windows系统加固整体思路

物理环境

防水

硬件

芯片的好坏

安全的网络边界

上面三个为 等保2.0

软件

这里从单一的操作系统加固

用户与用户组

用户权限最小化就，用户账户最优化

sid 

"用户"是计算机的使用者在计算机系统中的身份映射，不同身份拥有不同权限

查看SID

wmic useraccount where name='%username%" get sid

whoami/user

 

sid的结构

修订级别（1）

标识符颁发机构值（5）NT颁发机构

域标识符（21） 

       用户组

             administrator---超级管理

              users------------普通用户组

              networkservice--网络用户组（www-date）【不可用作登录】

                      local service 本地服务

                      local system 本地系统

相对标识符（1001）  如果是544超级管理员

常见的sid 

S-1-5-18(Localsystem)

S-1-5-19(localService)

S-1-5-20(NetworkService)

S-1-5-32-545(Users)

S-1-5-32-544(Administrator 超级管理员)

创建用户

常规方法

图像化界面

 开启administrators超级管理

 要装操作系统 使用 Ultralso装的时候会默认将管理员权限进行禁用。

系统命令

查看用户

net user

创建用户

net user 用户名  密码 /add

权限不够

以管理员身份运行   cmd  system32

隐藏化建设

用户名后面加上$会先在命令行使用 net user找不到

普通隐藏用户(命令行中不显示，本地用户本地组和控制面板显示)

net user   用户名$   密码   /add

修改用户密码

net user 用户  新密码

让用户不可更改密码

net user test$  123456 /passwordchg:no 

禁用账户

net user   用户名  /active：no

 删除用户

net user 用户名  /del

克隆账户

1.进入注册表   regedit

2.进入HKEY_LOCAL_MACHINE->SAM->SAM->Domains->Account->Users

3.进不去点击上面编辑 修改administractor的权限为全部控制

4.使得创建的用户$有管理员权限，F文件是权限文件

5.首先将两个用户权限的文件导出，再将用户名$删除，刷新，双击导出的注册表文件，使得原来的东西不存在但是账户存在

6.复制权限，将管理员的F文件里面的内容进行复制，复制到隐藏的用户名的F 中。 

用户组

常见用户组

管理用户组：administrators

来宾用户组：guests

普通用户组：users

所有用户组：everyone

远程桌面访问组：remote desktop users

查看用户组

net localgroup 

添加：将test$用户组放到远程访问用户组Remote Desktop Users

 net localgroup   "Remote Desktop Users"用户名 test$  /add

删除本地组

net localgroup 组名   /del

将用户从本地组删除

net localgroup 组名   用户名    /del 

权限

 system->administrator->user->(iss服务权限)服务权限--------使用网站服务进行传输

加固

核心

用户最优化，权限最小化，密码强度最高

内容

与账户相关，账号，密码，权限，登录

账户

删除无效账户，失效的用户

人走了账户还在

长时间未使用

误操作账户

不明账户

访客账户guest  删除访客账户，关闭访客{关闭的方法【本地用户和组 禁用】，修改注册表}网络层面的ACL

按照用户需求创建面板【根据用户分组】【根据服务分组】---用户组权限分配方法 

 加固

首先查看账户，控制面板 net user 计算机管理--本地用户和组  注册表

长时间未使用怎么看上次登陆时间

net user 

补充

1.通过控制面板

控制面板-用户账户-用户账户管理-高级选项卡，可以看到每个用户的上次登录时间。

2.quser 用户名

3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI,可以看出上次登录时间的日志

 密码

设置密码策略——>管理工具——>本地安全策略——>账户策略——>密码策略【密码复杂性】

内容 设置密码复杂度

不能由用户的帐户名，不能包含用户的个人信息，至少包含英文，大小写额，数字，特殊字符，密码长度，默认不小于6位

以下面的要求为准

密码最短使用期限 不允许频繁修改密码  设置5 5天不许修改

密码最长使用期限   允许使用时间   设置5   5天之内必须改（一般是3个月）

强制密码历史   不能使用重复密码

堡垒机

系统密码管理

运维人员权限分配

权限

方法：控制面板>管理工具>本地安全策略>用户权限分配>从远程系统强制关机

内容：能执行>从远程系统强制关机>一定不可以是admin 这种经常使用的

放置服务器远程被关闭

开放日志审核策略

限制远程桌面的用户

限制批处理命令

登录

方法

账户锁定时间  等待时间0是永久直到管理员解锁

账户锁定阈值 错误几次就会锁定

重置账户锁定计数器 上面的阈值差一次就锁定了但是没有继续输入而是等到下一次重置。

文件系统与磁盘管理

文件权限最小化，磁盘需要阵列

文件系统

分类

FAT	不会主动整理磁盘碎片
FAT32	文件删除后不会整理文件的空间是数据分散储存（产生了磁盘碎片）
NTFS	安全性高
exFAT	闪存

 

1. 位（Bit）：是最基本的存储单位，表示一个二进制数字（0或1）。

2. 字节（Byte）：由8个位组成，是计算机中常用的最小存储单元。

3. 千字节（KB）：1 KB = 1024 字节。

4. 兆字节（MB）：1 MB = 1024 KB。

5. 吉字节（GB）：1 GB = 1024 MB。

6. 太字节（TB）：1 TB = 1024 GB。

7. 拍字节（PB）：1 PB = 1024 TB。

8. 艾字节（EB）：1 EB = 1024 PB。

换算时，可以使用以下公式：

1 KB = 1024 字节
1 MB = 1024 KB
1 GB = 1024 MB
1 TB = 1024 GB
1 PB = 1024 TB
1 EB = 1024 PB

NTFS

功能

权限划分

磁盘配额

 

卷影副本（与快照一样）

 UAC

NTFS权限的法则。

权限的累计，将组的权限与用户个人的权限叠加

文件权限高于文件夹的权限

拒绝权限高于其他权限

 跨区域卷：不可优化读写，只是简单的扩展，无安全性

带区卷：至少两块盘且大小一样，优化读写效率但无安全性，其中一个盘出问题，另一个也有问题。利用率是100%

镜像卷：相当于备份，不可优化读写，安全性提高，利用率50%，其中一个盘出问题，另一个还可以用。

RAID5：利用率（n-1）/n,由3个盘存储，前面两个进行存储，后面的进行校验。将两个盘的异或结果放到第三个盘里面，这三个无论哪一个坏了都容易恢复。既兼顾了安全性又提高了文件的读取效率

硬盘的主分区与逻辑分区

基本磁盘：最多可以建立三个主分区，后面是逻辑分区

动态磁盘 

加固

文件系统

文件系统选择NTFS

按需创建文件夹

根据用户与用户组分配文件夹使用权

按需下发磁盘的使用空间（磁盘配额）

文件压缩

碎片整理

卷影副本

数据加密

文件备份

磁盘

用阵列

操作系统内核

常打补丁

服务与进程

服务最少化，进程要时刻监控

访问控制

端口要按需开放