Windows系统安全加固方案:快速上手系统加固指南(上)

无论是个人用户、小型企业还是大型机构,都需要采取措施保护其计算机系统免受各种威胁、系统加固常见的应用场景有个人用户、 AWD 比赛、公共机构以及企业环境等等

文档目录

  • 一、Windows常用命令
  • 二、Windows常见端口
  • 三、账户安全
    • [3.1 默认账户安全](#3.1 默认账户安全)
    • [3.2 按照用户分配账户](#3.2 按照用户分配账户)
    • [3.3 定期检查并删除无关账户](#3.3 定期检查并删除无关账户)
    • [3.4 不显示最后的用户名](#3.4 不显示最后的用户名)
  • 四、口令
    • [4.1 密码复杂度](#4.1 密码复杂度)
    • [4.2 账户锁定策略](#4.2 账户锁定策略)
  • 五、授权管理
    • [5.1 远程关机](#5.1 远程关机)
    • [5.2 本地关机](#5.2 本地关机)
    • [5.3 授权账户登录](#5.3 授权账户登录)
    • [5.4 授权用户从网络访问](#5.4 授权用户从网络访问)
  • 六、日志配置
    • [6.1 审核登录](#6.1 审核登录)
    • [6.2 日志文件大小](#6.2 日志文件大小)
  • 七、总结
  • 八、结语

一、Windows常用命令

命令 说明
ver 查看系统版本
hostname 查看主机名
ipconfig /all 查看网络配置
net user/localgroup/share/config 查看用户/用户组/共享/当前运行可配置服务
schtasks.exe 建立或查看系统作业
netstat 查看开放端口
secpol.msc 查看和修改本地安全设置(本地安全策略)
gpupdate /force 设置安全策略立即生效
services.msc 查看和修改服务(服务)
eventvwr.msc 查看日志(事件查看器)
regedit 打开注册表
whoami 查看当前操作用户的用户名

二、Windows常见端口

端口 说明
80/8080/8081 HTTP协议代理服务器常用端口号
443 HTTPS协议代理服务器常用端口号
21 FTP(文件传输协议)协议代理服务器常用端口号
23 Telnet(远程登录)协议代理服务器常用端口号
22 SSH(安全登录)、SCP(文件传输)
1521 Oracle 数据库
1433 MS SQL SERVER数据库
1080 QQ
3306 Mysql数据库
25 SMTP(简单邮件传输协议)

三、账户安全

3.1 默认账户安全

  • 禁用Guest账户
  • 禁用或者删除其他无用的账户(建议先禁用账户三个月,待确认没问题之后删除)

操作步骤

打开 控制面板 → 管理工具 → 计算机管理 ,在 系统工具 → 本地用户和组 → 用户 中,双击Guest账户,在属性中选中账户已禁用,单击确定

3.2 按照用户分配账户

按照用户分配账户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。也可以理解为MySQL中的角色

操作步骤

打开控制面板 → 管理工具 → 计算机管理 ,在系统工具 → 本地用户和组 中,根据业务要求设定不同的用户和用户组,包括管理员账户、数据库用户、审计用户、来宾用户

3.3 定期检查并删除无关账户

定期删除或锁定与设备运行、维护等工作无关的账户

操作步骤

打开控制面板 >管理工具 >计算机管理 ,在系统工具 >本地用户和组中,删除或锁定与设备运行、维护等与工作无关的账户。

3.4 不显示最后的用户名

配置登录登出之后,不显示用户名称

操作步骤

打开控制面板 → 管理工具 → 本地安全策略 ,在本地策略→安全选项中,双击交互式登录:不显示最后的而用户名,选择已启用

四、口令

4.1 密码复杂度

密码复杂度要求必须满足以下策略:

  • 最短密码长度要求八个字符。
  • 启用本机组策略中密码必须符合复杂性要求的策略 。即密码至少包含以下四种类别的字符中的两种:
    • 英语大写字母A,B,C,...Z
    • 英语小写字母a,b,c,...z
    • 西方阿拉伯数字0,1,2,...9
    • 非字母数字字符,如标点符号,@,#,$,%,&,*等

操作步骤

控制面板 >管理工具 >本地安全策略 ,在账户策略 >密码策略 中,确认密码必须符合复杂性要求策略已启用

4.2 账户锁定策略

对于采用静态技术口令认定的设备,应配置当用户连续认证失败次数超过10次之后,锁定该用户使用的账户

操作步骤

控制面板 >管理工具 >本地安全策略 ,在账户策略 >账户锁定策略 中 配置账户锁定阈值不大于10次

五、授权管理

5.1 远程关机

在本地安全设置中,从远端强制关机权限只分配给Administrators组

操作步骤

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配中,配置从远端系统强制关机权限只分配给Administrators

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配

5.2 本地关机

在本地安全设置中关闭系统权限只分配给Administrators

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中配置关闭系统权限只分配给Administrators组

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配 中,配置关闭系统 权限只分配给Administrators组。

5.3 授权账户登录

在本地安全配置中,配置指定授权用户允许本地登录此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配,配置允许本地登录权限授权给指定授权用户

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配 中,配置允许本地登录 权限给指定授权用户。

5.4 授权用户从网络访问

在本地安全策略中,只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中,配置从网络访问此计算机

六、日志配置

6.1 审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时候、以及用户使用的IP地址

操作步骤

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >审核策略中,设置审核登录事件

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →审核策略,设置审核登录事件

主题 描述
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-logon-events 确定是审核用户登录到的每个实例,还是从使用此设备验证帐户的另一台设备上注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-management 确定是否审核设备上帐户管理的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-directory-service-access 确定是否审核用户访问其自己的系统访问控制列表 (SACL) 指定的 Active Directory 对象的事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-logon-events 确定是审核用户登录到设备的每个实例,还是从设备注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-object-access 确定是否审核用户访问对象(例如文件、文件夹、注册表项、打印机等)的事件,该对象具有其自己的系统访问控制列表 (SACL) 指定。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-policy-change 确定是审核用户权限分配策略、审核策略还是信任策略更改的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-privilege-use 确定是否审核行使用户权限的用户的每个实例。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-process-tracking 确定是否审核事件的详细跟踪信息,例如程序激活、进程退出、处理重复和间接对象访问。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-system-events 确定是审核用户何时重启或关闭计算机,还是何时发生影响系统安全性或安全日志的事件。

最好设置为成功失败都审查

6.2 日志文件大小

设置应用日志文件大小至少为8192KB可根据磁盘空间配置日志文件大小,记录得越多越好,,并设置当达到最大日志尺寸的时候,按需要轮询记录日志

操作步骤

选择计算机管理→事件查看器→应用程序→属性

七、总结

在本指南中,我们已经详细讨论了Windows系统加固的各个方面。然而,关于IP协议的安全配置、文件权限管理、服务安全设置、安全选项以及其他安全配置的具体内容,我将留到下一部分进行讲解。请继续关注,以获取更多深入的信息和实用的安全加固技巧。

八、结语

在撰写这篇文章的过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
鸭梨山大。19 分钟前
Jenkins 任意文件读取(CVE-2024-23897)修复及复现
安全·中间件·jenkins
Hacker_xingchen1 小时前
天融信Linux系统安全问题
linux·运维·系统安全
黑客老陈1 小时前
新手小白如何挖掘cnvd通用漏洞之存储xss漏洞(利用xss钓鱼)
运维·服务器·前端·网络·安全·web3·xss
大猫和小黄1 小时前
Windows、CentOS环境下搭建自己的版本管理资料库:GitBlit
linux·服务器·windows·git
Schwertlilien1 小时前
图像处理-Ch6-彩色图像处理
windows
小奥超人6 小时前
PDF无法打印!怎么办?
windows·经验分享·pdf·办公技巧·pdf加密解密
代码改变世界ctw7 小时前
如何学习Trustzone
安全·trustzone·atf·optee·tee·armv8·armv9
gywl9 小时前
openEuler VM虚拟机操作(期末考试)
linux·服务器·网络·windows·http·centos
WTT001110 小时前
2024楚慧杯WP
大数据·运维·网络·安全·web安全·ctf
某柚啊10 小时前
Windows开启IIS后依然出现http error 503.the service is unavailable
windows·http