29、Windows安全配置

文章目录

  • 一、Windows安全配置简介
  • 二、账户策略
    • 2.1 密码策略
    • 2.2 账户锁定策略
  • 三、本地策略
    • 3.1 用户权限分配
  • 四、安全设置
    • 4.1 账户
    • 4.2 审核
    • 4.3 设备
    • 4.4交互式登录
    • 4.5 网络访问
    • 4.6 网络安全
    • 4.7 用户账户控制
    • 4.8 防火墙配置
  • 五、高级审核策略设置
    • 5.1 账户登录
    • 5.2 账户管理
    • 5.3 对象访问
    • 5.4 策略更改
    • 5.5 特权使用
    • 5.6 系统

一、Windows安全配置简介

通常在Windows安全配置中有两类对象:

  • 一类是Windows Server,如Win server 2012、Win server 2016等;
  • 一类是Windows Client,如Win7、Win8、win10等。

在windows安全配置中,对windows client的安全配置,可以借助微软的活动目录来实现自动化;而对windows server 通常为保证服务器稳定运行,倾向于手动配置。

这里以windows server 2012 r2为例,进行加固讲解。
通常,我们使用组策略对windows进行安全配置。组策略中的安全配置与注册表是可以对应的,但注册表可读性较差,而组策略有详细的说明,故通常使用组策略。

在windows客户端系统中,HOME版本是没有组策略功能的。

打开组策略的方法:
在这里插入图片描述

windows不论什么版本,进行安全配置会包含以下常用维度:

  • 账户策略
    • 密码策略
    • 账户锁定策略
  • 本地策略
    • 审计策略
    • 用户权限策略
    • 安全选项
  • 防火墙策略
    • 域配置文件
    • 私有网络配置文件
  • 高级审计策略
    • 账户登录
    • 账户管理
    • 详细跟踪
    • 登录/注销
    • 对象访问
    • 策略更改

二、账户策略

2.1 密码策略

  • 强制密码历史,建议设置为24个
  • 密码最长使用期限,建议设置60天
  • 密码最短使用期限,建议设置1天或更多
  • 密码长度最小值,建议设置为14
  • 密码必须符合复杂性要求,建议设置为启用
  • 用可还原的加密码来存储密码,建议设置为禁用

在这里插入图片描述

密码最短使用期限:表示用户更改密码后,多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。

2.2 账户锁定策略

  • 账户锁定阈值,建议设置为10次或更少
  • 账户锁定时间,建议设置为15分钟或更多
  • 重置账户锁定计数器,建议设置为15分钟或更多

在这里插入图片描述

三、本地策略

3.1 用户权限分配

  • 作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
  • 从网络访问此计算机,建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS(域控设置)
  • 以操作系统方式执行,建议设置为空,默认为空
  • 将工作站添加到域,建议设置为Administrators
  • 为进程调整内存配额,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE
  • 允许本地登录,建议设置为Administrators
  • 允许通过远程桌面服务登录,建议设置为Administrators,Remote Desktop Users(客户端设置)
  • 备份文件和目录,建议设置为Administrators
  • 更改系统时间,建议设置为Administrators,LOCAL SERVICE
  • 更改时区,建议设置为Administrators,LOCAL SERVICE
  • 创建页面文件,建议设置为Administrators
  • 创建一个信息对象,建议设置为空
  • 创建全局对象,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 创建永久共享对象,建议设置为空
  • 创建符号链接,建议设置为Administrators
  • 调试程序,建议设置为Administrators
  • 拒绝从网络访问这台计算机,建议设置为Guests,本地的administrators中的其它用
    户或组。
  • 拒绝作为批处理作业登录,建议设置为Guest
  • 拒绝以服务身份登录,建议设置为Guest
  • 拒绝本地登录,建议设置为Guest
  • 拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户
  • 信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators
  • 从远程系统强制关机,建议设置为Administrators
  • 生成安全审核,建议设置为LOCAL SERVICE,NETWORK SERVICE
  • 身份验证后模拟客户端,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 提高计划优先级,建议设置为Administrators
  • 加载和卸载设备驱动程序,建议设置为Administrators
  • 锁定内存页,建议设置为空
  • 管理审核和安全日志,建议设置为Administrators,默认符合
  • 修改固件环境值,建议设置为Administrators,默认符合
  • 执行卷维护任务,建议设置为Administrators,默认符合
  • 配置文件单一进程,建议设置为Administrators,默认符合
  • 还原文件和目录,建议设置为Administrators
  • 关闭系统,建议设置为Administrators
  • 取得文件或其他对象所有权,建议设置为Administrators,默认设置

四、安全设置

4.1 账户

在这里插入图片描述
在这里插入图片描述

4.2 审核

在这里插入图片描述

4.3 设备

在这里插入图片描述

4.4交互式登录

在这里插入图片描述
在这里插入图片描述

4.5 网络访问

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4.6 网络安全

在这里插入图片描述

4.7 用户账户控制

在这里插入图片描述
在这里插入图片描述

4.8 防火墙配置

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、高级审核策略设置

5.1 账户登录

在这里插入图片描述

5.2 账户管理

在这里插入图片描述
在这里插入图片描述

5.3 对象访问

在这里插入图片描述

5.4 策略更改

在这里插入图片描述

5.5 特权使用

在这里插入图片描述

5.6 系统

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/217587.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

架构设计系列之基础:基础理论(一)

在软件开发和软件架构领域,深厚的理论基础是构建高质量、可维护、可扩展系统的关键,本部分内容将围绕这些基础理论展开。(本部分内容介绍第一部分:编程三范式、架构设计原则、软件设计七原则) 一、编程三范式 编程范…

人工智能技术在宽域飞行器控制中的应用

近年来,以空天飞行器、高超声速飞行器等 ̈1 为典型代表的宽域飞行器蓬勃发展,如图1所示,其 不仅对高端装备制造、空间信息以及太空经济等领 域产生辐射带动作用,进一步提升了中国在航空航 天领域的自主创新能力,同时也…

112. 路径总和(Java)

目录 解法: 官方解法: 方法一:广度优先搜索 思路及算法 复杂度分析 时间复杂度: 空间复杂度: 方法二:递归 思路及算法 复杂度分析 时间复杂度: 空间复杂度: 给你二叉树的…

(C++)最大连续1的个数--滑动窗口

个人主页:Lei宝啊 愿所有美好如期而遇 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台备战技术面试?力扣提供海量技术面试资源,帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。https://le…

MIT18.06线性代数 笔记2

文章目录 正交向量与子空间子空间投影投影矩阵和最小二乘正交矩阵和Gram-Schmidt正交化行列式及其性质行列式公式和代数余子式克拉默法则、逆矩阵、体积特征值和特征向量对角化和A的幂微分方程和exp(At)马尔科夫矩阵 傅里叶级数复习二 正交向量与子空间 向量正交:x…

[RK-Linux] 移植Linux-5.10到RK3399(五)| 检查PCIe并识别M.2 NVMe SSD

ROC-RK3399-PC Pro 引出了 PCIe 座子,用于装载 M.2 NGFF M-Key 接口的 SSD。 文章目录 一、PCIe二、NVMe三、调试一、PCIe PCIe(Peripheral Component Interconnect Express)是一种高速串行总线接口,用于连接计算机系统中的各种外部设备。它是传统PCI总线的进化版本,提供…

《系统架构设计师教程(第2版)》第2章-计算机系统基础知识-05-多媒体

文章目录 1. 概述1.2 多媒体的特征1.3 基本组成1.4 多媒体技术应用2. 关键技术2.1 视音频技术1)视音频编码2)视音频压缩方法2.2 通信技术2.3 数据压缩技术2.4 虚拟现实 (VR)/增强现实 (AR) 技术1) VR技术2) AR技术3)分类4)需要提高的关键技术1. 概述 媒体 (Media) :是承…

【初阶C++】前言

C前言 1. 什么是C2. C发展史3. C的重要性4. 如何学习C 1. 什么是C C语言是结构化和模块化的语言,适合处理较小规模的程序。对于复杂的问题,规模较大的程序,需要高度的抽象和建模时,C语言则不合适。为了解决软件危机, …

【MODBUS】libmodbus库写一个Modbus TCP客户端

libmodbus 是一个用于 Modbus 通信协议的 C 语言库,可以用来创建 Modbus TCP 客户端。以下是一个简单的示例代码,演示如何使用 libmodbus 创建一个 Modbus TCP 客户端。 首先,确保你已经安装了 libmodbus 库。你可以从 libmodbus 的官方网站…

【Linux系统编程二十一】:(进程通信3)--消息队列/信号量(system v标准的内核数据结构的设计模式)

【Linux系统编程二十】:消息队列/信号量(system v标准的内核数据结构的设计模式) 一.消息队列二.system v标准的内核数据结构的设计三.四个概念(互斥/临界)四.信号量1.多线程并发访问2.计数器3.原子的4.总结 一.消息队列 一个叫做a进程啊,一个…

点云从入门到精通技术详解100篇-车载激光雷达路面检测

目录 前言 国内外研究现状 车载激光雷达系统研究现状 道路检测研究现状

实现CompletableFuture的返回数据,放入每个list中

为啥使用CompletableFuture 有时候我们后端接口,可能会有多个查询,而且这些查询是互不关联的,使用串行的方式,在数据量不大的时候,时间没什么影响,但是在数据量大的时候,使用CompletableFuture…

如何将LLMs封装成应用并在本地运行

最近我一直在致力于Ollama的工作,因此我花了很多时间思考如何在本地系统上运行大型语言模型(LLMs)以及如何将它们打包成应用程序。对于使用LLMs的大多数桌面应用程序而言,通常的体验要么是插入OpenAI API密钥,要么是从…

protobuf基础学习

部分内容出自:https://blog.csdn.net/baidu_32237719/article/details/99723353 proto文件来预先定义的消息格式。数据包是按照proto文件所定义的消息格式完成二进制码流的编码和解码。proto文件,简单地说,就是一个消息的协议文件&#xff0c…

Git常用命令大全

1.强制推送(慎用,除非你认为其他冲突等可以丢弃 或者不是很重要) git push -- force2.创建文件等小命令 touch a // 创建一个a文件 echo 1234 >> a // 把1234这个内容放入a文件 cat a // 打开a文件 读取出a文件中的内容 mkdir test /…

MAC IDEA Maven Springboot

在mac中,使用idea进行maven项目构建 环境配置如何运行maven项目1.直接在IDEA中运行2.使用jar打包后执行 如何搭建spring boot1.添加依赖2.创建入口类3.创建控制器4. 运行5.其他 环境配置 官网安装IDEA使用IDEA的创建新项目选择创建MAEVEN项目测试IDEA的MAVEN路径是…

(第64天)UNPLIUG/PLUG 迁移 PDB

在 Oracle 12C 之前,迁移数据库的方式大多通过 RMAN 或者数据泵的方式,但是在 12C 版本提出 CDB/PDB 架构后,对数据库进行了整合,只需要针对 PDB 进行迁移即可,本文介绍通过 UNPLUG/PLUG 的方式来迁移数据库。 环境信息 测试环境信息: 角色主机名IP地址数据库版本实例名…

【二分查找】【双指针】LeetCode:2565最少得分子序列

作者推荐 【动态规划】【广度优先】LeetCode2258:逃离火灾 本文涉及的基础知识点 二分查找算法合集 有序向量的二分查找,初始化完成后,向量不会修改。 双指针: 用于计算子字符串是s的字符串的子系列。 题目 给你两个字符串 s 和 t 。 你…

《地理信息系统原理》笔记/期末复习资料(10. 空间数据挖掘与空间决策支持系统)

目录 10. 空间数据挖掘与空间决策支持系统 10.1. 空间数据挖掘 10.1.1. 空间数据挖掘的概念 10.1.2. 空间数据挖掘的方法与过程 10.1.3. 空间数据挖掘的应用 10.2. 空间决策支持系统 10.2.1. 空间决策支持系统的概念 10.2.2. 空间决策支持系统的结构 10.2.3. 空间决策…

Java网络编程,使用UDP实现TCP(二), 实现数据传输过程

简介: 经过了三次握手过程,我们的服务端和客户端已经建立了连接。我们接下来需要做的就是数据的传输。 主要步骤: 数据发送:客户端或服务器将数据打包成一个或多个数据段,每个数据段都有一个序列号(SEQ&a…