Windows 基线加固/等保整改

该文详细阐述了一系列强化Windows系统安全性的操作,包括用户账户分类与管理,删除无用账户,修改默认管理员账户名并禁用来宾账户,设置严格的密码策略,限制远程关机权限,控制文件所有权,设置本地和网络登录权限,启用审核策略和日志记录,启用TCP/IP筛选,开启防火墙,设置系统空闲锁定,调整网络服务挂起时间,关闭默认共享,设置共享文件夹权限,安装系统补丁和杀毒软件,关闭无用服务及自启动项,以及关闭自动播放功能,旨在提升系统的安全性和性能。
摘要由CSDN通过智能技术生成
1 按用户类型分配账号

目的:根据系统要求,设定不同账户和组、管理员、数据库sa、审计用户、来宾用户等

1)lursmgr.msc

根据用户要求将账户加入功能组

右击账户—》属性—》更改隶属于

右击组—》功能组—》属性—》成员

2)在域环境下的话,①步骤无法运行,可以运行dsa.msc查看域成员信息

2 清理系统无用账户

目的:删除或锁定与设备运行,等工作无关的账号,提高系统账号安全性

3 重命名administrator,禁用guest

目的:减少账户被爆破可能性,提高系统访问安全性

4 设置密码策略

目的:防止弱口令出现,降低被爆破的可能性

secpol.msc—》账户策略–》密码策略

密码最短使用期限:0天
密码最长使用期限:42天--》90天
强制密码历史:1--》5
用可还原的加密来存储:禁用
5 远程关机权限设置

目的:防止远程用户非法关闭系统

secpol.msc----》本地策略—》用户权限分配—》从远程系统强制关机策略中,只保留Administrators组

6 取得文件或对象的所有权设置

目的:防止用户非法绕过NTFS权限,获取文件内容

secpol.msc—》本地策略—》用户权限分配—》取得文件或对象的所有权策略,只保留Administrators组

7 设置从本地登录此计算机

目的:防止用户非法登录主机

secpol.msc—》本地策略—》用户权限分配—》从本地登录此计算机策略,加入授权用户

8 设置从网络访问此计算机

目的:防止非法用户通过网络访问计算机资源

secpol.msc—》本地策略—》用户权限分配—》网络访问此计算机策略,加入授权用户

9 审核策略设置

目的:通过审核策略,记录系统登录事件,对象访问事件,软件安装事件,安全事件等

secpol.msc—》本地策略—》审核策略

“审核对象访问”设置为“成功”和“失败”都要审核
“审核目录服务器访问”设置为“成功”和“失败”都要审核
“审核特权使用”设置为“成功”和“失败”都要审核
“审核系统事件”设置为“成功”和“失败”都要审核
“审核账户管理”设置为“成功”和“失败”都要审核
“审核过程追踪”设置为“成功”和“失败”都要审核
10 日志记录策略设置

目的:优化系统日志记录,防止日志溢出

eventvwr.msc—》在日志属性中设置日志大小不小于10240KB,设置当达到最大日志尺寸时,按需要改写事件

11 启用TCP/IP筛选

目的:过滤掉不必要的端口,提高网络安全性

1)运维人员列出业务所需要的端口

2)打开本地连接

控制面板—》网络连接—》本地连接

3)找到高级TCP/IP设置

右击本地连接—》internet协议版本 4—》属性—》高级—》选项,在选项的属性中启用网络连接的TCP/IP筛选,是开放的业务协议端口

12 开启系统防火墙

目的:多角度封堵业务以外的端口连接

只允许业务端口接入网络

13 设置空闲超时锁定系统

目的:防止由疏忽导致的系统被非法利用

控制面板—》显示—》屏幕保护程序,设置等待时间为5分钟,启用在恢复时使用密码保护功能

14 设置网络服务挂起时间

目的:防止远程登录时由于疏忽导致的系统被非法利用(网络服务包括远程桌面、FTP等)

secpol.msc—》本地策略—》安全选项—》Microsoft 网络服务器: 暂停会话前所需的空闲时间量,设置为5分钟

15 关闭默认共享

目的:windows默认共享分区,关闭后提高信息安全性(IPC$是samba服务的默认共享区,无法关闭)

打开注册表编辑器,找到计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,调整restrictanonymous键值为1;新建两个DWORD键值,AutoShareWksAutoShareServer键值均为0。

16 设置共享文件夹权限

目的:只允许授权账户访问共享文件夹

compmgmt.msc—》共享文件夹,查看每个文件夹的共享权限并按需求更改,在共享权限中删除everyone动态组(windows中新创建的默认共享文件夹是对everyone开放的)

17 安全系统补丁

目的:修复系统漏洞,安装最新的service pack补丁集

1)部署WSUS服务器

2)从Microsoft Update下载补丁

3)在测试机上安装补丁后测试业务运行情况

4)使用WSUS服务器内网分发补丁

18 安装和更新杀毒软件

目的:提高系统防御力,保护关键信息不被破坏

1)在服务器上安装最新企业防病毒软件的服务端

2)使用C/S结构部署企业版防病毒软件

3)指定统一安全查杀规则

19 关闭无用服务

目的:关闭不必要服务,提高系统性能和安全性

srevices.msc—》右击无用服务—》启动类型(禁用),运行状态(停止)

20 关闭无用自启动项

目的:减少开机自启动服务和软件,提高性能和安全性

msconfig—》在启动选项卡中去掉多余的启动项

21 关闭windows自动播放功能

目的:防止从移动存储设备感染自运行病毒

gpedit.msc—》计算机配置—》管理模板—》windows组件—》自动播放策略—》关闭自动播放,设置为“已禁用”

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Merrill He

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值