1. 賬戶管理和認證授權

1.1 賬戶

默認賬戶安全

• 禁用Guest賬戶。
• 禁用或刪除其他無用賬戶（建議先禁用賬戶三個月，待確認沒有問題后刪除。）

操作步驟

打開?控制面板?>?管理工具?>?計算機管理，在?系統工具?>?本地用戶和組?>?用戶?中，雙擊?Guest?帳戶，在屬性中選中?帳戶已禁用，單擊?確定。

按照用戶分配帳戶

按照用戶分配帳戶。根據業務要求，設定不同的用戶和用戶組。例如，管理員用戶，數據庫用戶，審計用戶，來賓用戶等。

操作步驟

打開?控制面板?>?管理工具?>?計算機管理，在?系統工具?>?本地用戶和組?中，根據您的業務要求設定不同的用戶和用戶組，包括管理員用戶、數據庫用戶、審計用戶、來賓用戶等。

定期檢查并刪除與無關帳戶

定期刪除或鎖定與設備運行、維護等與工作無關的帳戶。

操作步驟

打開?控制面板?>?管理工具?>?計算機管理，在?系統工具?>?本地用戶和組?中，刪除或鎖定與設備運行、維護等與工作無關的帳戶。

不顯示最后的用戶名

配置登錄登出后，不顯示用戶名稱。

操作步驟：

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?安全選項?中，雙擊?交互式登錄:不顯示最后的用戶名，選擇?已啟用?并單擊?確定。

1.2 口令

密碼復雜度

密碼復雜度要求必須滿足以下策略：

• 最短密碼長度要求八個字符。
• 啟用本機組策略中密碼必須符合復雜性要求的策略。
  即密碼至少包含以下四種類別的字符中的兩種：
  • 英語大寫字母 A, B, C, … Z
  • 英語小寫字母 a, b, c, … z
  • 西方阿拉伯數字 0, 1, 2, … 9
  • 非字母數字字符，如標點符號，@, #, $, %, &, *等

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?帳戶策略?>?密碼策略?中，確認?密碼必須符合復雜性要求?策略已啟用。

密碼最長留存期

對于采用靜態口令認證技術的設備，帳戶口令的留存期不應長于90天。

操作步驟打開?控制面板?>?管理工具?>?本地安全策略，在?帳戶策略?>?密碼策略?中，配置?密碼最長使用期限?不大于90天。

帳戶鎖定策略

對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過10次后，鎖定該用戶使用的帳戶。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?帳戶策略?>?帳戶鎖定策略?中，配置?帳戶鎖定閾值?不大于10次。

配置樣例：

1.3 授權

遠程關機

在本地安全設置中，從遠端系統強制關機權限只分配給Administrators組。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?用戶權限分配?中，配置?從遠端系統強制關機?權限只分配給Administrators組。

本地關機

在本地安全設置中關閉系統權限只分配給Administrators組。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?用戶權限分配?中，配置?關閉系統?權限只分配給Administrators組。

用戶權限指派

在本地安全設置中，取得文件或其它對象的所有權權限只分配給Administrators組。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?用戶權限分配?中，配置?取得文件或其它對象的所有權?權限只分配給Administrators組。

授權帳戶登陸

在本地安全設置中，配置指定授權用戶允許本地登陸此計算機。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?用戶權限分配?中，配置?允許本地登錄?權限給指定授權用戶。

授權帳戶從網絡訪問

在本地安全設置中，只允許授權帳號從網絡訪問（包括網絡共享等，但不包括終端服務）此計算機。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?用戶權限分配?中，配置?從網絡訪問此計算機?權限給指定授權用戶。

2. 日志配置操作

2.1 日志配置

審核登錄

設備應配置日志功能，對用戶登錄進行記錄。記錄內容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核登錄事件。

審核策略

啟用本地安全策略中對Windows系統的審核策略更改，成功和失敗操作都需要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核策略更改。

審核對象訪問

啟用本地安全策略中對Windows系統的審核對象訪問，成功和失敗操作都需要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核對象訪問。

審核事件目錄服務訪問

啟用本地安全策略中對Windows系統的審核目錄服務訪問，僅需要審核失敗操作。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核目錄服務器訪問。

審核特權使用

啟用本地安全策略中對Windows系統的審核特權使用，成功和失敗操作都需要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核特權使用。

審核系統事件

啟用本地安全策略中對Windows系統的審核系統事件，成功和失敗操作都需要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核系統事件。

審核帳戶管理

啟用本地安全策略中對Windows系統的審核帳戶管理，成功和失敗操作都要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核帳戶管理。

審核過程追蹤

啟用本地安全策略中對Windows系統的審核進程追蹤，僅失敗操作需要審核。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?審核策略?中，設置?審核進程追蹤。

日志文件大小

設置應用日志文件大小至少為 8192 KB，可根據磁盤空間配置日志文件大小，記錄的日志越多越好。并設置當達到最大的日志尺寸時，按需要輪詢記錄日志。

操作步驟

打開?控制面板?>?管理工具?>?事件查看器，配置 應用日志、系統日志、安全日志 屬性中的日志大小，以及設置當達到最大的日志尺寸時的相應策略。

3. IP協議安全配置

3.1 IP協議安全

啟用SYN攻擊保護

啟用SYN攻擊保護。

• 指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5。
• 指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500。
• 指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。

操作步驟

打開?注冊表編輯器，根據推薦值修改注冊表鍵值。

Windows Server 2012

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
  推薦值：2
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
  推薦值：500

Windows Server 2008

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect
  推薦值：2
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted
  推薦值：5
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen
  推薦值：500
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried
  推薦值：400

4. 文件權限

4.1 共享文件夾及訪問權限

關閉默認共享

非域環境中，關閉Windows硬盤默認共享，例如C$，D$。

操作步驟

打開?注冊表編輯器，根據推薦值修改注冊表鍵值。

注意： Windows Server 2012版本已默認關閉Windows硬盤默認共享，且沒有該注冊表鍵值。

• HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
  推薦值： 0

共享文件夾授權訪問

每個共享文件夾的共享權限，只允許授權的帳戶擁有共享此文件夾的權限。

操作步驟

每個共享文件夾的共享權限僅限于業務需要，不要設置成為?Everyone。打開?控制面板?>?管理工具?>?計算機管理，在?共享文件夾?中，查看每個共享文件夾的共享權限。

5. 服務安全

5.1 禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS協議，可以關閉監聽的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。

操作步驟

在?計算機管理?>?服務和應用程序?>?服務?中禁用?TCP/IP NetBIOS Helper?服務。

在網絡連接屬性中，雙擊?Internet協議版本4（TCP/IPv4），單擊?高級。在?WINS?頁簽中，進行如下設置：

禁用不必要的服務

禁用不必要的服務，請參考：

6.安全選項

6.1 啟用安全選項

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?安全選項?中，進行如下設置：

6.2 禁用未登錄前關機

服務器默認是禁止在未登錄系統前關機的。如果啟用此設置，服務器安全性將會大大降低，給遠程連接的黑客造成可乘之機，強烈建議禁用未登錄前關機功能。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?安全選項?中，禁用?關機: 允許系統在未登錄前關機?策略。

7. 其他安全配置

7.1 防病毒管理

Windows系統需要安裝防病毒軟件。

操作步驟

安裝企業級防病毒軟件，并開啟病毒庫更新及實時防御功能。

7.2 設置屏幕保護密碼和開啟時間

設置從屏幕保護恢復時需要輸入密碼，并將屏幕保護自動開啟時間設定為五分鐘。

操作步驟

啟用屏幕保護程序，設置等待時間為?5分鐘，并啟用?在恢復時使用密碼保護。

7.3 限制遠程登陸空閑斷開時間

對于遠程登陸的帳號，設置不活動超過時間15分鐘自動斷開連接。

操作步驟

打開?控制面板?>?管理工具?>?本地安全策略，在?本地策略?>?安全選項?中，設置?Microsoft網絡服務器：暫停會話前所需的空閑時間數量?屬性為15分鐘。

7.4 操作系統補丁管理

安裝最新的操作系統Hotfix補丁。安裝補丁時，應先對服務器系統進行兼容性測試。

操作步驟

安裝最新的操作系統Hotfix補丁。安裝補丁時，應先對服務器系統進行兼容性測試。

注意：對于實際業務環境服務器，建議使用通知并自動下載更新，但由管理員選擇是否安裝更新，而不是使用自動安裝更新，防止自動更新補丁對實際業務環境產生影響。

?

?

來源于阿里云社區：

https://help.aliyun.com/knowledge_detail/49781.html?spm=5176.7860787.2.1.t0bVIY

轉載于:https://www.cnblogs.com/iamver/p/7985401.html

總結

以上是生活随笔為你收集整理的windows加固的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。