Windows安全加固详解

一、补丁管理

  1. 使用适当的命令或工具,检查系统中是否有未安装的更新补丁。

Systeminfo

  1. 尝试手动安装一个系统更新补丁。

     下载适当的补丁文件。

     打开命令提示符或PowerShell,并运行 wusa.exe <patch_file_name>.msu

二、账号管理

  1. 通过计算机管理工具,检查并列出系统上的本地用户和组。

     net user - 列出本地用户。

     net localgroup - 列出本地组。

  1. 根据密码策略设置,修改密码并确保符合要求。

     secpol.msc 打开本地安全策略。

     "账户设置 -> 密码策略" 中修改密码相关设置。

  1. 配置密码过期时间。

     secpol.msc 打开本地安全策略。

     "账户设置 -> 密码策略" 中修改密码相关设置。

  1. 根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。

net user #查看所有账户

net user 用户名 #查看用户详细信息

net user 用户名 新密码 #给用户改密码(只有管理员可使用)

net user 用户名 密码 /add/del # 创建(删除)用户名和密码

net localgroup #列出所有组

net localgroup 组名 /add #新建组

net localgroup 组名 #查看该组成员

net localgroup administrator 用户名 /add/del # 把用户添加(把用户从组中删除)到管理员组

net user 用户名 /active:yes #激活账户

net user 用户名 /active:no #禁用账户

  1. 删除或锁定与设备运行、维护等与工作无关的账号,提高系统帐户安全。

按以上命令

  1. 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。提高系统安全性。

按以上命令

三、授权管理

  1. 防止远程用户非法关机,在本地安全设置中从远端系统强制关机只指派给Administrators组。

•   secpol.msc 打开本地安全策略。

•   在 "本地策略 -> 用户权限分配" 中修改

  1. 防止管理员以外的用户非法关机,在本地安全设置中关闭系统仅指派给Administrators组。

     secpol.msc 打开本地安全策略。

     "本地策略 -> 用户权限分配" 中修改

  1. 防止用户非法获取文件,在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators组。

同上

  1. 防止用户非法登录主机,在本地安全设置中配置指定授权用户允许本地登陆此计算机。

同上

  1. 防止网络用户非法访问主机,在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”-“从网络访问此计算机”设置为“指定授权用户”

  1. 设置远程连接挂起时间。

     进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:“Microsoft网络服务器: 在挂起会话之前所需的空闲时间” 设置为15分钟

  1. 检查每个系统驱动器根目录的文件权限,确保Everyone组没有写权限。

盘符右键属性->安全中设置

四、系统设置---公司系统

  1. 设置屏幕保护程序,等待时间为10分钟,并启用在恢复时使用密码保护。

     control desk.cpl 打开显示属性。

     "屏幕保护程序" 中设置等待时间和密码保护。

  1. 使用本地安全策略,启用“交互式登录:不显示上次登录的用户名”。

     secpol.msc 打开本地安全策略。

     "本地策略 -> 安全选项" 中启用 "交互式登录:不显示上次登录的用户名"

  1. 设置Microsoft网络服务器挂起时间,防止管理员忘记锁定机器被非法利用;对于远程登陆的帐号,设置不活动断连时间15分钟。

     进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:

     查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。

  1. 安装防病毒软件,并及时更新,提高系统防病毒能力。

安装360、卡巴斯基,火绒等

  1. 关闭Windows自动播放,防止从移动设备感染病毒。

点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,查看各驱动器 “关闭自动播放”状态。

五、网络服务和端口

  1. 使用服务管理工具,停止或修改以下服务的启动方式为手动:Print Spooler、Background Intelligent Transfer Service(BITS)。

     services.msc 打开服务管理器。

     找到相应服务,右键点击进行停止或修改启动类型。

  1. 通过命令行或图形界面,关闭系统默认共享。

     在命令提示符中运行 net share 查看共享。

     使用 net share <share_name> /delete 删除不需要的共享。

  1. 关闭不常用端口。

     使用防火墙工具,例如 Windows 防火墙,关闭不需要的端口。

  1. 关闭无效的启动项,提高系统性能,增加系统安全性。列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。

任务管理器打开启动项关闭

六、日志审计

  1. 开启全部事件成功和失败审计。

     使用 secpol.msc 打开本地安全策略。

     "本地策略 -> 审核策略" 中启用所需的审核项

  1. 在事件查看器中,设置系统事件的日志上限大小为10240 KB,同时设置达到日志上限大小时改写久于180天的事件。

     打开事件查看器

     属性中进行设置

上一篇:Studying-多线程学习Part2 - 互斥量死锁、lock_guard 与 unique_lock、call_once与其使用场景