物理环境
防水
硬件
芯片的好坏
安全的网络边界
上面三个为 等保2.0
软件
这里从单一的操作系统加固
用户与用户组
用户权限最小化就,用户账户最优化
sid
"用户"是计算机的使用者在计算机系统中的身份映射,不同身份拥有不同权限
查看SID
wmic useraccount where name='%username%" get sid
whoami/user
sid的结构
修订级别(1)
标识符颁发机构值(5)NT颁发机构
域标识符(21)
用户组
administrator---超级管理
users------------普通用户组
networkservice--网络用户组(www-date)【不可用作登录】
local service 本地服务
local system 本地系统
相对标识符(1001) 如果是544超级管理员
常见的sid
S-1-5-18(Localsystem)
S-1-5-19(localService)
S-1-5-20(NetworkService)
S-1-5-32-545(Users)
S-1-5-32-544(Administrator 超级管理员)
创建用户
常规方法
图像化界面
开启administrators超级管理
要装操作系统 使用 Ultralso装的时候会默认将管理员权限进行禁用。
系统命令
查看用户
net user
创建用户
net user 用户名 密码 /add
权限不够
以管理员身份运行 cmd system32
隐藏化建设
用户名后面加上$会先在命令行使用 net user找不到
普通隐藏用户(命令行中不显示,本地用户本地组和控制面板显示)
net user 用户名$ 密码 /add
修改用户密码
net user 用户 新密码
让用户不可更改密码
net user test$ 123456 /passwordchg:no
禁用账户
net user 用户名 /active:no
删除用户
net user 用户名 /del
克隆账户
1.进入注册表 regedit
2.进入HKEY_LOCAL_MACHINE->SAM->SAM->Domains->Account->Users
3.进不去点击上面编辑 修改administractor的权限为全部控制
4.使得创建的用户$有管理员权限,F文件是权限文件
5.首先将两个用户权限的文件导出,再将用户名$删除,刷新,双击导出的注册表文件,使得原来的东西不存在但是账户存在
6.复制权限,将管理员的F文件里面的内容进行复制,复制到隐藏的用户名的F 中。
用户组
常见用户组
管理用户组:administrators
来宾用户组:guests
普通用户组:users
所有用户组:everyone
远程桌面访问组:remote desktop users
查看用户组
net localgroup
添加:将test$用户组放到远程访问用户组Remote Desktop Users
net localgroup "Remote Desktop Users"用户名 test$ /add
删除本地组
net localgroup 组名 /del
将用户从本地组删除
net localgroup 组名 用户名 /del
权限
system->administrator->user->(iss服务权限)服务权限--------使用网站服务进行传输
加固
核心
用户最优化,权限最小化,密码强度最高
内容
与账户相关,账号,密码,权限,登录
账户
删除无效账户,失效的用户
人走了账户还在
长时间未使用
误操作账户
不明账户
访客账户guest 删除访客账户,关闭访客{关闭的方法【本地用户和组 禁用】,修改注册表}网络层面的ACL
按照用户需求创建面板【根据用户分组】【根据服务分组】---用户组权限分配方法
加固
首先查看账户,控制面板 net user 计算机管理--本地用户和组 注册表
长时间未使用怎么看上次登陆时间
net user
补充
1.通过控制面板
控制面板-用户账户-用户账户管理-高级选项卡,可以看到每个用户的上次登录时间。
2.quser 用户名
3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI,可以看出上次登录时间的日志
密码
设置密码策略——>管理工具——>本地安全策略——>账户策略——>密码策略【密码复杂性】
内容 设置密码复杂度
不能由用户的帐户名,不能包含用户的个人信息,至少包含英文,大小写额,数字,特殊字符,密码长度,默认不小于6位
以下面的要求为准
密码最短使用期限 不允许频繁修改密码 设置5 5天不许修改
密码最长使用期限 允许使用时间 设置5 5天之内必须改(一般是3个月)
强制密码历史 不能使用重复密码
堡垒机
系统密码管理
运维人员权限分配
权限
方法:控制面板>管理工具>本地安全策略>用户权限分配>从远程系统强制关机
内容:能执行>从远程系统强制关机>一定不可以是admin 这种经常使用的
放置服务器远程被关闭
开放日志审核策略
限制远程桌面的用户
限制批处理命令
登录
方法
账户锁定时间 等待时间0是永久直到管理员解锁
账户锁定阈值 错误几次就会锁定
重置账户锁定计数器 上面的阈值差一次就锁定了但是没有继续输入而是等到下一次重置。
文件系统与磁盘管理
文件权限最小化,磁盘需要阵列
文件系统
分类
FAT | 不会主动整理磁盘碎片 |
FAT32 | 文件删除后不会整理文件的空间是数据分散储存(产生了磁盘碎片) |
NTFS | 安全性高 |
exFAT | 闪存 |
-
位(Bit):是最基本的存储单位,表示一个二进制数字(0或1)。
-
字节(Byte):由8个位组成,是计算机中常用的最小存储单元。
-
千字节(KB):1 KB = 1024 字节。
-
兆字节(MB):1 MB = 1024 KB。
-
吉字节(GB):1 GB = 1024 MB。
-
太字节(TB):1 TB = 1024 GB。
-
拍字节(PB):1 PB = 1024 TB。
-
艾字节(EB):1 EB = 1024 PB。
换算时,可以使用以下公式:
1 KB = 1024 字节
1 MB = 1024 KB
1 GB = 1024 MB
1 TB = 1024 GB
1 PB = 1024 TB
1 EB = 1024 PB
NTFS
功能
权限划分
磁盘配额
卷影副本(与快照一样)
UAC
NTFS权限的法则。
权限的累计,将组的权限与用户个人的权限叠加
文件权限高于文件夹的权限
拒绝权限高于其他权限
跨区域卷:不可优化读写,只是简单的扩展,无安全性
带区卷:至少两块盘且大小一样,优化读写效率但无安全性,其中一个盘出问题,另一个也有问题。利用率是100%
镜像卷:相当于备份,不可优化读写,安全性提高,利用率50%,其中一个盘出问题,另一个还可以用。
RAID5:利用率(n-1)/n,由3个盘存储,前面两个进行存储,后面的进行校验。将两个盘的异或结果放到第三个盘里面,这三个无论哪一个坏了都容易恢复。既兼顾了安全性又提高了文件的读取效率
硬盘的主分区与逻辑分区
基本磁盘:最多可以建立三个主分区,后面是逻辑分区
动态磁盘
加固
文件系统
文件系统选择NTFS
按需创建文件夹
根据用户与用户组分配文件夹使用权
按需下发磁盘的使用空间(磁盘配额)
文件压缩
碎片整理
卷影副本
数据加密
文件备份
磁盘
用阵列
操作系统内核
常打补丁
服务与进程
服务最少化,进程要时刻监控
访问控制
端口要按需开放