的方法 1、加…

流行的音頻編碼標準

speech codec (G.711, G.723, G.726, G.729, iLBC) 各種各樣的編解碼在各種領域得到廣泛的應用&#xff0c;下面就把各種codec的壓縮率進行一下比較&#xff0c;不正確之處望各位同行指正。 Speech codec&#xff1a; 現主要有的speech codec 有: G.711, G.723, G.726 , G…

【angularjs】使用angular搭建項目,pc端實現網頁中的內容不可復制

實現目標&#xff1a;不可復制頁面內容 js:          <script language"javascript"> if (typeof(document.onselectstart) ! "undefined") { // IE下禁止元素被選取 document.onselectstart function (event){if(event.targe…

DIV+CSS如何讓文字垂直居中?

在說到這個問題的時候&#xff0c;也許有人會問CSS中不是有vertical-align屬性來設置垂直居中的嗎&#xff1f;即使是某些瀏覽器不支持我只需做少許的CSS Hack技術就可以啊&#xff01;所以在這里我還要啰嗦兩句&#xff0c;CSS中的確是有vertical-align屬性&#xff0c;但是它…

Segments POJ 3304 直線與線段是否相交

題目大意&#xff1a;給出n條線段&#xff0c;問是否存在一條直線&#xff0c;使得n條線段在直線上的投影有至少一個公共點。 題目思路:如果假設成立&#xff0c;那么作該直線的垂線l&#xff0c;該垂線l與所有線段相交&#xff0c;且交點可為線段中的某兩個交點 證明&#xff…

Linux Socket編程(不限Linux)

“一切皆Socket&#xff01;” 話雖些許夸張&#xff0c;但是事實也是&#xff0c;現在的網絡編程幾乎都是用的socket。 ——有感于實際編程和開源項目研究。 我們深諳信息交流的價值&#xff0c;那網絡中進程之間如何通信&#xff0c;如我們每天打開瀏覽器瀏覽網頁時&#xff…

shell之計算文本中單詞出現頻率

2019獨角獸企業重金招聘Python工程師標準>>> Word Frequency&#xff08;https://leetcode.com/problems/word-frequency/description/&#xff09; Example: Assume that words.txt has the following content: the day is sunny the the the sunny is is Your scr…