提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
管理账户
重命名Administrator, 禁用GUEST
Administrator账户是微软操作系统的默认系统管理员账户,且此账户无法被停用,也就意味着黑客可以直接暴力猜测密码,因为用户名是默认值。所以我们需要修改管理员账户。
GUEST账户(来宾用户),可以使其他计算机用户临时访问计算机,该用户可以查看日志信息,执行关闭系统等危害性操作。
配置:
进入"控制面板->管理工具- >本地安全策略”,在“本地策略->安全选项”,找到:
“账户:重命名管理员账户”,右键重命名;
"账户:来宾用户状态:”,右键”已禁用”;
要是没有找到本地用户和组文件,就要查看一下登录方式是不是本地登录,如果是microsoft登录是没有这一栏的。
不显示最后登录的用户名
原因:会导致泄露用户名
进入"控制面板->管理工具->本地安全策略”,在"本地策略->安全
选项”,找到: "交互式登录:不显示最后的用户名”->右键"已启用”。
系统无效帐户清理
原因:不清理无效账户,系统将面临默认账号被非法利用的风险。
配置:
进入"控制面板->管理工具->计算机管理”,在“系统工具->本地用
户和组”,删除或锁定与设备运行、维护等与工作无关的账号。
系统状态:
进入"控制面板->管理工具->计算机管理”,在"系统工具->本地用户和组”,根据系统的要求和实际业务情况查看判断是否已删除或锁定与设备运行、维护等与工作无关的账号。
按照用户类型分配账号
原因:账号混淆,权限不明确,会导致存在用户越权使用的可能。
配置:
进入"控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”。
结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户。
系统状态:
进入"控制面板->管理工具->计算机管理”,在“系统工具->本地用户和
组”,根据系统的要求和实际业务情况查看账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等。
管理口令
配置密码策略
增加密码的安全性,防止被爆破。
配置:
进入"控制面板->管理工具- >本地安全策略”,在“帐户策略- >密码
策略”,"密码必须符合复杂性要求”选择“已启动”,设置自身密码策略。
注:对于静态口令认证技术的设备,账户口令的存留期不应长于90天。
配置账户锁定策略
原因:当使用静态口令的设备,应当配置连续认证失败次数,超过设定值之后应锁定该用户使用的账户。
配置
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->账户锁定策略”中,配置”帐户锁定阈值”不大于10次。
授权
远程关机
原因:只把这个权限传给Administrators组,否则其他用户也能远程强制关机电脑
配置:
进入"控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派"。“从远端系统强制关机”设置为“只指派给Administrators组”。
本地关机
原理:防止其他登录到本地的用户关闭系统。
配置:
进入"控制面板-> 管理工具- >本地安全策略”,在“本地策略->用户权利指派”。"关闭系统”设置为“只指派给Administrators组”。
用户权限指派
原因:防止其他用户取得文件或其他对象的所有权。
配置:
进入"控制面板->管理工具>本地安全策略”,在"本地策略->用户权利指派”。“取得文件或其它对象的所有权” 设置为“只指派给Administrators组”。
授权帐户登录
原因:防止用户非法登录主机。
配置:进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利分配”,查看并记录修改“从本地登陆此计算机”的当前设置。
授权帐户从网络访问
原因:防止用户非法登录主机,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
配置:
进入"控制面板->管理工具>本地安全策略”,在"本地策略->用户权利指派”,配置”从网络访问此计算机”权限给"指定授权用户”。将所有的用户组删除,然后点击下面的“添加用户或组.按钮,点击"高级”按钮,然后点击"立即查询”按钮,从查询的结果中选择管理员的账号,然后依次确定保存。
禁止系统自动登录
原因:防止电脑由休眠变为激活之后能直接登录系统,防止非授权用户非法登录主机实现对计算机的破坏或者控制。
配置:
打开“开始”菜单的"运行”,在“运行”中输入control userpasswords2,打开“用户账户”,然后启用”要是用本机,用户必须输入用户名和密码”的选项。