Windows安全加固

一、账号和口令管理

账号分配

compmgmt.msc > 计算机管理 > 本地用户和组
​
结合要求和实际业务情况判断符合要求，根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户如存在与设备运行、维护等与工作无关的账号，可进行删除或锁定

重命名Administrator，禁用GUEST

#对于管理员帐号，更改缺省帐户名称;禁用guest(来宾)帐号，提高系统安全性。
​
compmgmt.msc > 计算机管理 > 本地用户和组
​
Administrator > 重命名 > 随便取，不要有关自己信息之类的就好
​
GUEST > 属性 > 勾选‘账户已禁用’

密码策略

#设置密码策略，减少安全风险;防止弱口令的存在，减少安全隐患。
​
本地安全策略 > 账户策略 > 密码策略 > 
密码最长使用期限：<=90
密码最短使用期限：=2
密码长度最小值：>=8
强制密码历史：>=5
密码必须符合复杂性要求：已启动
用可还原的加密来储存密码：已禁用

账户锁定策略

#设置有效的账户锁定策略有助于防止暴力破解，防止攻击者猜出系统账户的密码
​
本地安全策略 > 账户策略 > 账户锁定策略 > 
账户锁定阈值：6次   #账户输入错误6次后锁定
账户锁定时间：10分钟     #锁定时间10分钟
重置账户锁定计数器：10分钟      #10分钟后重置输入错误6次

二、授权管理

远端系统强制关机权限

#防止远程用户非法关机，在本地安全设置中从远端系统强制关机只指派给Administrators组
​
本地安全策略 > 本地策略 > 用户权限分配 > 从远程系统强制关机 > 设置只有‘Administrators’组

关闭系统权限

#防止管理员以外的用户在本地非法关机，在本地安全设置中关闭系统仅指派给Administrators组
​
本地安全策略 > 本地策略 > 用户权限分配 > 关闭系统 > 设置只有‘Administrators’组

从网络访问此计算机权限

#防止网络用户非法访问主机
​
本地安全策略 > 本地策略 > 用户权限分配 > 设置只有‘Administrators’组

三、日志和其他管理

系统日志完备性

​本地安全策略 > 本地策略 > 审核策略
审核策略更改
审核登录事件
审核对象访问
审核进程跟踪
审核目录服务访问
审核特权使用
审核系统事件市核帐户登录事件
审核帐户管理
> 全部勾选'成功' 和 '失败'

设置日志大小

#优化日志，防止溢出

compmgmt.msc > 计算机管理 > 事件查看器 > windows日志 > 应用程序、安全、Setup、系统、转发事件 > 属性 > 日志最大大小 > 102400

远程登录超时

#防止管理员远程登录后忘记锁定机器导致被非法利用

本地安全策略 > 本地策略 > 安全选项 > Microsoft网络服务器-暂停会话前所需的空闲时间量 > 小于等于15分钟

关闭默认共享

#防止攻击者利用系统默认共享非法对系统的硬盘进行访问

在桌面新建一文本文件并编辑该文件，写入内容 'net share 查询到的共享名如(ipc$) /delete' 将该文件后缀修改为.bat 后添加到启动项即可

设置屏幕密码保护

#防止忘记锁定机器被非法攻击

屏幕保护 > 勾选 '在恢复时显示登入屏幕保护' > 等待时间5分钟

关闭自动播放功能

#关闭Windows自动播放，防止从移动设备感染病毒

gpedit.msc > 本地计算机策略 > 管理模版 > windows组件 > 自动播放策略 > 关闭自动播放 > 勾选'已启用' > 所有驱动器

是否启用防火墙

#过滤不必要的端口，提高系统安全性
​
windows防火墙 > 打开或关闭windows防火墙 > 勾选启用