1 按用户类型分配账号
目的:根据系统要求,设定不同账户和组、管理员、数据库sa、审计用户、来宾用户等
1)lursmgr.msc
根据用户要求将账户加入功能组
右击账户—》属性—》更改隶属于
右击组—》功能组—》属性—》成员
2)在域环境下的话,①步骤无法运行,可以运行dsa.msc查看域成员信息
2 清理系统无用账户
目的:删除或锁定与设备运行,等工作无关的账号,提高系统账号安全性
3 重命名administrator,禁用guest
目的:减少账户被爆破可能性,提高系统访问安全性
4 设置密码策略
目的:防止弱口令出现,降低被爆破的可能性
secpol.msc—》账户策略–》密码策略
密码最短使用期限:0天
密码最长使用期限:42天--》90天
强制密码历史:1--》5
用可还原的加密来存储:禁用
5 远程关机权限设置
目的:防止远程用户非法关闭系统
secpol.msc----》本地策略—》用户权限分配—》从远程系统强制关机策略中,只保留Administrators组
6 取得文件或对象的所有权设置
目的:防止用户非法绕过NTFS权限,获取文件内容
secpol.msc—》本地策略—》用户权限分配—》取得文件或对象的所有权策略,只保留Administrators组
7 设置从本地登录此计算机
目的:防止用户非法登录主机
secpol.msc—》本地策略—》用户权限分配—》从本地登录此计算机策略,加入授权用户
8 设置从网络访问此计算机
目的:防止非法用户通过网络访问计算机资源
secpol.msc—》本地策略—》用户权限分配—》网络访问此计算机策略,加入授权用户
9 审核策略设置
目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等
secpol.msc—》本地策略—》审核策略
“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“成功”和“失败”都要审核
10 日志记录策略设置
目的:优化系统日志记录,防止日志溢出
eventvwr.msc—》在日志属性中设置日志大小不小于10240KB,设置当达到最大日志尺寸时,按需要改写事件
11 启用TCP/IP筛选
目的:过滤掉不必要的端口,提高网络安全性
1)运维人员列出业务所需要的端口
2)打开本地连接
控制面板—》网络连接—》本地连接
3)找到高级TCP/IP设置
右击本地连接—》internet协议版本 4—》属性—》高级—》选项,在选项的属性中启用网络连接的TCP/IP筛选,是开放的业务协议端口
12 开启系统防火墙
目的:多角度封堵业务以外的端口连接
只允许业务端口接入网络
13 设置空闲超时锁定系统
目的:防止由疏忽导致的系统被非法利用
控制面板—》显示—》屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能
14 设置网络服务挂起时间
目的:防止远程登录时由于疏忽导致的系统被非法利用(网络服务包括远程桌面、FTP等)
secpol.msc—》本地策略—》安全选项—》Microsoft 网络服务器: 暂停会话前所需的空闲时间量,设置为5分钟
15 关闭默认共享
目的:windows默认共享分区,关闭后提高信息安全性(IPC$是samba服务的默认共享区,无法关闭)
打开注册表编辑器,找到计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
,调整restrictanonymous
键值为1;新建两个DWORD键值,AutoShareWks
和AutoShareServer
键值均为0。
16 设置共享文件夹权限
目的:只允许授权账户访问共享文件夹
compmgmt.msc—》共享文件夹,查看每个文件夹的共享权限并按需求更改,在共享权限中删除everyone动态组(windows中新创建的默认共享文件夹是对everyone开放的)
17 安全系统补丁
目的:修复系统漏洞,安装最新的service pack补丁集
1)部署WSUS服务器
2)从Microsoft Update下载补丁
3)在测试机上安装补丁后测试业务运行情况
4)使用WSUS服务器内网分发补丁
18 安装和更新杀毒软件
目的:提高系统防御力,保护关键信息不被破坏
1)在服务器上安装最新企业防病毒软件的服务端
2)使用C/S结构部署企业版防病毒软件
3)指定统一安全查杀规则
19 关闭无用服务
目的:关闭不必要服务,提高系统性能和安全性
srevices.msc—》右击无用服务—》启动类型(禁用),运行状态(停止)
20 关闭无用自启动项
目的:减少开机自启动服务和软件,提高性能和安全性
msconfig—》在启动选项卡中去掉多余的启动项
21 关闭windows自动播放功能
目的:防止从移动存储设备感染自运行病毒
gpedit.msc—》计算机配置—》管理模板—》windows组件—》自动播放策略—》关闭自动播放,设置为“已禁用”