WINDOWS主机加固、安全加固
- WINDOWS主机加固/安全加固是什么?
- 1-账户权限加固
- 2-本地安全策略加固
- 2-01-账户密码策略(设置密码复杂度要求、密码最小长度要求、密码最短使用期限、密码最长使用期限、强制密码历史、用可还原的加密来存储密码)
- 2-02-账户登录失败锁定策略(设置账户锁定时间、账户锁定阈值和重置账户锁定计数器时间)
- 2-03-本地安全审核策略(策略更改、登录事件、对象访问、进程跟踪、目录服务访问、特权使用、系统事件、账户登录事件、账户管理)
- 2-04-用户权限分配
- 2-05-安全选项- (SMB客户端安全)禁止发送未加密的密码到第三方SMB 服务器
- 2-06-安全选项- (SMB服务器安全)设置挂起会话之前所需的空闲时间为5分钟
- 2-06-安全选项- (SMB服务器安全)-登录时间过期后断开与客户端的连接
- 2-07-安全选项-关机-清除虚拟内存页面文件
- 2-08-安全选项-关机-允许系统在未登录的情况下关闭
- 2-09-安全选项-恢复控制台:禁止软盘复制并访问所有驱动器和所有文件夹
- 2-10-安全选项-恢复控制台:禁止自动管理登录
- 2-11-安全选项-交互式登录:不显示最后的用户名
- 2-12-安全选项-交互式登录:登录时需要按Ctrl+Alt+Del
- 2-13-安全选项-交互式登录:之前登录到缓存的次数属性(域控制器不可用时)
- 2-14-安全选项-交互式登录:登录告警提示
- 2-15-安全选项-交互式登录:提示用户在过期前更改密码
- 2-16-安全选项-网络访问:不允许SAM账户的匿名枚举
- 2-17-安全选项-网络访问:不允许SAM账户和共享的匿名枚举
- 2-18-安全选项-网络访问:不允许存储网络身份验证的密码和凭据
- 3-Windows日志安全
- 4-系统安全
- 5-注册表安全
- 6-禁止光盘、硬盘和U盘自动运行(自动播放)
- 7-开启数据执行保护
- 8-开启屏幕保护
前言:本人工作于某网络安全公司,从事网络安全工作。随着等保2.0的出台,网络安全越来越成为许多单位的工作重点之一。结合本人工作经验,从今天开始免费带来一系列网络安防整改消缺的技术文章,希望对于提高银行、政府单位、水利、轨道交通、电网公司、发电企业、等领域相关领域从业人员安防技术能力有一定的帮助,希望大家多多支持!
WINDOWS主机加固/安全加固是什么?
其实很好理解,通过一系列的安全配置,安全策略(这些安全策略、安全配置基于操作系统自带的安全特性实现,而不依赖额外的安全软件产品),尽可能的提升我们主机、服务器的安全能力。(本人演示使用windows 10)
1-账户权限加固
1-01-WINDOWS三权分立
说明:在Windows超级管理员Administrator基础之上,分别创建系统管理员sysadmin、安全管理员secadmin和审计管理员sysaudit,并分配不同账户不同权限。
配置方法:其中sysadmin属于Network Configuration Operators和Users组
WIN+R—>“输入compmgmt.msc”打开"计算机管理"—>“系统工具”—>“本地用户和组”—>“用户”—>空白处右键新用户
sysadmin权限分配,双击创建的sysadmin—>“隶属于”—>“添加”—>“高级”—>“立即查找”—>“搜索结果”—>找到"Network Configuration Operators"和“Users”组并选中—>确定并应用
同理方法创建“secadmin”,分配“Backup Operators”和“Power Users”组
创建“sysaudit”,分配"Event Log Readers"、"Performance Log Users"和Users组组
PS:建议任何账户分配权限时都根据账户权限等级至少属于Users组或者Power Users组,否则该账户无法本地桌面登录。
1-02-WINDOWS禁用或重命名超级管理员Administrator
说明:重命名或禁用超级管理员一般而言是指禁用Administrator用户,当我们系统已存在属于Administrstors组的系统管理员用户时,我们可以予以禁用或重命名。否则不建议禁用或重命名Administrator,如需禁用或重命名请先创建系统管理员,并将其设置属于Admnistrators组。
配置方法:WIN+R—>“输入compmgmt.msc”打开"计算机管理"—>“系统工具”—>“本地用户和组”—>“用户”—>"Administrator"右键——重命名(重命名)或点击属性—>勾选“账户已禁用”(禁用)
1-03-WINDOWS禁用Guest账户
禁用配置方法同“1-002-WINDOWS禁用超级管理员”
1-04-WINDOWS删除无用账户
说明:删除无用账户前请仔细核实该账户是否有用
配置方法:点击选中你要删除的账户—>右键—>删除即可
2-本地安全策略加固
本地安全策略中”安全选项“涉及安全策略项目较多,在安全选项部分,以下加固内容在确保基本上不影响系统稳定运行的情况下进行”安全选项“涉及策略的加固,基本能够满足等保和安全检查的要求,当然,也可以根据实际情况在不影响系统运行的情况下开启更多的安全策略。
2-01-账户密码策略(设置密码复杂度要求、密码最小长度要求、密码最短使用期限、密码最长使用期限、强制密码历史、用可还原的加密来存储密码)
说明:账户密码策略开启后,并不会实时影响当前使用账户的密码强度,也就是说如果你使用123456作为账户密码,登录时使用123456任然有效;只有当创建账户或修改账户密码时才会强制要求依据密码策略设置密码。
PS:许多时候,在安全检查或等保时,对于本地账号密码复杂度要求我们往往需要从两个部分检查,一是你本身设置或使用的密码的密码复杂度,二是本地安全策略中密码策略是否启用、参数是否合理,二者缺一不可。以往许多安全检查或等保密码策略不看实际使用的密码是什么,主要就是按照本地安全策略密码策略中的配置为检查标准,这是不合理的。
配置方法:WIN+R—>输入secpol.msc打开本地安全策略,依次设置。
设置密码必须符合复杂性要求,开启后密码必须符合下列最低要求:(不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分、至少有六个字符长、包含以下四类字符中的三类字符:、英文大写字母(A 到 Z)、英文小写字母(a 到 z)、10 个基本数字(0 到 9)、非字母字符(例如 !、$、#、%)、在更改或创建密码时执行复杂性要求。
设置密码长度最小值>=8个字符
设置密码最短使用期限为1
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。
设置密码最长使用期限为90天
天数设置为 0,指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0,则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。
强制密码历史为5
意味着新密码与旧密码不能有超过5个字符的重复
禁止使用可还原的加密来存储密码(建议禁用,默认就是禁用的)
此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证(如通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。)。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
2-02-账户登录失败锁定策略(设置账户锁定时间、账户锁定阈值和重置账户锁定计数器时间)
说明:防止账户密码暴力破解
配置方法:
设置账户锁定阈值为5(ps:当设置锁定阈值为5后,系统默认会将账户锁定时间和重置账户锁定计数器时间设置为30分钟)
修改账户锁定时间为10分钟
修改重置账户计数器时间为3分钟(此时间设置需小于等于账户锁定时间)
2-03-本地安全审核策略(策略更改、登录事件、对象访问、进程跟踪、目录服务访问、特权使用、系统事件、账户登录事件、账户管理)
说明:在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为,是安全审计方面最主要的工具之一。所以我们需要对重要事件进行审核记录,方便日后出现问题时查找问题根源。
配置方法:设置审核策略更改(成功,失败),设置审核登录事件(成功,失败),设置审核对象访问(成功,失败),设置审核进程跟踪(成功,失败),设置审核目录服务访问(失败),设置审核特权使用(失败),设置审核系统事件(成功,失败),设置审核账户登录事件(成功,失败),设置审核账户管理(成功,失败)。
示例:设置审核策略更改(成功,失败),其它相同。
2-04-用户权限分配
说明:前面我们已经设置了Windows三权分立,是通过将创建的用户划分到一个或多个系统默认创建的用户组中实现,换言之,账户所属系统默认的用户组的权限就是账户的权限,可以通过改变系统默认用户组的权限来对我们创建的账户的权限进行更进一步的用户账户权限分配。当然,这部分由个人决定是否进行更加深入的权限划分,一般而言,这里可以不做改动就能够满足等保和检查要求。
配置方法:在本地安全策略—>本地策略—>用户权限分配可进行权限的变更,至于这里的策略项,由于本人能力有限,无法为大家详细解答。请参考帮助或官方文档。
需要做的有以下项:禁止非管理员从远程系统强制关机——安全设置(Administrators)
2-05-安全选项- (SMB客户端安全)禁止发送未加密的密码到第三方SMB 服务器
说明:提高SMB客户机的安全性
配置方法
2-06-安全选项- (SMB服务器安全)设置挂起会话之前所需的空闲时间为5分钟
说明:如果SMB会话在5分钟内没有任何动作,则自动关闭会话,提高网络安全性
配置方法
2-06-安全选项- (SMB服务器安全)-登录时间过期后断开与客户端的连接
2-07-安全选项-关机-清除虚拟内存页面文件
说明:虚拟内存支持在内存页面未使用时使用系统页面文件将其交换到磁盘。在正在运行的系统上,此页面文件由操作系统以独占方式打开,并且受到很好的保护。但是,配置为允许启动到其他操作系统的系统可能要确保在此系统关闭时清除系统页面文件。这可确保可能会进入页面文件的进程内存中的敏感信息不会被设法通过直接访问页面文件的未经授权用户使用。
配置方法
2-08-安全选项-关机-允许系统在未登录的情况下关闭
说明:如果启用了此策略,Windows 登录屏幕上的“关机”命令可用。如果禁用了此策略,Windows 登录屏幕上不会显示关闭计算机的选项。在这种情况下,用户必须能够成功登录到计算机并具有关闭系统的用户权限,然后才可以执行系统关闭。
配置方法
2-09-安全选项-恢复控制台:禁止软盘复制并访问所有驱动器和所有文件夹
说明:
恢复控制台:其实简单理解跟PE系统类似,以前系统故障异常我们可以用从系统安装光盘启动来修复系统,而恢复控制台就是一个更简单的PE,从光盘启动时候可以直接进已安装系统的恢复控制台,其操作类似DOS或者Linux终端,权限是很高的。
启用此安全选项会使得恢复控制台 SET 命令可用,该命令允许你设置以下恢复控制台环境变量:
AllowWildCards: 为某些命令(如 DEL 命令)启用通配符支持。AllowAllPaths: 允许访问计算机上的所有文件和文件夹。
AllowRemovableMedia: 允许将文件复制到可移动媒体,如软盘。
NoCopyPrompt: 覆盖已有的文件时不提示。
2-10-安全选项-恢复控制台:禁止自动管理登录
说明:此安全设置确定授权访问系统之前是否必须提供 Administrator 帐户的密码。如果启用了此选项,恢复控制台不会要求你提供密码,而将自动登录系统。
配置方法
2-11-安全选项-交互式登录:不显示最后的用户名
说明:该安全设置确定是否在 Windows 登录屏幕中显示最后登录到计算机的用户的名称。如果启用该策略,则不会在登录屏幕中显示最后成功登录的用户的名称。如果禁用该策略,则会显示最后登录的用户的名称。
配置方法
2-12-安全选项-交互式登录:登录时需要按Ctrl+Alt+Del
说明:如果在计算机上启用此策略,则用户无需按 Ctrl+Alt+Del 便可登录。不必按 Ctrl+Alt+Del 会使用户易于受到企图截获用户密码的攻击。用户登录之前需按 Ctrl+Alt+Del 可确保用户输入其密码时通过信任的路径进行通信。如果禁用此策略,则任何用户登录 Windows 之前都需要按 Ctrl+Alt+Del。
配置方法
2-13-安全选项-交互式登录:之前登录到缓存的次数属性(域控制器不可用时)
说明:每个单独的用户登录信息都会缓存在本地,以便于如果在随后的登录尝试期间域控制器不可用,用户仍然可以登录。系统将存储上一次登录会话中的缓存登录信息。如果域控制器不可用,且未缓存用户的登录信息,则系统会向用户显示如下消息:目前没有可用的登录服务器,无法处理登录请求。
配置方法:设置缓存次数属性为3
2-14-安全选项-交互式登录:登录告警提示
说明:可以设置本地账户登录时的告警提示信息,类似下面这样
配置方法
2-15-安全选项-交互式登录:提示用户在过期前更改密码
2-16-安全选项-网络访问:不允许SAM账户的匿名枚举
配置方法
2-17-安全选项-网络访问:不允许SAM账户和共享的匿名枚举
说明:此安全设置确定是否允许 SAM 帐户和共享的匿名枚举。Windows 允许匿名用户执行某些活动,如枚举域帐户和网络共享的名称。这很方便,例如当管理员希望将访问权限授予不维护相互信任的受信任域中的用户时。如果不希望允许 SAM 帐户和共享的匿名枚举,请启用此策略。默认设置: 禁用。
配置方法
2-18-安全选项-网络访问:不允许存储网络身份验证的密码和凭据
说明:此安全设置确定凭据管理器是否保存通过域身份验证的密码和凭据,以备日后使用。如果启用此设置,则凭据管理器不会将密码和凭据存储在计算机上。
如果禁用或未配置此策略设置,则凭据管理器会将密码和凭据存储在计算机上,以便以后用于域身份验证。注意: 配置此安全设置时,所做的更改将在重新启动 Windows 后生效。
配置方法
3-Windows日志安全
3-01-Windows日志安全-应用程序日志大小设置为80000k
Windows日志服务服务名为Windows Event Log,请务必确保该服务正在允许
配置方法:WIN+R,输入"eventvwr.msc"打开事件查看器—>Windows日志—>“应用程序”—>右键—>“属性”进行修改
3-02-Windows日志安全-安全日志大小设置为80000k
配置方法同3-01-Windows日志安全-应用程序日志大小设置为80000k
3-03-Windows日志安全-安全日志大小设置为80000k
配置方法同3-01-Windows日志安全-应用程序日志大小设置为80000k
4-系统安全
4-01-系统安全-启用系统崩溃自动重启(设置系统失败将事件写入系统日志并自动重新启动)
说明:启用系统崩溃自动重启,防止管理员在系统崩溃后未重启系统,影响业务。
配置方法
4-02-Windows启用系统保护
说明:Windows系统保护是Windows提供的一项系统保护功能,通过开启Windows系统保护并配置Windows系统还原点可以撤销不需要的系统更改,需要注意的是进行系统还原不会影响任何文档、图片或其它个人数据,但最近安装的程序和驱动程序可能会被卸载,可以很好的帮助解决计算机允许缓慢或停止响应的问题。
配置方法
启用Windows系统保护
创建还原点
然后就可以在系统还原进行还原操作了
4-03-远程安全-禁止从本机发送远程协助邀请
配置方法:取消允许远程协助连接这台计算机,禁止从本机发送远程协助邀请
4-04-远程安全-指定账户不允许远程桌面连接到此计算机或限制允许远程桌面连接到此计算机的用户账户
说明:图片中两个选项可以二选一,根据你的选项来添加用户,这样你可以限制哪些账户能够远程桌面到此计算机,无论如何设置,Administrators(即管理组)的账户都是具备远程桌面访问权限的,禁止BackupOperators组用户从网络访问该计算机,提高网络安全性。
5-注册表安全
注册表中类型值为REG_DWORD的修改完成后一般是重新启动系统使之生效,也有不重启系统的方法,通过任务管理器,我们可以先结束explorer进程,然后WIN+R输入explorer.exe回车就可以再重新启动,这样注册表中的内容就重新加载,这样不必重启就能看到注册表修改以后的效果。
explorer.exe进程是微软为其Windows操作系统定义的的系统核心进程,它是较老的Windows 3.x文件管理器的替代品,在后来的系统中微软将其称为“文件资源管理器”。在功能上,explorer.exe进程为用户提供了图形用户界面(也称为图形壳),简单的说就是用来显示系统的桌面环境的,包括开始菜单、桌面下方的任务栏、桌面图标和文件管理。虽然我将其称为核心进程,但这个和csrss.exe等核心进程不同的是我们可以在任务管理器中选项“结束进程”来将其终止,终止之后电脑程序依然可以正常的运行,但是你就会发现桌面、任务栏等都不见了(可以通过任务管理器的“文件”→“新建任务”来重启explorer.exe进程)
5-01-注册表安全-禁止开机自动登录
说明:不允许系统启动后自动登录,必须输入用户名和密码登录系统, 自动登录会把用户名和口令以明文的形式保存在注册表中
配置方法
运行注册表编辑器regedit.exe,依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon,右侧查看AutoAdminLogon键值为0,表示加固成功。
5-02-注册表安全-启用源路由欺骗保护
说明:某些路由器在处理带路由记录选项的IP报文时,不再按照目的地址查询路由表匹配的方式处理,而是根据路由记录直接反向推送数据包,这样导致了源路由IP欺骗的可能性。用户可以伪装信任IP发送数据报文,并开启源路由记录功能,路由器根据源路由回送数据包,从而使攻击者可以解决IP欺骗报文回包接收问题。从而以信任IP站的身份和权限访问相关的受保护的资源数据,甚至进行破坏活动,进一步入侵。
配置方法:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2
5-03-注册表安全-防止IP碎片攻击
说明:IP首部有两个字节表示整个IP数据包的长度,所以IP数据包最长只能为0xFFFF,就是65535字节。如果有意发送总长度超过65535的IP碎片,有可能造成系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。所以说,漏洞的起因是出在重组算法上。
配置方法:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1
5-04-注册表安全-防止SYN Flood攻击
说明:SYN泛洪发生在OSI第四层,这种方式利用TCP协议的特性,就是三次握手。攻击者发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当服务器返回ACK后,该攻击者就不对其进行再确认,那这个TCP连接就处于挂起状态,也就是所谓的半连接状态,服务器收不到再确认的话,还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接,由于每一个都没法完成三次握手,所以在服务器上,这些TCP连接会因为挂起状态而消耗CPU和内存,最后服务器可能死机,就无法为正常用户提供服务了。
配置方法:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2
5-05-注册表安全-设置TCP半开sockets的最大数
配置方法:HKEY_LOCAL_MACHINESystem\CurrentControlSet\Services\Tcpip\Parameters\ TcpMaxHalfOpen C
5-06-注册表安全-禁止IPC$空链接
说明:IPC$可以被理解为一种“专用管道”,可以在连接双方建立一条安全的通道,实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(C$,D$,E$……)和系统目录(ADMIN$)共享。所有这些共享的目的,都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的隐患IPC$
相关参考
https://www.ngui.cc/el/3087867.html?action=onClick
配置方法:
修改注册表HKEY_LOCAL_MACHINESystem\CurrentControlSet\Control\Lsa\restrictanonymous的值为1
5-07-注册表安全-删除系统默认共享
说明:默认情况下,Windows Server 会自动创建管理员、程序和服务可用于管理计算机环境或网络的特殊隐藏管理共享。 这些特殊的共享资源在 Windows 资源管理器或“我的计算机”中不可见。可在CMD中运行net share进行查看。
配置方法:选择“开始”,然后选择“运行”。在“打开”框中,键入 regedit,然后选择“确定”。找到,然后选择以下注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
注册表子项 AutoShareServer 必须设置为类型REG_DWORD。 当此值设置为 0 (零) 时,Windows 不会自动创建默认共享。 请注意,这不适用于 IPC$ 共享、C$、ADMIN$和手动创建的共享。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServerWks
注册表子项 AutoShareWks 必须设置为类型REG_DWORD。 当此值设置为 0 (零) 。
这里注册表所做两项设置只是一项安全策略设置,并不能真正的帮助删除共享目录。
如果想要删除共享目录,还可以通过CMD命令行进行共享的删除(删除命令是net share C$ /del,添加命令是net share C$=C:,注意如果执行发生系统错误5,则用管理员权限运行CMD或POWER SHELL)或者在确定不使用共享服务(就是说你没有任何访问共享目录需要或场景的情况)也可以通过停server服务(全名LanmanServer)来删除系统默认共享(亲测有效)。
6-禁止光盘、硬盘和U盘自动运行(自动播放)
6-01-禁止光盘自动运行
说明:禁止光盘被插入后自动运行,防止光盘恶意代码在光盘被插入后立即执行。
配置方法:可以通过修改注册表和配置组策略来实现,两种方法均可,二选一或者都做都是可以的。
运行注册表编辑器regedit.exe,依次展开“计算机配置” → “管理模板” → “Windows组件” → “自动播放策略”
修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explore,右侧新建NoDriveTypeAutorun键值189,189转化为二进制就是10111101,每个1代表一种设备禁止自动播放,第六位代表光盘。
6-02-注册表安全-禁止U盘自动运行
说明:禁止U盘被插入后自动运行,防止U盘恶意代码在U盘被插入后立即执行。假如U盘被感染autorun病毒,防止双击U盘盘符后执行病毒。
配置方法:可以通过修改注册表和配置组策略来实现,两种方法均可,二选一或者都做都是可以的。
运行注册表编辑器regedit.exe,依次展开“计算机配置” → “管理模板” → “Windows组件” → “自动播放策略”
修改注册表
可以通过修改注册表和配置组策略来实现,两种方法均可,二选一或者都做都是可以的。
运行注册表编辑器regedit.exe,依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explore,右侧新建NoDriveTypeAutorun键值189,189转化为二进制就是10111101,每个1代表一种设备禁止自动播放,第三位代表U盘。
6-03-注册表安全-禁止硬盘自动运行
说明:禁止硬盘被插入后自动运行,防止硬盘恶意代码在硬盘被插入后立即执行。假如硬盘被感染autorun病毒,防止双击硬盘盘符后执行病毒。
配置方法:可以通过修改注册表和配置组策略来实现,两种方法均可,二选一或者都做都是可以的。
运行注册表编辑器regedit.exe,依次展开“计算机配置” → “管理模板” → “Windows组件” → “自动播放策略”
修改注册表
可以通过修改注册表和配置组策略来实现,两种方法均可,二选一或者都做都是可以的。
运行注册表编辑器regedit.exe,依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explore,右侧新建NoDriveTypeAutorun键值189,189转化为二进制就是10111101,每个1代表一种设备禁止自动播放,第四位代表硬盘。
7-开启数据执行保护
数据执行防护 (DEP) 是一种系统级内存保护功能,从 Windows XP 和 Windows Server 2003 开始,内置于操作系统中。 DEP 使系统能够将一个或多个内存页标记为不可执行。 将内存区域标记为不可执行意味着代码无法从该内存区域运行,这使得利用缓冲区溢出更加困难。
配置方法:在控制面版—>系统中进行设置,生效需重启系统。
8-开启屏幕保护
说明:开启屏幕保护是一项比较基础的要求,这里就不做过多的说明。最简单的做法就是桌面空白处右键个性化进行开启;其次可以在组策略中开启屏保;当然也可以在注册表中进行。手动配置建议选择第一种即可,这里只展示组策略配置,具备屏保设置参考说明自定义配置即可。
配置方法
禁用可远程访问的注册表路径和子路径
防火墙
IP安全策略
服务及端口关闭,对于高危的服务要给出不关闭的情况下,如何通过策略设置尽可能保证其服务的安全
不关机或重启使注册表生效的方法
安全审计
NTFS文件系统权限配置
安装杀毒软件
扫一扫
1486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
