賬戶

默認(rèn)賬戶安全

禁用Guest賬戶。

禁用或刪除其他無(wú)用賬戶（建議先禁用賬戶三個(gè)月，待確認(rèn)沒(méi)有問(wèn)題后刪除。）

1.Guest賬戶為臨時(shí)賬戶，但是該賬戶允許用戶登錄到網(wǎng)絡(luò)、瀏覽internet以及關(guān)閉計(jì)算機(jī)。黑客可以通過(guò)guest用戶提權(quán)到administrator組得到管理員權(quán)限，進(jìn)行后滲透。

2防止提權(quán)

3因?yàn)橹苯觿h除，有些正常用戶就無(wú)法使用了，為了避免影響業(yè)務(wù)所以先禁用三個(gè)月，在三個(gè)月之內(nèi)需要使用的用戶發(fā)現(xiàn)異常會(huì)聯(lián)系你，也就知道哪些是正常用戶哪些該用戶該刪除。

實(shí)操

打開(kāi) 計(jì)算機(jī) > 管理 >?? 本地用戶和組 > 用戶中（家庭版這里沒(méi)有），雙擊 Guest 帳戶，在屬性中選中 帳戶已禁用，單擊 確定。

?按照用戶分配帳戶 ?按照用戶分配帳戶。根據(jù)業(yè)務(wù)要求，設(shè)定不同的用戶和用戶組。例如，管理員用戶，數(shù)據(jù)庫(kù)用戶，審計(jì)用戶，來(lái)賓用戶等。 ?打開(kāi) 計(jì)算機(jī) > 管理 >?? 本地用戶和組 > 用戶中，根據(jù)您的業(yè)務(wù)要求設(shè)定不同的用戶和用戶組，包括管理員用戶、數(shù)據(jù)庫(kù)用戶、審計(jì)用戶、來(lái)賓用戶等。

?口令

?cmd下secpol.msc ?密碼復(fù)雜度 ?密碼復(fù)雜度要求必須滿足以下策略： ? ?最短密碼長(zhǎng)度要求八個(gè)字符。 ?啟用本機(jī)組策略中密碼必須符合復(fù)雜性要求的策略。 ?即密碼至少包含以下四種類別的字符中的兩種： ?英語(yǔ)大寫字母 A, B, C, … Z ?英語(yǔ)小寫字母 a, b, c, … z ?西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9 ?非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@, #, $, %, &, *等 ?操作步驟 ? ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，確認(rèn) 密碼必須符合復(fù)雜性要求 策略已啟用。 ? ?密碼最長(zhǎng)留存期 ?對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，帳戶口令的留存期不應(yīng)長(zhǎng)于90天。 ? ?操作步驟打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，配置 密碼最長(zhǎng)使用期限 不大于90天。 ?帳戶鎖定策略 ?對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)10次后，鎖定該用戶使用的帳戶。 ? ?操作步驟 ? ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 帳戶鎖定策略 中，配置 帳戶鎖定閾值 不大于10次。

授權(quán)

?遠(yuǎn)程關(guān)機(jī) ?在本地安全設(shè)置中，從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)權(quán)限只分配給Administrators組。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī) 權(quán)限只分配給Administrators組。 ?本地關(guān)機(jī)在本地安全設(shè)置中關(guān)閉系統(tǒng)權(quán)限只分配給Administrators組。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 關(guān)閉系統(tǒng) 權(quán)限只分配給Administrators組。 ?用戶權(quán)限指派 ?在本地安全設(shè)置中，取得文件或其它對(duì)象的所有權(quán)權(quán)限只分配給Administrators組。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 取得文件或其它對(duì)象的所有權(quán) 權(quán)限只分配給Administrators組。 ?授權(quán)帳戶登錄 ?在本地安全設(shè)置中，配置指定授權(quán)用戶允許本地登錄此計(jì)算機(jī)。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 允許本地登錄 權(quán)限給指定授權(quán)用戶。 ?授權(quán)帳戶從網(wǎng)絡(luò)訪問(wèn) ?在本地安全設(shè)置中，只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問(wèn)（包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)）此計(jì)算機(jī)。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī) 權(quán)限給指定授權(quán)用戶。 日志配置操作 ?審核登錄 ?設(shè)備應(yīng)配置日志功能，對(duì)用戶登錄進(jìn)行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)、及用戶使用的IP地址。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核登錄事件。 ?審核策略 ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核策略更改，成功和失敗操作都需要審核。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核策略更改。 ?審核對(duì)象訪問(wèn) ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問(wèn)，成功和失敗操作都需要審核。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核對(duì)象訪問(wèn)。 ?審核事件目錄服務(wù)訪問(wèn) ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問(wèn)，僅需要審核失敗操作。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核目錄服務(wù)器訪問(wèn)。 ?審核特權(quán)使用 ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗操作都需要審核。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核特權(quán)使用。 ?審核系統(tǒng)事件

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗操作都需要審核。

?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核系統(tǒng)事件。 ?審核帳戶管理 ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核帳戶管理，成功和失敗操作都要審核。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核帳戶管理。 ?審核過(guò)程追蹤 ?啟用本地安全策略中對(duì)Windows系統(tǒng)的審核進(jìn)程追蹤，僅失敗操作需要審核。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核進(jìn)程追蹤。 ?日志文件大小 ?設(shè)置應(yīng)用日志文件大小至少為 8192 KB，可根據(jù)磁盤空間配置日志文件大小，記錄的日志越多越好。并設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)，按需要輪詢記錄日志。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 事件查看器，配置應(yīng)用日志、系統(tǒng)日志、安全日志屬性中的日志大小，以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時(shí)的相應(yīng)策略。 IP協(xié)議安全配置 ?IP協(xié)議安全 ?啟用SYN攻擊保護(hù) ?啟用SYN攻擊保護(hù)。 ? ?指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過(guò)的TCP連接請(qǐng)求數(shù)閾值為5。 ?指定處于 SYN_RCVD 狀態(tài)的 TCP 連接數(shù)的閾值為500。 ?指定處于至少已發(fā)送一次重傳的 SYN_RCVD 狀態(tài)中的 TCP 連接數(shù)的閾值為400。 ?操作步驟 ?打開(kāi) 注冊(cè)表編輯器，根據(jù)推薦值修改注冊(cè)表鍵值。 ?Windows Server 2012 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect ?推薦值：2 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen ?推薦值：500 ?Windows Server 2008 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect ?推薦值：2 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted ?推薦值：5 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen ?推薦值：500 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried ?推薦值：400 文件權(quán)限 ?共享文件夾及訪問(wèn)權(quán)限 ?關(guān)閉默認(rèn)共享 ?非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。 ?操作步驟 ?打開(kāi) 注冊(cè)表編輯器，根據(jù)推薦值修改注冊(cè)表鍵值。 ?注意： Windows Server 2012版本已默認(rèn)關(guān)閉Windows硬盤默認(rèn)共享，且沒(méi)有該注冊(cè)表鍵值。 ?HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer ?推薦值： 0 ?共享文件夾授權(quán)訪問(wèn) ?每個(gè)共享文件夾的共享權(quán)限，只允許授權(quán)的帳戶擁有共享此文件夾的權(quán)限。 ?操作步驟 ?每個(gè)共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不要設(shè)置成為 Everyone。打開(kāi) 控制面板 > 管理工具 > 計(jì)算機(jī)管理，在 共享文件夾 中，查看每個(gè)共享文件夾的共享權(quán)限。

?服務(wù)安全

?禁用TCP/IP上的NetBIOS ?禁用TCP/IP上的NetBIOS協(xié)議，可以關(guān)閉監(jiān)聽(tīng)的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。 ?操作步驟 ?在 計(jì)算機(jī)管理 > 服務(wù)和應(yīng)用程序 > 服務(wù) 中禁用 TCP/IP NetBIOS Helper 服務(wù)。 ?在網(wǎng)絡(luò)連接屬性中，雙擊 Internet協(xié)議版本4（TCP/IPv4），單擊 高級(jí)。在 WINS 頁(yè)簽中，進(jìn)行如下設(shè)置： ?禁用不必要的服務(wù) ?禁用不必要的服務(wù)，請(qǐng)參考：

安全選項(xiàng)?

? 啟用安全選項(xiàng) ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項(xiàng) 中，進(jìn)行如下設(shè)置： ? 禁用未登錄前關(guān)機(jī) ?服務(wù)器默認(rèn)是禁止在未登錄系統(tǒng)前關(guān)機(jī)的。如果啟用此設(shè)置，服務(wù)器安全性將會(huì)大大降低，給遠(yuǎn)程連接的黑客造成可乘之機(jī)，強(qiáng)烈建議禁用未登錄前關(guān)機(jī)功能。 ? ?操作步驟 ? ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項(xiàng) 中，禁用 關(guān)機(jī)：允許系統(tǒng)在未登錄前關(guān)機(jī) 策略。

運(yùn)行->

secpol.msc?? 本地安全策略

事件查看器?? eventvwr.msc

查看關(guān)鍵的日志，查看是否關(guān)機(jī)

通過(guò)系統(tǒng)?? 級(jí)別排序，可以知道是否強(qiáng)制關(guān)機(jī)、重啟過(guò)

通過(guò)任務(wù)類別排序

任務(wù)類別為（1）的為開(kāi)機(jī)，（2）為系統(tǒng)關(guān)機(jī)，（10）的磁盤運(yùn)轉(zhuǎn)，（100）為電源更改，（101）EFI時(shí)區(qū)更改，

（1014）在沒(méi)有配置的 DNS 服務(wù)器響應(yīng)之后，名稱 wpad 的名稱解析超時(shí)，（157）系統(tǒng)正在進(jìn)入連接待機(jī)狀態(tài) ，（158）系統(tǒng)正在退出連接待機(jī)狀態(tài)，（223）usb設(shè)備的彈出，（31）

查看用戶審計(jì)是否單獨(dú)組

Sercie.msc

關(guān)閉不必要的服務(wù)

技巧：先啟動(dòng)類型排序，其次運(yùn)行狀態(tài)排序

查看高危端口：netstat -ano

其狀態(tài)為接聽(tīng)

這種狀態(tài)為已建立鏈接

?firewall.cpl

防火墻是否啟用

可以看到一個(gè)高級(jí)設(shè)置，找到出站入站規(guī)則。

查看系統(tǒng)補(bǔ)丁（修補(bǔ)程序）

Systeminfo

?禁用賬戶

設(shè)定閾值

本地安全策略 中的審核策略

防火墻設(shè)置

網(wǎng)絡(luò)列表策略器

高級(jí)審核策略配置

?防病毒管理 ?Windows系統(tǒng)需要安裝防病毒軟件。 ?操作步驟 ?安裝企業(yè)級(jí)防病毒軟件，并開(kāi)啟病毒庫(kù)更新及實(shí)時(shí)防御功能。 ? ?7.2 設(shè)置屏幕保護(hù)密碼和開(kāi)啟時(shí)間 ?設(shè)置從屏幕保護(hù)恢復(fù)時(shí)需要輸入密碼，并將屏幕保護(hù)自動(dòng)開(kāi)啟時(shí)間設(shè)定為五分鐘。 ?操作步驟 ?啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為 5分鐘，并啟用 在恢復(fù)時(shí)使用密碼保護(hù)。 ? ?7.3 限制遠(yuǎn)程登錄空閑斷開(kāi)時(shí)間 ?對(duì)于遠(yuǎn)程登錄的帳戶，設(shè)置不活動(dòng)超過(guò)時(shí)間15分鐘自動(dòng)斷開(kāi)連接。 ?操作步驟 ?打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項(xiàng) 中，設(shè)置 Microsoft網(wǎng)絡(luò)服務(wù)器：暫停會(huì)話前所需的空閑時(shí)間數(shù)量 屬性為15分鐘。 ? ?7.4 操作系統(tǒng)補(bǔ)丁管理 ?安裝最新的操作系統(tǒng)Hotfix補(bǔ)丁。安裝補(bǔ)丁時(shí)，應(yīng)先對(duì)服務(wù)器系統(tǒng)進(jìn)行兼容性測(cè)試。 ? ?操作步驟 ?安裝最新的操作系統(tǒng)Hotfix補(bǔ)丁。安裝補(bǔ)丁時(shí)，應(yīng)先對(duì)服務(wù)器系統(tǒng)進(jìn)行兼容性測(cè)試。 ?注意：對(duì)于實(shí)際業(yè)務(wù)環(huán)境服務(wù)器，建議使用通知并自動(dòng)下載更新，但由管理員選擇是否安裝更新，而不是使用自動(dòng)安裝更新，防止自動(dòng)更新補(bǔ)丁對(duì)實(shí)際業(yè)務(wù)環(huán)境產(chǎn)生影響。

總結(jié)

以上是生活随笔為你收集整理的windows主机加固和评测的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。