1 用户权限策略配置 低 三权分立策略 "1.输入框输入 compmgmt.msc,进入“计算机管理->本地用户和组->用户->新建用户”,分别创建安全管理员(secadmin)、审计管理员(audadmin)和系统管理员(sysadmin);
2.把权限组加入到相应账号中"
2 删除或禁用系统无关账号 低 删除或禁用 "1.计算机管理->系统工具->本地用户和组->用户
2.右击删除无关账号
3.右击Guest账号--属性--禁用。"
3 开启屏幕保护程序 低 开启 "1.在Win 7:进入 控制面板->显示->个性化->屏幕保护程序->5分钟;
2.在Win 2000、Win XP、Win 2003和Win 2008:进入 控制面板->显示->屏幕保护程序(更改屏幕保护程序);
"
4 口令复杂度策略 低 8 "1.进入“控制面板->管理工具->本地安全策略->帐户策略->密码策略”;
2.双击“密码长度最小值”,设置“密码长度最小值”为8个字符,点击确定;
3.双击“强制历史密码”,设置“记住的密码个数”为5个密码,点击确定;
4.双击“密码必须符合复杂性要求”,勾选已启用,点击确定。"
5 用户登录失败锁定 低 0 进入控制面板->管理工具->本地安全策略,在帐户策略->帐户锁定策略:查看是否账户锁定标准值设置为小于等于5次;
6 用户口令周期策略 低 90天 进入控制面板->管理工具->本地安全策略,在帐户策略->密码策略:密码最长存留期设置为90天
7 用户口令过期提醒 低 10天 进入控制面板->管理工具->本地安全策略->安全选项->密码到期前提示用户更改密码,设置为10天
8 系统不显示上次登录用户名 高 启用 "进入控制面板->管理工具->本地安全策略->安全选项->双击""交互式登陆:不显示最后的用户名"",选择启用。"
9 禁止未登录前关机 中 启用 "1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2.双击“关机: 允许系统在未登录的情况下关闭”,设置属性为“已禁用”,点击确定。"
10 关机时清除虚拟内存页面文件 低 启用 "1.进入“开始->控制面板->管理工具->本地安全策略”;
2.进入“安全设置->本地策略->安全选项”;
3.双击“关机: 清除虚拟内存页面文件”,属性设置为“已启用”。"
11 禁止非管理员关机 中 关机权限 "1.进入“开始->控制面板->管理工具->本地安全策略->本地策略->用户权限分配”;
2.分别双击“关闭系统”和“从远程系统强制关机”选项,仅配置系统管理员(sysadmin)用户。。"
12 主机间登录禁止使用公钥验证 低 启用 "1.进入“控制面板->管理工具->本地安全策略->本地策略->安全选项”;
2.双击“""网络访问,不允许存储网络身份验证的密码和凭据”,选择“已启用”,点击确定。"
13 配置日志审计策略 低 启用 "1.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
2.进入“计算机配置->Windows设置->安全设置->本地策略->审核策略”;
3.对审核策略进行如下设置:
审核账户登录事件:成功,失败;
审核账户管理:成功,失败;
审核目录服务访问:失败;
审核登录事件:成功,失败;
审核对象访问:成功,失败;
审核策略更改:成功,失败;
审核特权使用:失败;
审核过程追踪:无审核;
审核系统事件:成功,失败;"
14 禁止用户修改IP 高 启用 "1.按windows键+R,输入gpedit.msc—进入 本地组策略编辑器—用户配置—管理模板—网络—网络连接;
2.分别双击 禁止访问LAN连接组件的属性; 禁止访问LAN连接的属性;禁止TCP/IP高级配置;设置为已启用"
15 禁止用户更改计算机名 低 启用 "1.按windows键+R,输入gpedit.msc—进入 本地组策略编辑器—用户配置—管理模板—桌面;
2.双击“从‘计算机(我的电脑)’图标上下文菜单中删除属性”,设置为“已启用”,点击确定。"
16 关闭自动播放功能 低 关闭 "1.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
2.配置关闭自动播放策略:
在Win 7和Win 2008:
(1)进入“计算机配置->管理模板->Windows组件->自动播放策略”;
(2)查看右侧小窗口,双击“关闭自动播放”,选择“已启用”;
(3)在“选项”中,选择“所有驱动器”,点击确定。
在Win 2000、Win XP和Win 2003:
(1)进入“计算机配置->管理模板->系统”;
(2)查看右侧小窗口,双击“关闭自动播放”,选择“已启用”;30
(3)在“选项”中,选择“所有驱动器”,点击确定。"
17 限制远程登录的IP 中 限制 "1.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
2.分别进入“计算机配置->管理模板->网络->网络连接->Windows防火墙->域配置文件”和“标准配置文件”,执行3、4步操作;
3.双击“允许入站远程桌面例外”,选择“已启用”;
4.填入允许远程登录到本机的主机IP地址,并以逗号分隔,点击确定。"
18 限制远程登录时间 低 10分钟 "1.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
win7和win8:
(1)进入“计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->会话时间限制”,双击“达到时间限制终止会话”,选择“已启用”,
(2)双击“设置活动但空闲的远程桌面服务会话的时间限制”,选择“已启用”,设置“活动会话限制”为10分钟
在Win XP和Win 2003:
(1)进入“计算机配置->管理模板->Windows组件->终端服务->会话”,双击“到达时间限制时终止会话”,选择“已启用”,点击确定;
(2)双击“为活动但空闲的终端服务会话设置时间限制”,选择“已启用”,设置“活动会话限制”为10分钟,点击确定。"
19 限制匿名用户远程连接 低 限制 "1.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
2.进入“计算机配置->Window设置->安全设置->本地策略->安全选项”;
3.双击“网络访问:不允许SAM帐号和共享的匿名枚举”,选择“已启用”,点击确定;
4.双击“网络访问:""不允许 SAM 帐户的匿名枚举”,选择已启用,点击确定。"
20 关闭不必要的服务 高 关闭 "运行中输入services.msc命令;
Server
Alerter (Win 7、Win 2008 不适用)
Clipbook (Win 7、Win 2008不适用)
Computer Browser
DHCP Client
Messenger (Win 7、Win 2008不适用)
Remote Registry Service(Win 7、Win 2008不适用)
Routing and Remote Access
Simple Mail Trasfer Protocol(SMTP) (Win2000不适用)
Simple Network Management Protocol(SNMP) Service (Win XP、Win 2000不适用)
Simple Network Management Protocol(SNMP) Trap (Win XP、Win 2000 不适用)
Telnet
World Wide Web Publishing Service (Win XP、Win 2000不适用)
Print Spooler
Terminal Service (Win2000不适用)
Task Scheduler(可选)
Messenger net send(Win XP、Win 2000为Messenger)
remote Registry(Win XP、Win 2000为remote Registry service不适用)
SSDPDiscovery(Win2000不适用)
DNSClient
Windows Remote Management(WS-Management)(可选,Win2000不适用)
"
21 开启防火墙功能 高 开启 "1.按windows键+R,输入firewall.cpl;
2.选择“打开或关闭Windows防火墙”,点击启用Windows防火墙。"
22 配置访问控制规则 高 开启 "1.win7和win2008,通过配置防火墙白名单策略。
2.win2000使用IP安全策略实现访问控制。"
23 关闭不必要的系统端口 高 关闭 "1.使用防火墙或者IP安全策略实现白名单制度。
(1)以下端口禁止开放:TCP21,TCP23,TCTCP/UDP139,TCP/UDP445。
2.以下端口应限制访问IP:TCP3389。"
24 关闭远程主机RDP服务 中 关闭 "1.右击“计算机”,选择“属性”,点击左侧菜单栏中的“远程设置”;
2.选择“不允许连接到这台计算机”,取消勾选“允许远程协助连接到这台计算机”,点击确定。"
25 开启用户账户控制设置(重启生效) 低 启用 "1.进入“开始->控制面板->用户账户和家庭安全->用户账户”;
2.更改“用户账户控制设置”,设置为“默认”,点击确定。"
26 卸载无关软件 高 卸载 开始->控制面板->程序与功能;选择需要卸载的软件,右键选择 “卸载/更改”按钮,卸载完成。
27 限制远程登录协议 中 删除 "1.进入“开始->控制面板->程序与功能”(添加删除程序),查找是否有第三方远程登录软件(服务端);
2.卸载系统中的第三方远程登录软件。"
28 禁止使用无线设备 低 禁用 "1.核实是否存在无线网卡,若存在,请执行以下操作并拔出网卡设备;
2.按windows键+R,输入devmgmt.msc,进入“设备管理器”;
3.查找右侧“设备管理器”的窗口,选择网络适配器,找到无线网卡、蓝牙无线收发适配器设备名称;右击该设备,选择“禁用”,点击“是”。"
29 配置日志文件大小 低 启用 "1.进入事件查看器的日志配置:
进入“控制面板->管理工具->事件查看器->Windows日志;
2.依次右击“应用程序”、“安全”、“系统”、“转发事件”和“Setup”,选择“属
性->常规”,设置“日志最大大小”为102400KB;
3.按windows键+R,输入gpedit.msc,进入“本地组策略编辑器”;
4.在 Win7 和 Win 2008:进入“计算机配置->管理模板->Windows 组件->事件日志服务->安全->日志文件写满后自动备份”和“保留旧事件”,设置“已启用”;"
30 关闭默认共享(重启才生效) 低 关闭 "1.进入“开始->控制面板->管理工具->计算机管理(本地)->共享文件夹->共享”;
2.查看右侧窗口,选择对应的共享文件夹(例如C$,D$,ADMIN$,IPC$等),右击停止共享。"
31 数据执行保护(DEP) 低 启用 "1.进入“控制面板->系统”;
2.选择“高级系统设置->高级->性能->设置->数据执行保护”选项卡,勾选仅为基本 Windows 操作系统程序和服务启用DEP”,点击确定。"
32 补丁更新 高 打补丁 查看当前系统漏洞是否已安装补丁包,到官网下载补丁包(https://support.microsoft.com/zh-cn)
33 删除默认路由配置 高 删除默认路由 "1.cmd下输入route print,检查是否有默认路由;
2.已管理员身份打开命令提示符,输入route del 0.0.0.0 删除默认路由。"
| 34 | 杀软保护 | 高 | 安装并定时杀毒 | 1.打开控制面板,检查是否已安装杀毒软件。 2.查看杀毒软件日志,检查是否定期杀毒。 |
扫一扫
3511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
