Windows系统安全加固方案：快速上手系统加固指南（上）

无论是个人用户、小型企业还是大型机构，都需要采取措施保护其计算机系统免受各种威胁、系统加固常见的应用场景有个人用户、 AWD 比赛、公共机构以及企业环境等等

文档目录

一、Windows常用命令
二、Windows常见端口
三、账户安全
- 3.1 默认账户安全
- 3.2 按照用户分配账户
- 3.3 定期检查并删除无关账户
- 3.4 不显示最后的用户名
四、口令
- 4.1 密码复杂度
- 4.2 账户锁定策略
五、授权管理
- 5.1 远程关机
- 5.2 本地关机
- 5.3 授权账户登录
- 5.4 授权用户从网络访问
六、日志配置
- 6.1 审核登录
- 6.2 日志文件大小
七、总结
八、结语

一、Windows常用命令

命令	说明
ver	查看系统版本
hostname	查看主机名
ipconfig /all	查看网络配置
net user/localgroup/share/config	查看用户/用户组/共享/当前运行可配置服务
schtasks.exe	建立或查看系统作业
netstat	查看开放端口
secpol.msc	查看和修改本地安全设置（本地安全策略）
gpupdate /force	设置安全策略立即生效
services.msc	查看和修改服务（服务）
eventvwr.msc	查看日志（事件查看器）
regedit	打开注册表
whoami	查看当前操作用户的用户名

二、Windows常见端口

端口	说明
80/8080/8081	HTTP协议代理服务器常用端口号
443	HTTPS协议代理服务器常用端口号
21	FTP(文件传输协议)协议代理服务器常用端口号
23	Telnet(远程登录)协议代理服务器常用端口号
22	SSH（安全登录）、SCP（文件传输）
1521	Oracle 数据库
1433	MS SQL SERVER数据库
1080	QQ
3306	Mysql数据库
25	SMTP（简单邮件传输协议）

三、账户安全

3.1 默认账户安全

禁用Guest账户
禁用或者删除其他无用的账户（建议先禁用账户三个月，待确认没问题之后删除）

操作步骤

打开控制面板 → 管理工具 → 计算机管理，在系统工具 → 本地用户和组 → 用户中，双击Guest账户，在属性中选中账户已禁用，单击确定

3.2 按照用户分配账户

按照用户分配账户。根据业务要求，设定不同的用户和用户组。例如，管理员用户，数据库用户，审计用户，来宾用户等。也可以理解为MySQL中的角色

操作步骤

打开控制面板 → 管理工具 → 计算机管理，在系统工具 → 本地用户和组中，根据业务要求设定不同的用户和用户组，包括管理员账户、数据库用户、审计用户、来宾用户

3.3 定期检查并删除无关账户

定期删除或锁定与设备运行、维护等工作无关的账户

操作步骤

打开控制面板>管理工具>计算机管理，在系统工具>本地用户和组中，删除或锁定与设备运行、维护等与工作无关的账户。

3.4 不显示最后的用户名

配置登录登出之后，不显示用户名称

操作步骤

打开控制面板 → 管理工具 → 本地安全策略，在本地策略→安全选项中，双击交互式登录：不显示最后的而用户名，选择已启用
在这里插入图片描述

四、口令

4.1 密码复杂度

密码复杂度要求必须满足以下策略：

最短密码长度要求八个字符。
启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的两种：
- 英语大写字母A,B,C,…Z
- 英语小写字母a,b,c,…z
- 西方阿拉伯数字0,1,2,…9
- 非字母数字字符，如标点符号，@,#,$,%,&,*等

操作步骤

控制面板>管理工具>本地安全策略，在账户策略>密码策略中，确认密码必须符合复杂性要求策略已启用
在这里插入图片描述

4.2 账户锁定策略

对于采用静态技术口令认定的设备，应配置当用户连续认证失败次数超过10次之后，锁定该用户使用的账户

操作步骤

控制面板>管理工具>本地安全策略，在账户策略>账户锁定策略 中配置账户锁定阈值不大于10次
在这里插入图片描述

五、授权管理

5.1 远程关机

在本地安全设置中，从远端强制关机权限只分配给Administrators组

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置从远端系统强制关机权限只分配给Administrators

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配
在这里插入图片描述

5.2 本地关机

在本地安全设置中关闭系统权限只分配给Administrators

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中配置关闭系统权限只分配给Administrators组

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置关闭系统权限只分配给Administrators组。
在这里插入图片描述

5.3 授权账户登录

在本地安全配置中，配置指定授权用户允许本地登录此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配，配置允许本地登录权限授权给指定授权用户

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置允许本地登录权限给指定授权用户。
在这里插入图片描述

5.4 授权用户从网络访问

在本地安全策略中，只允许授权账号从网络访问（包括网络共享等，但不包括终端服务）此计算机

操作步骤

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →用户权限分配中，配置从网络访问此计算机
在这里插入图片描述

六、日志配置

6.1 审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时候、以及用户使用的IP地址

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核登录事件

win11: gpedit.msc ,计算机配置→Windows设置→安全设置→本地策略 →审核策略，设置审核登录事件

主题	描述
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-logon-events	确定是审核用户登录到的每个实例，还是从使用此设备验证帐户的另一台设备上注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-account-management	确定是否审核设备上帐户管理的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-directory-service-access	确定是否审核用户访问其自己的系统访问控制列表 (SACL) 指定的 Active Directory 对象的事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-logon-events	确定是审核用户登录到设备的每个实例，还是从设备注销。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-object-access	确定是否审核用户访问对象（例如文件、文件夹、注册表项、打印机等）的事件，该对象具有其自己的系统访问控制列表 (SACL) 指定。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-policy-change	确定是审核用户权限分配策略、审核策略还是信任策略更改的每个事件。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-privilege-use	确定是否审核行使用户权限的用户的每个实例。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-process-tracking	确定是否审核事件的详细跟踪信息，例如程序激活、进程退出、处理重复和间接对象访问。
https://learn.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-audit-system-events	确定是审核用户何时重启或关闭计算机，还是何时发生影响系统安全性或安全日志的事件。