点击蓝字,关注我们
本文作者:98bk
本文字数:2481
阅读时长:15min
附件:点击查看原文下载
声明:请勿用作违法用途,否则后果自负
Windows操作系统安全加固
一为沧波客,十见红蕖秋
管理缺省帐户:
禁用Guest账户:开始--管理工具--计算机管理--本地用户和组--用户--选择Guest右键--属性--常规选项卡--勾选“账户已经用”选项--点击“确定”或者“应用”对更改进行保存
更改默认管理员Administrator名称:开始--管理工具--本地安全策略--本地策略--安全选项--帐户: 重命名管理员帐户
按照用户分配帐户:
根据系统的要求,设定不同的用户和用户组,管理员用户,数据库用户,审计用户,来宾用户等
1. 新建用户:开始--管理工具--计算机管理--本地用户和组--用户--右键“新建用户”。填写用户名、密码,并根据实际情况勾选“用户下次登录时必须更改密码”、“账户已禁用”等选项
2. 新建用户组:开始--管理工具--计算机管理--本地用户和组--组--新建组--填写组名等信息--创建
3. 将用户加入组:新创建的用户是属于普通权限的USER组。开始--管理工具--计算机管理--本地用户和组--组--双击选择一个组名--添加--高级--立即查找--选择你需要的用户--然后点击3次确定。注意:单人图标的代表用户,双人图标的代表组,选择用户的时候请注意区分。
3删除、锁定与设备无关帐户:
删除或锁定与设备运行、维护等与工作无关的帐户
1. 锁定:开始--管理工具--计算机管理--本地用户和组--用户--选择用户右键--属性--常规选项卡--勾选“账户已经用”选项--点击“确定”或者“应用”对更改进行保存
2. 删除:开始--管理工具--计算机管理--本地用户和组--用户--选择用户右键--删除
4密码策略:
1. 开始--管理工具--本地安全策略--账户策略--密码策略。
设置“密码必须符合复杂性要求”为已启用
设置“密码长度最小值”为8个字符
设置“强制密码历史”为24个记住密码
设置“密码最长使用期限”为90天
设置“用可还原的加密来存储密码”为禁用
5 用户权限分配策略
1.开始--管理工具--本地安全策略--本地策略--用户权限分配
设置“从远程系统强制关机”为Administrators组。
设置“关闭系统”为Administrators组
设置“取得文件或其他对象的所有权”为Administrators组
设置“允许本地登录”为特定用户、用户组
设置“从网络访问此计算机”为特定用户、用户组
6 日志审计:
1. 开始--管理工具--本地安全策略--本地策略--审核策略
设置“审核登录事件”为成功和失败都审核
设置“审核策略更改”为成功和失败都审核
设置“审核系统事件”为成功和失败都审核
设置“审核帐户登录事件”为成功和失败都审核
设置“审核帐户管理”为成功和失败都审核
设置“审核特权使用”为成功和失败都审核
设置“审核过程追踪”为失败审核
设置“审核目录服务访问”为失败审核
设置“审核对象访问”为失败审核
2. 开始--管理工具--事件查看器--Windows日志--选择不同类型日志右键--属性--更设置更改为“达到事件日志最大时:日志满时将其存档,不覆盖事件”
需要更改设置的日志有:应用日志、系统日志、安全日志
7 剩余信息保护:
1. 开始--管理工具--本地安全策略--本地策略--安全选项
设置“交互式登录: 不显示最后的用户名”为启用
设置“关机: 清除虚拟内存页面文件”为启用
8 共享文件夹及访问权限:
1. 关闭默认共享:Windows的默认共享分为三类,硬盘各分区的共享(C、D等)、IPC共享、ADMIN共享,为使关闭默认共享,服务器重启后仍有效,推荐使用关闭共享服务或修改注册表方式关闭,注意:如果采用关闭共享服务的方式,可能会影响自定义的文件夹共享服务,采用此方法时,需要跟客户沟通。
l 关闭服务法:开始--管理工具--计算机管理--服务和应用程序--服务--Server,先停止服务,再将启动类型修改为禁止
l 修改注册表法**(必须重启服务器)*:
1.1 关闭硬盘各分区的共享(C、D等):打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下,新建REG_DWORD类型的AutoShareServer 键,值为 0
1.2 关闭ADMIN$共享:打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下,新建REG_DWORD类型的AutoShareWks键,值为 0
1.3 禁止IPC$空连接:打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下,新建REG_DWORD类型的RestrictAnonymous键,值为 1
2. 共享文件夹授权访问:存在共享文件夹业务的服务器,其共享文件夹的共享权限不能设置成为 Everyone。
开始--管理工具--计算机管理--共享文件夹--共享--选择共享的文件夹--将Everyone删除,并添加一个新的用户或用户组
9 数据执行保护:
控制面板--系统和安全--系统--高级系统设置--高级--性能:设置--数据执行保护--设置为“仅为基本 Windows 操作系统程序和服务启用DEP”
10 设置屏幕保护程序:
1. 控制面板--外观--显示--更改屏幕保护程序
勾选“在恢复时使用密码保护”并设置等待时间“10”分钟
11 设置远程登录空闲断开时间:
1. 开始--管理工具--本地安全策略--本地策略--安全选项
设置“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”为“15分钟”
12 其他安全选项配置:
13 关闭不必要服务:
14 安装杀毒软件:
安装主流杀毒软件,并保持病毒库最新
15 补丁最新管理:
查看更新历史:控制面板--系统和安全--Windows Update--查看更新历史
补丁更新方式:
1. 服务器可联网的情况:Windows Update更新
服务器不可联网情况:使用WSUS Offline Update工具制作离线补丁更新包,然后进行更新
16 防止Mimikatz获取Windows密码:
1. 安装Windows补丁,http://www.catalog.update.microsoft.com/Search.aspx?q=KB2871997
2. 创建注册表值,命令:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0
17 启用Windows防火墙:
1. 控制面板--系统和安全--Windows防火墙,将防火墙开启
2. 开启后根据实际情况,配置防火墙的入站规则(Windows防火墙未设置的,默认为阻止)。
2.1 控制面板--系统和安全--Windows防火墙--高级设置--入站规则,首先右侧,导出列表,对原配置进行备份。
删除所有入站规则,然后根据客户要求开放允许策略
阅读原文查看更多加固技巧~
扫码关注我们
微信号:wgpsec
Twitter:@wgpsec
分享、在看与点赞,至少我要拥有一个吧