windwos安全加固

一、账号管理

按用户类型分配账号

目的：根据系统要求，设定不同账户和组，管理员、数据库 sa、审计用户、来宾用户等

实施方法：
打开本地用户和计算机管理器
​
1.打开运行，输入lusrmgr.msc
2.根据用户要求将账户加入功能组
    用户：右击用户->属性->更改隶属于
    组：右击功能组->属性->成员

清理系统无用账户

目的：删除或锁定与设备运行，维护等工作无关的账号，提高系统账号安全性。

net user 用户名 /delete

实施方法：
打开本地用户和计算机管理器
​
1.打开运行，输入lusrmgr.msc
2.删除或锁着锁定无关账号(删除操作不可逆)
    右击账号->删除
    右击账号->属性->账户已禁用

禁用来宾账户

目的：减少账户被爆破的可能性，提高系统访问安全性

本地安全策略->安全设置->本地策略->安全选项"

secpol.msc

---

重命名账户

打开"本地安全策略->安全设置->本地策略->安全选项"

将系统管理员账户重命名

实施方法：
打开本地用户和计算机管理器
​
1.打开运行，输入lusrmgr.msc
2.为管理员adminstrator账户改名
    右击administrator->重命名->属性->全名

配置密码策略

打开"本地安全策略->安全设置->账户策略->密码策略"

实施方法:
打开本地安全策略
​
1.打开运行，输入secpol.msc
2.找到密码策略
    账户策略—密码策略
3.修改黑默认值:
    密码必须符合复杂性要求:禁用一启用
    密码长度最小值:0->8
密码策略建议:
    密码最短使用期限:0天
    密码最长使用期限:42-90天
    强制密码历史:1-5
    用可还原的加密来存储:禁用

启用密码必须符合复杂性要求

根据具体情况设置长度最小值、密码使用时间等

配置帐户锁定策略

打开"本地安全策略->安全设置->账户策略->账户锁定策略"

设置账户锁定阈值，登录失效达到一定次数后锁定

不显示上次登录的用户

打开"本地安全策略->安全设置->本地策略->安全选项"

启用不显示上次登录，登录登出后，不显示用户名称

二、授权管理

远程关机权限设置

目的：防止远程用户非法关闭系统

打开"本地安全策略->安全设置->本地策略->用户权限分配"

将关闭系统权限分配给 Administrators 组（本地关机）

从远程系统强制关机权限只分配给 Administrators 组（远程关机）

授权帐户从网络访问

打开"本地安全策略->安全设置->本地策略->用户权限分配"

配置从网络访问此计算机权限给指定授权用户

授权帐户登录

打开"本地安全策略->安全设置->本地策略->用户权限分配"

取得文件或对象的所有权设置

目的：防止用户非法绕过 NTFS 权限，获取文件内容

实施方法:
打开本地安全策格
​
1.打开运行,输入secpol.msc
2.找到用户校限分配
    本地策路一>用户权限分配
    取得文件或其他对象的所有权策略,只保留administrators组

共享文件夹授权访问

打开"控制面板 -> 管理工具 -> 计算机管理"，在"共享文件夹"中，查看每个共享文件夹的共享权限

每个共享文件夹的共享权限仅限于业务需要，不要设置成为 Everyone

三、日志配置

配置日志审核策略

启用审核策略更改，对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核，成功和失败操作都需要审核。

启用审核登录事件，对用户登录进行记录，成功和失败操作都需要审核。

启用审核对象访问，成功和失败操作都需要审核。

启用审核进程追踪，仅失败操作需要审核。

启用审核目录服务访问，仅需要审核失败操作。

启用审核特权使用，成功和失败操作都需要审核。

启用审核系统事件，成功和失败操作都需要审核。

启用审核账户登录事件，在此计算机每次验证帐户凭据时进行审核，成功和失败操作都需要审核。

启用审核帐户管理，成功和失败操作都要审核。

设置日志文件大小

打开 "控制面板 -> 管理工具 -> 事件查看器"

配置应用日志、系统日志、安全日志属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略

操作 1：点击应用日志、系统日志、安全日志选项中的属性

设置应用日志文件大小至少为 8192 KB，可根据磁盘空间配置日志文件大小

四、IP 协议安全

防火墙管理

开启防火墙

按下 "win + r"，输入 firewall.cpl，查看防火墙是否启用

配置防火墙出站规则与入站规则

打开"控制面板 > 管理工具 > 高级防火墙配置"，选择入站规则或出站规则，新建规则

.选择创建规则类型，端口、程序等

五、Windows 服务安全

禁用 TCP/IP 上的 NetBIOS

在 "计算机管理 > 服务和应用程序 > 服务" 中禁用 TCP/IP NetBIOS Helper 服务，不需要主机对外共享文件夹时可以禁用

禁用不必要的服务

按下 "win + r"命令输入 services.msc，打开服务，进行管理

关闭无用自启

减少开机自启动服务和软件，提高性能和安全性

实施方法
打开微软控制台
​
1.打开运行->msconfig
在启动选项卡中去掉多余的启动项的"✔"

关闭 Windows 自动播放功能

目的：防止从移动存储设备感染自运行病毒

实施方法
打开组策略编辑器
​
1.打开运行→gpedit.msc
2.找到策略所在
    计算机配置一管理模板一所有设置
    关闭自动播放一已启用