1.账号管理与认证授权

1.1.按用户类型分配账号

目的：根据系统要求，设定不同账户和组，管理员、数据库sa、审计用户、来宾用户等

实施方法：

　　打开本地用户和计算机管理器 或 打开运行，输入 lusrmgr.msc

　　右击账户 -> 属性 -> 更改隶属于

　　右击功能组 -> 属性 -> 成员

1.2.清理系统无用账户

目的：删除或锁定与设备运行，维护等工作无关的账号，提高系统账号安全性

实施方法：

　　打开本地用户和计算机管理器 或 打开运行，输入 lusrmgr.msc

　　删除或锁定无关账号（删除操作不可逆）

1.3.重命名 administrator，禁用 guest

目的：减少账户被爆破可能性，提高系统访问安全性

实施方法：

　　打开本地用户和计算机管理器 或 打开运行，输入 lusrmgr.msc

　　为管理员 administrator 账户改名

　　禁用来宾 guest

1.4.设置密码策略

目的：防止弱口令出现，降低被爆破的可能性

实施方法

　　打开本地安全策略：打开运行，输入 secpol.msc

　　找到密码策略：账户策略 -> 密码策略

　　修改默认值：

　　　　密码必须符合复杂性要求（启用）

　　　　密码长度最小值（8）

　　　　密码最短使用期限：0

　　　　密码最长使用期限：90天

　　　　强制密码历史：5

　　　　用可还原的加密来存储：禁用

1.5.配置账户锁定策略

目的：有效降低 administrator 以外的账户被爆破的几率

实施方法：

　　打开本地安全策略：打开运行，输入 secpol.msc

　　找到密码策略：账户策略 -> 账户锁定策略

　　　　账户锁定时间：30分钟

　　　　账户锁定阈值：6

　　　　复位账户锁定计数器：30分钟（不能小于锁定时间）

1.6.远程关机权限设置 & 取得文件或对象的所有权设置 & 设置从本地登录此计算机 &从网络访问此计算机

目的：防止远程用户非法关闭系统；防止用户非法绕过 NTFS 权限，获取文件内容；防止用户非法登录主机；防止非法用户通过网络访问计算机资源

实施方法：

　　打开本地安全策略：打开运行，输入 secpol.msc

　　找到用户权限分配：本地策略 -> 用户权限分配

　　　　从远端系统强制关机策略中，只保留 administrators 组

　　　　取得文件或对象的所有权策略，只保留 administrators 组

　　　　从本地登录此计算机策略，加入授权用户

　　　　网络访问此计算机策略，加入授权用户

2.日志配置

2.1.审核策略设置

目的：通过审核策略，记录系统登录事件，对象访问事件，软件安装事件，安全事件等

实施方法：

　　打开本地安全策略：打开运行，输入 secpool.msc

　　找到审核策略：本地策略 -> 审核策略

　　修改审核策略：审核策略更改 （成功、失败都要审核）

2.2.日志记录策略设置

目的：优化系统日志记录，防止日志溢出

实施方法：

　　进入事件查看器：eventvwr.msc

　　在日志属性中设置日志大小不小于 1024KB。设置当达到最大日志尺寸时，按需要改写事件

3.补丁管理

安全系统补丁

WSUS 服务器：一台服务器从微软下载补丁，内网通过 WSUS 安装补丁

安装和更新杀软（企业版）

除了杀毒的第三方应用默认不安装

4.服务进程与启动

4.1.开启系统防火墙

运维人员列出业务所需端口

打开本地连接中的防火墙：控制面板 -> 网络连接 -> 本地连接，在高级选项中设置启用 Windows 防火墙

设置例外：只允许业务端口接入网络

4.2.设置空闲超时锁定系统

目的：防止由于疏忽导致的系统被非法使用

进入控制面板 -> 显示 -> 屏幕保护程序

启用屏幕保护程序，设置等待时间为5分钟，启用在恢复时使用密码保护功能

4.3.设置网络服务挂起时间

目的：防止远程登录时由于疏忽导致的系统被非法使用

打开本地安全策略：secpol.msc

打开安全选项：本地策略 -> 安全选项

　　“microsoft 网络服务器” 设置 “在挂起会话之前所需空闲时间” 为5分钟

4.4.关闭默认共享

目的：Windows 默认共享分区，关闭后提高信息安全性

打开注册表编辑器，编辑和新建键值：regedit.msc

展开Lsa目录：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

　　调整 restrictanonymous 键值为 1

　　建两个 DWORD 值，分别命名为 AutoShareWks 和 AutoShareServer

4.5.设置共享文件夹权限

目的：只允许授权账户访问共享文件夹

控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 共享文件夹

查看每个文件夹的共享权限并按需求更改

在共享权限中删除 everyone 动态组

4.6.关闭无用服务

服务管理器：services.msc

关闭禁用服务：先停止，后禁用

4.7.关闭无用自启动项

微软控制台：msconfig

关闭多余的启动项

4.8.关闭 Windows 自动播放功能

目的：防止从移动存储设备感染自运行病毒

打开组策略编辑器：gepdit.msc

计算机配置 -> 管理模板 -> 系统 -> 设置 -> 关闭自动播放