Windows系统安全加固方案:快速上手系统加固指南(上)

无论是个人用户、小型企业还是大型机构,都需要采取措施保护其计算机系统免受各种威胁、系统加固常见的应用场景有个人用户、 AWD 比赛、公共机构以及企业环境等等

文档目录

  • 一、Windows常用命令
  • 二、Windows常见端口
  • 三、账户安全
    • [3.1 默认账户安全](#3.1 默认账户安全)
    • [3.2 按照用户分配账户](#3.2 按照用户分配账户)
    • [3.3 定期检查并删除无关账户](#3.3 定期检查并删除无关账户)
    • [3.4 不显示最后的用户名](#3.4 不显示最后的用户名)
  • 四、口令
    • [4.1 密码复杂度](#4.1 密码复杂度)
    • [4.2 账户锁定策略](#4.2 账户锁定策略)
  • 五、授权管理
    • [5.1 远程关机](#5.1 远程关机)
    • [5.2 本地关机](#5.2 本地关机)
    • [5.3 授权账户登录](#5.3 授权账户登录)
    • [5.4 授权用户从网络访问](#5.4 授权用户从网络访问)
  • 六、日志配置
    • [6.1 审核登录](#6.1 审核登录)
    • [6.2 日志文件大小](#6.2 日志文件大小)
  • 七、总结
  • 八、结语

一、Windows常用命令

命令 说明
ver 查看系统版本
hostname 查看主机名
ipconfig /all 查看网络配置
net user/localgroup/share/config 查看用户/用户组/共享/当前运行可配置服务
schtasks.exe 建立或查看系统作业
netstat 查看开放端口
secpol.msc 查看和修改本地安全设置(本地安全策略)
gpupdate /force 设置安全策略立即生效
services.msc 查看和修改服务(服务)
eventvwr.msc 查看日志(事件查看器)
regedit 打开注册表
whoami 查看当前操作用户的用户名

二、Windows常见端口

端口 说明
80/8080/8081 HTTP协议代理服务器常用端口号
443 HTTPS协议代理服务器常用端口号
21 FTP(文件传输协议)协议代理服务器常用端口号
23 Telnet(远程登录)协议代理服务器常用端口号
22 SSH(安全登录)、SCP(文件传输)
1521 Oracle 数据库
1433 MS SQL SERVER数据库
1080 QQ
3306 Mysql数据库
25 SMTP(简单邮件传输协议)

三、账户安全

3.1 默认账户安全

  • 禁用Guest账户
  • 禁用或者删除其他无用的账户(建议先禁用账户三个月,待确认没问题之后删除)

操作步骤

打开 控制面板 → 管理工具 → 计算机管理 ,在 系统工具 → 本地用户和组 → 用户 中,双击Guest账户,在属性中选中账户已禁用,单击确定

3.2 按照用户分配账户

按照用户分配账户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。也可以理解为MySQL中的角色

操作步骤

打开控制面板 → 管理工具 → 计算机管理 ,在系统工具 → 本地用户和组 中,根据业务要求设定不同的用户和用户组,包括管理员账户、数据库用户、审计用户、来宾用户

3.3 定期检查并删除无关账户

定期删除或锁定与设备运行、维护等工作无关的账户

操作步骤

打开控制面板 >管理工具 >计算机管理 ,在系统工具 >本地用户和组中,删除或锁定与设备运行、维护等与工作无关的账户。

3.4 不显示最后的用户名

配置登录登出之后,不显示用户名称

操作步骤

打开控制面板 → 管理工具 → 本地安全策略 ,在本地策略→安全选项中,双击交互式登录:不显示最后的而用户名,选择已启用

四、口令

4.1 密码复杂度

密码复杂度要求必须满足以下策略:

  • 最短密码长度要求八个字符。
  • 启用本机组策略中密码必须符合复杂性要求的策略 。即密码至少包含以下四种类别的字符中的两种:
    • 英语大写字母A,B,C,...Z
    • 英语小写字母a,b,c,...z
    • 西方阿拉伯数字0,1,2,...9
    • 非字母数字字符,如标点符号,@,#,$,%,&,*等

操作步骤

控制面板 >管理工具 >本地安全策略 ,在账户策略 >密码策略 中,确认密码必须符合复杂性要求策略已启用

4.2 账户锁定策略

对于采用静态技术口令认定的设备,应配置当用户连续认证失败次数超过10次之后,锁定该用户使用的账户

操作步骤

控制面板 >管理工具 >本地安全策略 ,在账户策略 >账户锁定策略 中 配置账户锁定阈值不大于10次

五、授权管理

5.1 远程关机

在本地安全设置中,从远端强制关机权限只分配给Administrators组

操作步骤

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配中,配置从远端系统强制关机权限只分配给Administrators

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配

5.2 本地关机

在本地安全设置中关闭系统权限只分配给Administrators

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中配置关闭系统权限只分配给Administrators组

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配 中,配置关闭系统 权限只分配给Administrators组。

5.3 授权账户登录

在本地安全配置中,配置指定授权用户允许本地登录此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配,配置允许本地登录权限授权给指定授权用户

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >用户权限分配 中,配置允许本地登录 权限给指定授权用户。

5.4 授权用户从网络访问

在本地安全策略中,只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中,配置从网络访问此计算机

六、日志配置

6.1 审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时候、以及用户使用的IP地址

操作步骤

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >审核策略中,设置审核登录事件

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →审核策略,设置审核登录事件

主题 描述
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-logon-events 确定是审核用户登录到的每个实例,还是从使用此设备验证帐户的另一台设备上注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-management 确定是否审核设备上帐户管理的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-directory-service-access 确定是否审核用户访问其自己的系统访问控制列表 (SACL) 指定的 Active Directory 对象的事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-logon-events 确定是审核用户登录到设备的每个实例,还是从设备注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-object-access 确定是否审核用户访问对象(例如文件、文件夹、注册表项、打印机等)的事件,该对象具有其自己的系统访问控制列表 (SACL) 指定。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-policy-change 确定是审核用户权限分配策略、审核策略还是信任策略更改的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-privilege-use 确定是否审核行使用户权限的用户的每个实例。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-process-tracking 确定是否审核事件的详细跟踪信息,例如程序激活、进程退出、处理重复和间接对象访问。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-system-events 确定是审核用户何时重启或关闭计算机,还是何时发生影响系统安全性或安全日志的事件。

最好设置为成功失败都审查

6.2 日志文件大小

设置应用日志文件大小至少为8192KB可根据磁盘空间配置日志文件大小,记录得越多越好,,并设置当达到最大日志尺寸的时候,按需要轮询记录日志

操作步骤

选择计算机管理→事件查看器→应用程序→属性

七、总结

在本指南中,我们已经详细讨论了Windows系统加固的各个方面。然而,关于IP协议的安全配置、文件权限管理、服务安全设置、安全选项以及其他安全配置的具体内容,我将留到下一部分进行讲解。请继续关注,以获取更多深入的信息和实用的安全加固技巧。

八、结语

在撰写这篇文章的过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
Jtti33 分钟前
Windows系统服务器怎么设置远程连接?详细步骤
运维·服务器·windows
小奥超人1 小时前
PPT文件设置了修改权限,如何取消权?
windows·经验分享·microsoft·ppt·办公技巧
jjyangyou3 小时前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan3 小时前
大语言模型安全威胁
人工智能·安全·语言模型
马船长3 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全
hairenjing112310 小时前
使用 Mac 数据恢复从 iPhoto 图库中恢复照片
windows·stm32·嵌入式硬件·macos·word
hikktn11 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
九鼎科技-Leo12 小时前
了解 .NET 运行时与 .NET 框架:基础概念与相互关系
windows·c#·.net
23zhgjx-NanKon13 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon13 小时前
华为eNSP:mux-vlan
网络·安全·华为