一、账号管理
按用户类型分配账号
目的:根据系统要求,设定不同账户和组,管理员、数据库 sa、审计用户、来宾用户等
实施方法:
打开本地用户和计算机管理器
1.打开运行,输入lusrmgr.msc
2.根据用户要求将账户加入功能组
用户:右击用户->属性->更改隶属于
组:右击功能组->属性->成员
清理系统无用账户
目的:删除或锁定与设备运行,维护等工作无关的账号,提高系统账号安全性。
net user 用户名 /delete
实施方法:
打开本地用户和计算机管理器
1.打开运行,输入lusrmgr.msc
2.删除或锁着锁定无关账号(删除操作不可逆)
右击账号->删除
右击账号->属性->账户已禁用
禁用来宾账户
目的:减少账户被爆破的可能性,提高系统访问安全性
本地安全策略->安全设置->本地策略->安全选项"
secpol.msc
重命名账户
打开"本地安全策略->安全设置->本地策略->安全选项"
将系统管理员账户重命名
实施方法:
打开本地用户和计算机管理器
1.打开运行,输入lusrmgr.msc
2.为管理员adminstrator账户改名
右击administrator->重命名->属性->全名
配置密码策略
打开"本地安全策略->安全设置->账户策略->密码策略"
实施方法:
打开本地安全策略
1.打开运行,输入secpol.msc
2.找到密码策略
账户策略—密码策略
3.修改黑默认值:
密码必须符合复杂性要求:禁用一启用
密码长度最小值:0->8
密码策略建议:
密码最短使用期限:0天
密码最长使用期限:42-90天
强制密码历史:1-5
用可还原的加密来存储:禁用
启用密码必须符合复杂性要求
根据具体情况设置长度最小值、密码使用时间等
配置帐户锁定策略
打开"本地安全策略->安全设置->账户策略->账户锁定策略"
设置账户锁定阈值,登录失效达到一定次数后锁定
不显示上次登录的用户
打开"本地安全策略->安全设置->本地策略->安全选项"
启用不显示上次登录,登录登出后,不显示用户名称
二、授权管理
远程关机权限设置
目的:防止远程用户非法关闭系统
打开"本地安全策略->安全设置->本地策略->用户权限分配"
将关闭系统权限分配给 Administrators 组(本地关机)
从远程系统强制关机权限只分配给 Administrators 组(远程关机)
授权帐户从网络访问
打开"本地安全策略->安全设置->本地策略->用户权限分配"
配置从网络访问此计算机权限给指定授权用户
授权帐户登录
打开"本地安全策略->安全设置->本地策略->用户权限分配"
取得文件或对象的所有权设置
目的:防止用户非法绕过 NTFS 权限,获取文件内容
实施方法:
打开本地安全策格
1.打开运行,输入secpol.msc
2.找到用户校限分配
本地策路一>用户权限分配
取得文件或其他对象的所有权策略,只保留administrators组
共享文件夹授权访问
打开"控制面板 -> 管理工具 -> 计算机管理",在"共享文件夹"中,查看每个共享文件夹的共享权限
每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone
三、日志配置
配置日志审核策略
启用审核策略更改,对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核,成功和失败操作都需要审核。
启用审核登录事件,对用户登录进行记录,成功和失败操作都需要审核。
启用审核对象访问,成功和失败操作都需要审核。
启用审核进程追踪,仅失败操作需要审核。
启用审核目录服务访问,仅需要审核失败操作。
启用审核特权使用,成功和失败操作都需要审核。
启用审核系统事件,成功和失败操作都需要审核。
启用审核账户登录事件,在此计算机每次验证帐户凭据时进行审核,成功和失败操作都需要审核。
启用审核帐户管理,成功和失败操作都要审核。
设置日志文件大小
打开 "控制面板 -> 管理工具 -> 事件查看器"
配置应用日志、系统日志、安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略
操作 1:点击应用日志、系统日志、安全日志选项中的属性
设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小
四、IP 协议安全
防火墙管理
开启防火墙
按下 "win + r",输入 firewall.cpl,查看防火墙是否启用
配置防火墙出站规则与入站规则
打开"控制面板 > 管理工具 > 高级防火墙配置",选择入站规则或出站规则,新建规则
.选择创建规则类型,端口、程序等
五、Windows 服务安全
禁用 TCP/IP 上的 NetBIOS
在 "计算机管理 > 服务和应用程序 > 服务" 中禁用 TCP/IP NetBIOS Helper 服务,不需要主机对外共享文件夹时可以禁用
禁用不必要的服务
按下 "win + r"命令输入 services.msc,打开服务,进行管理
关闭无用自启
减少开机自启动服务和软件,提高性能和安全性
实施方法
打开微软控制台
1.打开运行->msconfig
在启动选项卡中去掉多余的启动项的"✔"
关闭 Windows 自动播放功能
目的:防止从移动存储设备感染自运行病毒
实施方法
打开组策略编辑器
1.打开运行→gpedit.msc
2.找到策略所在
计算机配置一管理模板一所有设置
关闭自动播放一已启用