查看系统中安装的补丁包,安装未安装的补丁包,后续关注官网补丁包的更新,定时更新补丁包。
2账户安全设置管理员账户拥有最高的系统权限,一旦该账户被人利用,后果不堪设想。因此一种安全设置方法是将系统默认管理员Administrator改名,设置较高强度的口令。对系统中的账户进行整理,禁用Guest账户和日常不使用的账号。在管理启用/禁用账户的同时,对各个账户设置口令策略。供参考的口令策略为:1)至少8个字符;2)包含至少下面4个字符组中的3种:英文大写字母A-Z;英文小写字母a-z;数字0-9;非字母数字字符(如!$#%);3)不要包含用户姓名、用户名或任何常见词的任意部分;4)一个月到两个月定期修改口令。
3用户权限指派打开“本地策略”→“用户权限指派”。进入“用户权限指派”管理界面,根据需要可以设置:1)从网络访问此计算机,删除不必要的用户;2)从远程系统强制关机,删除全部账户;
4口令策略打开“本地策略->审核策略”中,所有审核策略都要设置为“成功”和“失败”都要审核。
5禁止ipc$空连接在默认的情况下,任何用户都可以通过空连接连接到服务器上,枚举账户并猜测口令。因此,必须禁止建立空连接。打开注册表
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA",修改RestrictAnonymous = DWORD的键值即可禁止ipc$空连接。
6关闭常见入侵端口(1)关闭139端口ipc和RPC漏洞通过139端口攻击。打开“控制面板”,然后依次单击:“网络和共享中心”→“更改适配器设置”→“本地连接”,选择“属性”,选择“Internet协议(TCP/IP)”,进入“高级TCP/IP设置”对话框,选择"WINS"标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。(2)关闭445端口445端口常用于局域网中文件夹和打印机共享,但也带来了各种风险。为了关闭445端口,可以打开注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在该项下选择建立一个 QWORD类型键值,将该键名称设置为SMBDeviceEnabled,数值设置为0。还要把操作系统的server服务关闭,命令行输入services.msc,进入服务管理控制台,然后找到server服务,把这个服务的改为禁用,并停止。(3)关闭3389端口在“我的电脑”上右键单击选“属性”→“远程”,将里面的远程协助和远程桌面两个选项框里的勾去掉,并禁用Telnet、Terminal Services这两个危险服务。(4)关闭135打开注册表操作如下。1) 将
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下EnableDCOM的值改为"N",以及打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc下DCOMProtocols键,在对应值中删除"ncacn_ip_tcp";
2)确认停用
"Distributed Transaction Coordinator"服务。
7关闭默认共享在命令窗口中输入命令,删除C盘默认共享。同样的方法可删除其他磁盘的默认共享。也可以进入控制面板找到共享文件夹-共享,将描述为"默认共享"的共享名删除掉。
8禁用不必要服务在控制面板里,选择管理工具后,选择服务,设置关闭以下服务。1)Alerter——通知所选用户和计算机有关系统管理级警报;2)ClipBook——启用“剪贴簿查看器”储存信息并与远程计算机共享;3)Distributed Link Tracking Server——用于局域网更新连接信息;4)Indexing Service——提供本地或远程计算机上文件的索引内容和属性;5)Messenger——信使服务;6)NetMeeting Remote Desktop Sharing——允许授权用户通过NetMeeting在 网络上互相访问;7)Network DDE——为在同一台计算机或不同计算机上运行的程序提供动态数据交换;8)Network DDE DSDM——管理动态数据交换(DDE)网络共享;9)Remote Desktop Help Session Manager——远程帮助服务;10)Remote Registry——远程计算机用户修改本地注册表;11)Routing and Remote Access——在局域网和广域网中提供路由服务;12)Server——支持此计算机通过网络的文件、打印和命名管道共享;13)TCP/IP NetBIOS Helper——提供对TCP/IP服务上的NetBIOS和网络上客户 端的NetBIOS名称解析的支持,使用户能够共享文件、打印和登录到网络;14)Telnet——允许远程用户登录到此计算机并运行程序;15)Terminal Services——远程登录到本地电脑。
9本地安全策略设置命令行输入gpedit.msc打开本地组策略编辑器,在“本地策略”→“安全选项”,设置如下策略。1)交互式登录:无须按Ctrl+Alt+Del,设置为已禁用;2)交互式登录:不显示最后的用户名,设置为已启用;3)网络访问:不允许SAM账户的匿名枚举,设置为已启用;4)网络访问:可匿名访问的共享,将策略设置里的值删除;5)网络访问:可匿名访问的命名管道,将策略设置里的值删除;6)网络访问:可远程访问的注册表路径,将策略设置里的值删除;7)设备:将CD-ROM的访问权限仅限于本地登录的用户,设置为已启用;8)关机:清除虚拟内存页面文件,设置为已启用。10启用防火墙启用Windows自带防火墙或安装第三方软件防火墙。启用Windows自带防火墙可参考:“控制面板”→“Windows防火墙”。
11安装杀毒软件建议用户安装杀毒软件,并经常更新杀毒软件的病毒库,以便查杀最新病毒。
以上是常用的windows安全加固方法,在我们等级保护测评整改中以及在做操作系统安全加固项目时,都有非常重要的参考价值。关 注 我有更多干货给你哦~“如有咨询需求,发送daluzixun@163.com,期待您的联系~
关于大路咨询大路咨询专注于信息咨询和研究。以安全为主体,从国际国内标准、国家政策、行业态势、大众认知等多个维度进行深度剖析。关注大路咨询,让我们一起共同交流、共同学习。
更多专业技术分享,敬请期待~