1. 安全安装
- 选择合适的版本
- 商业版本:家庭版、专业版、专业工作站版、企业版
- 特殊版本:教育版、企业版LTSC等
- 安装源
- 官方渠道&可靠镜像(哈希)
- 安装镜像
- 微软官方提供镜像制作工具
- 不要使用其他第三方开发的windows10镜像
- 分区设置
- windows10自带保留数据重置功能,无需关注分区设置
- 登陆账号设置
- 微软账户
- 本地账户
- 安全补丁
- 安装完成后先进行补丁升级
- 按照其影响的大小可分为“高危漏洞”的补丁,软件安全更新的补丁,可选的高危漏洞补丁,其他功能性更新补丁,无效补丁
- 给操作系统打补丁,不是打得越多越安全
- 补丁安装可能失败
- 适合于某种配置的电脑的补丁,可能并不适合于另一种配置。
- 系统内置账户
- Adminstrator
- Guest
- 用户账户
- 安装时用户创建的账户
2. 保护账号安全
-
关闭默认内置账户
Net user administrator /active:no Net user guest/active:no
-
更改默认账户用户名
- 默认内置账户是攻击针对对象
- 本地安全策略中提供选项
-
给所有账户设置安全的口令
- 什么是安全的口令:自己容易记,别人不好猜
- 自己容易记:需要有规律
- 别人不好猜:规略是别人不知道的
- 案例:不安全的“安全”口令
- 对抗口令爆破依靠强壮的口令,安全建议:
- 足够的长度
- 大写字母、小写字母、数字、特殊字符组合
- 符合“安全”要求的口令
- 对抗口令爆破依靠强壮的口令,安全建议:
- 什么是安全的口令:自己容易记,别人不好猜
-
其他登陆验证方式
- 面部识别
- 指纹
- PIN
- 图片(手势)
3. 本地安全策略
3.1 安全设置
3.1.1 账户策略
-
密码策略设置(避免出现弱口令)
-
密码必须符合复杂性要求
-
密码长度最小值
-
密码最短使用期限
-
密码最长使用期限
-
强制密码历史
-
用可患有的加密来存储密码
-
账户锁定策略
-
账号锁定时间
-
账号锁定阀值
-
重置账号锁定计数器
3.1.2 审核策略
-
作用
-
对用户操作进行审核,形成安全日志
-
审核策略设置
-
审核登陆事件
-
审核对象访问
-
审核过程跟踪
-
审核目录服务访问
-
审核特权使用
-
审核系统事件
-
审核账号登陆事件
-
审核账号管理
3.2安全选项
-
根据业务需求设置安全选项
-
用户试图登陆时消息标题、消息文本
-
网络访问本地账户的共享和安全模式(经典和仅来宾)
-
使用空白密码的本地账户只允许进行控制台登陆
-
……
-
实例-网络访问
-
不允许SAM账号的匿名枚举,设置为己启用
-
可匿名访问的共享,删除策略设置里的值
-
可匿名访问的命名关断,删除策略设置里的值
-
可远程访问的注册表路径,删除策略设置里的值
4. 安全中心
4.1 病毒和威胁防护
-
确保病毒和威胁防护启用
-
确保病毒和威胁防护更新到最新
-
勒索软件防护 建议开启(默认不开启)
4.2 防火墙和网络保护
-
确保防火墙启用(默认启动)
-
域网络
-
专用网络
-
公用网络
-
高级设置(使用防火墙保护出入站及连接)
-
入站(出站)规则
-
阻挡或允许特定程序或者端口进行连接
-
默认存在预先设置的规则
-
预设规则不适用也可以创建自定义规则
-
设置入站(出站)规则
-
新建规则
-
进行端口定义设置
-
输入想要连接打开的端口
-
选择相应的规则
-
设定应用场景
-
定义名称
-
连接安全规则
-
监视
-
防火墙
-
连接安全规则
-
安全关联
4.3 应用和浏览器控制
-
检查应用和文件 警告(默认)
-
使用域Microsoft Edge的SmartScrean 开
-
浏览隔离 默认
-
Exploit Protection 默认
5. 系统服务安全
- 系统服务安全性问题
- 无需用户登陆自动运行(部分为默认“启动”)
- 运行权限较高
- 关闭不必要的服务
- 没有使用的服务
- 存在安全风险的服务
- 例如:交互式服务
- 计划任务 Task Scheduler
- 远程操作注册表 Remote Registry
- ……
6.其他安全设置
## 6.1 关闭管理共享 - 默认情况下,系统分区,windows安全目录全部被共享,存在安全风险 ```Bash net share ``` - 解决策略:修改注册表关闭管理共享 ## 6.2 关闭自动播放功能 - 自动播放功能默认开启,为方便用户而设计 - U盘病毒传播利用机制 - 解决措施 - 本地组策略关闭自动播放(gpedit.mc) # 7. 软件安全获取
- 7.1 防护软件
- 系统自带Windows defender
- 第三方增强
- 其他软件
- 软件应用软件
- 官方网站
- 可靠平台
8. 存储管理
- 主要任务
- 对内存进行分配、保护和扩充
- 为多道程序运行提供有力的支撑
- 便于用户使用存储资源
- 提高存储空间的利用率
9. 文件管理
主要任务:实现文件的高速存取
10. DOS命令
- ping 检查网络是否能够连通;
- net view 用于显示一个计算机上共享资源的列表;
- net share显示本地计算机上所有共享资源的信息;
- ipconfig可以显示计算机中网络适配器的IP地址、子网掩码及默认网关。