1.账号管理与认证授权
(1)按用户类型分配账号
打开本地用户和计算机管理器,设定不同账户和组、管理员、数据库sa、审计用 户、来宾用户等
打开运行,输入lusrmgr.msc
如果是域环境
输入dsa.msc
(2)重命名administrator,禁用guest
减少爆破可能性
打开运行,输入lusrmgr.msc
为管理员administrator重命名
禁用来宾guest
(3)设置密码策略
防止弱口令出现,减少爆破可能性
打开本地安全策略
打开运行,输入secpol.msc
找到密码策略
账户策略->密码策略
修改默认值
(4)账户锁定策略
打开运行,输入secpol.msc
账户策略->账户锁定策略
(5)远程关机权限设置
防止用户非法绕过NTFS权限
默认情况下,只有管理员组的成员才能进行远程关机
打开运行,输入secpol.msc
本地策略->用户权限分配
从远程系统强制关机策略只保留administrator组
(6)设置从本地登录此计算机和网络访问策略
防止用户非法登录主机
打开运行,输入secpol.msc
本地策略->用户权限分配
从本地登录此计算机策略、网络访问此计算机策略,加入授权用户
2.日志配置
(1)审核策略设置
记录系统登录事件,对象访问事件,软件安装事件,安全事件等
打开运行,输入secpol.msc
本地策略->审核策略
设置为成功失败都要审核(默认都是无审核)
在管理工具->事件查看器->windows日志中可以看到windows日志信息
也可以通过eventvwr.msc来打开事件查看器
(2)日志记录策略
进入事件查看器,设置日志属性
3.IP协议安全
(1)启用TCP/IP筛选
过滤掉不必要的端口
运维人员列出业务所需端口
控制面板->网络连接->右击本地连接->internet协议属性->高级TCP/IP设置
在选项属性中启用网络连接的TCP/IP筛选,是开放业务的端口
(2)开启系统防火墙
控制面板->网络连接->右击本地连接->高级选项中设置启用windows防火墙
设置例外:只允许业务端口接入网络
(3)设置空闲超时锁定系统
防止由于疏忽导致系统被非法使用
控制面板->显示->屏幕保护程序
启用屏保,设置等待时间5分钟,启用在恢复时使用密码保护功能。
(4)设置网络服务挂起时间
secpol.msc 打开本地策略安全选项
“microsoft网络服务器” 设置“在挂起会话之前所需空闲时间”为5分钟
(5)关闭默认共享
windows默认共享分区
打开运行,输入regedit.msc
展开Lsa目录
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\Lsa
调整restrictanonymous键值为1
建两个DWOREO值分别命名为AutoSharkWKs和AutoShareServer
(6)设置共享文件夹权限
4.漏洞管理
(1)安全系统补丁
安装最新的service pack补丁集
部署WSUS服务器
从Micresoft Update上下载补丁
在测试机上安装补丁后测试业务运行情况
使用WSUS服务器内网分发补丁
(2)安装和更新杀毒软件
使用c/s结构部署企业版防毒软件
制定统一安全查杀规则
5.服务与启动项
(1)关闭无用服务
打开运行,输入services.msc
右击无关服务->属性->启动类型(禁用)->运行状态->停止
(2)关闭无用自启项
打开运行,msconfig
在启动选项卡中去掉多余启动项
(3)关闭windows自动播放功能
打开运行,gpedit.msc
计算机配置->管理模块->系统->设置
关闭自动播放->已启用