Windows系统的安全设置一般可以通过管理电脑属性、配置组策略、修改注册表的方式进行。下面介绍常用的操作系统安全设置方法。
通过管理电脑属性来实现系统安全
- 关闭Guest账户
- 修改管理员账户
- 设置陷阱账户
- 关闭不必要的服务
- 关闭不必要的端口
- 设置屏幕保护密码
通过管理组策略来实现系统安全
- 配置系统密码策略
- 配置系统账户锁定策略
- 配置审核策略
- 用户权限分配
- 配置“安全选项”
- 配置只允许用户执行的程序
可以进行以下操作来对Windows进行加固:
禁用Guest账户禁用或删除其他无用账户;
更改默认Administrator用户名;
不显示最后登录的用户名;
密码复杂度要求设置;
windows帐户锁定策略(防止暴力破解);
删除用户和组,从远程系统强制关机权限;
只允许Administrators组关机;
只允许Administrators组,取得文件或其它对象的所有权;
只允许administrators组本地登录;
只允许Administrators组,从网络访问此计算机;
不允许SAM账户和共享的匿名枚举(启用);
关机:清除虚拟内存页面文件(启用);
网络访问:可远程访问的注册表路径和子路径(清除);
windows日志审核设置;
交互式登录:无须按ctrl+alt+del(禁用);
windows日志配置;
启用SYN攻击保护;
禁用TCPIP上的NetBIOS;
关闭默认共享;
禁用不必要的服务;
禁用TaskScheduler服务;
交互式登录:试图登录的用户的消息提示;
Microsoft网络客户端:对通信进行数字签名;
基于NTLMSSP的最小会话安全设置;
LAN管理器身份验证级别;
网络访问可匿名访问的共享及命名管道;
允许系统在未登录的情况下关闭(禁用);
屏幕保护程序设置;
Microsoft网络服务器暂停会话前所需的空闲时间量;
防止ICMP重定向攻击;
防止碎片攻击;
防止源路由欺骗攻击;
仅为基本windows程序和服务启动DEP;
匿名权限限制;
禁止自动重新启动;
修改windows远程桌面端口;
关闭windows防火墙135,137,138,139,445,3389端口;