更新于 

安全加固(Windows 加固)

账号管理与认证授权

按用户类型分配账号
  • 目的:根据系统要求,设定不同账户管理员数据库sa审计用户来宾用户
  • 实施方法:
    • 打开本地用户计算机管理器
    • 打开运行,输入lusrmgr.msc
    • 根据用户要求将账户加入功能组
    • 右击账户属性一更改隶属于
    • 右击功能组一属性成员
清理系统无用账户
  • 目的:删除锁定与设备运行维护等工作无关的账号,提高账户安全性
  • 实施方法:
    • 打开本地用户计算机管理器
    • 打开运行,输入Iusrmgr.msc
    • 删除或者锁定无关账号(删除操作不可逆
    • 右击账户删除
    • 右击账户属性账户禁用
重命名administrator,禁用quest
  • 目的:减少账户被爆破可能性,提高系统访问安全性
  • 实施方法:
    • 打开本地用户计算机管理器
      • 打开运行,输入lusrmgr.msc
    • 为管理员administrator账户改名
      • 右击administrator-重命名一属性一全名
    • 禁用来宾guest
      • 右击guest-属性一>账户己禁用
设置密码策略
  • 目的:防止弱口令出现,降低被爆破的可能性
  • 实施方法:
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到密码策略
      • 账户策略一密码策略
    • 修改默认值
      • 密码必须符合复杂性要求:禁用一启用
      • 密码长度最小值:0-8
    • 密码最短使用期限:0天
    • 密码最长使用期限:42天一>90天
    • 强制密码历史:1-5
    • 用可还原的加密来存储:禁用
配置账户锁定策略
  • 目的:有效降低administrator意外的账户被爆破的几率
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到密码策略
      • 账户策略二账户锁定策略
      • 账户锁定时间未定义一30分钟
      • 账户锁定國值0一6
      • 复位账户锁定计数器未定义一30分钟
不显示最后的用户名
  • 目的:防止被线下获取登录账户名称
  • 实施方法:
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户杈限分配
      • 本地策略一安全选项
      • 交互式登录:不显示最后的用户名。改为启用
远程关机权限设置
  • 目的:防止远程用户非法关闭系统
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户权限分配
      • 本地策略用户权限分配
      • 远端系统强制关机策略中,只保留administrators
本地关闭系统设置
  • 目的:防止管理员以外账号非法关机
  • 实施方法:
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户权限分配
      • 本地策略用户权限分配
      • 关闭系统策略中,只保留administrators
取得文件或对象的所有权设置
  • 目的:防止用户非法绕过NTFS权限,获取文件内容
  • 实施方法:
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户权限分配
      • 本地策略一用户权限分配
      • 取得文件或对象的所有权策略,只保留administrators
设置从本地登录此计算机
  • 目的:防止用户非法登录主机
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户权限分配
      • 本地策略一用户权限分配
      • 本地登录计算机策略,加入授权用户
设置从网络访问此计算机
  • 目的:防止非法用户通过网络访问计算机资源
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到用户权限分配
      • 本地策略一>用户权限分配
      • 网络访问此计算机策略,加入授权用户

日志配置

审核策略设置
  • 目的:通过审核策略纪录系统登录事件对象访问事件,软件安装事件,安全事件等
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 找到审核策略
      • 本地策略一审核策略
    • 修改审核策略
      • 审核策略更改”设置为“成功”和“失败”都要审核
  • “审核对象访问”设置为“成功’和“失败”都要审核
  • “审核目录服务器访问”设置为“成功”和“失败”都要审核
  • ”审核特权使用”设置为“成功”和"失败’都要审核
  • “审核系统事件”,设置为“成功”和“失败”都要审核
  • 《审核账户管理”设置为“成功”和"失败”都要审核
  • 审核过程追踪设置为“成功”和“失败"都要审核
日志记录策略设置
  • 目的:优化系统日志记录,防止日志溢出
  • 实施方法
    • 进入事件查看器
    • 打开运行>eventvwr.msc
    • 日志属性中设置日志大小不小于19240KB,设置当达到最大日志尺寸时,按需要改写事件
    • 1、1

IP协议安全

拒绝ICMP协议

点击 入站规则 一一找到 文件和打印机共享(回显请求-ICMPV4-1n)
启用此规则即是开启ping,禁用此规则(P将禁止其他客户端ping通,但不影响TCPUDP连接
image.png

image.png

禁止IE增强安全配置

windows Server 2008R2开启了IE增强安全配置,用户每次打开网站总会显示IE增强安全配置弹框,为了方便用户使用体验,禁止iE增强安全配置
image.png

启用TCP/IP筛选
  • 目的:过滤掉不必要的端口,提高网络安全性
  • 实施方法
    • 运维人员列出业务所需端口
    • 打开本地连接
      • 控制面板一>网络连接一>本地连接
    • 找到高级TCP/IP设置
      • 右击本地连接->internet协议属性一高级TCP/IP设置
      • 选项属性中启用网络连接TCP/IP筛选,是开放业务协议端口
开启系统防火墙
  • 目的:多角度封堵业务以外的端口连接
  • 实施方法
    • 运维人员列出业务所需端口
    • 打开本地连接中的防火墙
      • 控制面板一>网络连接一>本地连接
      • 高级诜项中设置启用windows防火墙
    • 设置例外
      • 只允许业务端口接入网络
设置空闲超时锁定系统
  • 目的:防止由疏忽导致的系统被非法使用
  • 实施方法
    • 进入控制面板显示屏幕保护程序
    • 启用屏幕保护程序,设置等待时间为5分钟启用恢复时使
      密码保护功能。
设置网路服务挂起时间
  • 目的:防止远程登时由于疏忽导致的系统被非法使用
  • 实施方法
    • 打开本地安全策略
      • 打开运行,输入secpol.msc
    • 打开安全选项
      • 本地策略一>安全选项
      • microsoft”网络服务器,设置“在挂起会话之前所需空闲时间为"5分钟
关闭默认共享
  • 目的:windows默认共享分区,关闭后提高信息安全性
  • 实施方法
    • 打开注册表编辑器编辑新建键值
      • 打开运行regedit .msc
    • 展开L5a目录
      • HKEYLOCALMACHINE\SYSTEM\CurrentControlSetControl\Lsa
      • 调整restrictanonymous键值为1
      • 建两个DWORO值分别命名为AutoSharewksAutoShareserver
设置共享文件夹权限
  • 目的:只允许授权账户访问共享文件夹
  • 实施方法
    • 进入系统工具
    • 控制面板一>管理工具一>计算机管理
    • 进入系统工具一>共享文件夹
    • 查看每个文件夹的共享权限并按需求更改
    • 共享权限删除everyone动态组
禁止IE增强安全配置
  • 目的:方便使用,杜绝安全第三方浏览器
  • 实施方法
    • 打开服务器管理器
    • 服务器管理器选项卡
      • 安全信息一>配置IE ESC
      • 可在管理员配置禁用该设置,提升使用体验
      • 使用结束后重新改启用
正确配置源路由攻击保护

打开命令提示符,运行命令“regedit”打开注册表编辑器,到达parameters文件下新建类型为
DWORD名称为DisablelPSourceRouting

image.png
image.png

正确配置源路由攻击保护

编辑DisablelPSourceRouting数值数据,此数据的有效值为0-2,其中0表示转发所有数据
包,1表示不转发源路由的数据包2表示丢弃所有传入源路由的数据包

image.png

禁用ICMP重定向

打开命令提示符,运行命令“regedit”打开注册表编辑器,到达parameters文件下新建类型为
DWORD名称为EnablelCMPRedirect,编辑数值数据O阻止主机路由创建接收ICMP 重定向数据包image.png

启用SYN攻击保护

打开命令提示符,运行命令regedit”打开注册表编辑器,到达parameters文件下新建类型为DWORD名称为SynAttackProtect,编辑数值数据1限制TCP半连接数量以及半连接的时间

image.png
image.png

禁用TCP/1P上的NetBIos

通过禁用TCP/IP上的NetBIOS协议,可关闭监听的137、138、139端口。
禁用NetBIOS:
打开CMD输入ncpa.cpl

image.png
image.png

禁用TCP/IP上的NetBIOS

image.png
image.png

漏洞管理

安全系统补丁
  • 目的:修复系统漏洞,安装最新的service pack补丁集
  • 实施方法
    • 部署WSUS服务器
    • Microsoft Update下载补丁
    • 测试机上安装补丁后测试业务运行情况
    • 使用WSUS服务器内网分发补丁
安装和更新杀毒软件
  • 目的:提高系统防御力,保护关键信息不被破坏
  • 实施方法
    • 在服务器上安装``最新版企业防病毒软件服务端
    • 使用C/S结构部署企业版防病毒软件
    • 制定统一安全查杀规则

Windows服务

关闭无用服务
  • 目的:关闭不必要的服务,提高系统性能安全性
    - 实施方法
    • 打开服务管理器
      • 打开运行-services.msc
    • 关闭禁用服务
      • 右击无关服务属性一>启动类型(禁用)一>运行状态停止
      • 系统必须服务见附表
关闭无用自启动项
  • 目的:减少开机自启动服务软件,提高性能安全性
  • 实施方法
    • 打开微软控制台
    • 打开运行-msconfig
    • 启动选项卡去掉多余启动项V
关闭windows自动播放功能
  • 目的:防止从移动存储设备感染自运行病毒
  • 实施方法
    • 打开组策略编辑器
      • 打开运行-gpedit.msc
    • 找到策略所在
      • 计算机配置->管理模板->系统->设置
      • 关闭自动播放一已启用
快来参与讨论吧