高 Windows 系統(tǒng)的安全性,以下是一些建議的安全防護(hù)配置:
更新系統(tǒng):及時安裝 Windows 操作系統(tǒng)的安全更新和補丁,確保系統(tǒng)處于最新的安全狀態(tài)。可以啟用自動更新功能,以便系統(tǒng)自動下載和安裝最新的補丁。
殺毒軟件和防火墻:安裝可信賴的殺毒軟件和防火墻,保護(hù)系統(tǒng)免受病毒、惡意軟件和網(wǎng)絡(luò)攻擊。定期更新病毒庫,并進(jìn)行全盤掃描以確保系統(tǒng)的安全。
用戶賬戶控制:使用標(biāo)準(zhǔn)用戶賬戶進(jìn)行日常操作,而不是使用管理員賬戶。這樣可以減少惡意軟件對系統(tǒng)的影響范圍,并避免對系統(tǒng)進(jìn)行未經(jīng)授權(quán)的更改。
強密碼:設(shè)置強密碼來保護(hù)用戶賬戶的安全。密碼應(yīng)包含至少8個字符,并包括大小寫字母、數(shù)字和特殊字符。定期更改密碼,避免使用容易被猜到的密碼。
遠(yuǎn)程桌面:如果不需要使用遠(yuǎn)程桌面功能,應(yīng)禁用或限制其訪問。如果需要使用遠(yuǎn)程桌面,應(yīng)啟用網(wǎng)絡(luò)級別的加密和身份驗證來保護(hù)遠(yuǎn)程連接的安全。
文件和文件夾權(quán)限:定期檢查和更新文件和文件夾的權(quán)限,確保只有授權(quán)的用戶可以訪問敏感數(shù)據(jù)。避免給予不必要的權(quán)限,以減少潛在的安全風(fēng)險。
定期備份:定期備份重要的文件和數(shù)據(jù),以防止數(shù)據(jù)丟失或被惡意軟件加密。確保備份存儲在安全的位置,并測試恢復(fù)過程以驗證備份的有效性。
啟用防病毒掃描:啟用實時防病毒掃描功能,對下載的文件、電子郵件附件和可移動設(shè)備進(jìn)行掃描,以及定期進(jìn)行全盤掃描。
禁用自動運行:禁用自動運行功能,以防止可移動設(shè)備上的惡意軟件自動運行。手動選擇打開或運行可移動設(shè)備上的文件和程序。
教育用戶:提供安全意識培訓(xùn),教育用戶如何識別和應(yīng)對網(wǎng)絡(luò)釣魚、惡意鏈接和其他網(wǎng)絡(luò)攻擊。強調(diào)用戶的責(zé)任和注意事項,提高整體的安全意識。
注冊表安全配置: 1.備份注冊表:在進(jìn)行修改之前,務(wù)必備份注冊表,以防止意外情況發(fā)生。 2.限制訪問權(quán)限:根據(jù)需要,限制對注冊表的訪問權(quán)限。只允許管理員或特定用戶組訪問敏感的注冊表項。 3.禁用自動運行:通過修改注冊表設(shè)置,禁用自動運行功能,以減少惡意軟件的傳播。
審核策略安全配置: 1.強密碼策略:設(shè)置強密碼策略,要求用戶使用復(fù)雜的密碼,并定期更改密碼。 2.賬戶鎖定策略:配置賬戶鎖定策略,限制登錄失敗次數(shù),以防止暴力破解攻擊。 3.事件審核策略:啟用適當(dāng)?shù)膶徍瞬呗裕涗洸⒈O(jiān)控系統(tǒng)事件和安全事件。
最小化安裝組件和程序: 1.最小化安裝:僅安裝必需的組件和程序,盡量減少不必要的軟件和服務(wù),這樣可以減少攻擊面和系統(tǒng)資源消耗。 2.移除不必要的預(yù)裝軟件:檢查并卸載預(yù)裝的軟件,特別是那些您不需要或不使用的軟件。 3.定期更新和卸載:定期更新已安裝程序和組件,同時卸載不再需要的舊版本軟件,以減少已知漏洞的風(fēng)險。
位置:
開始——管理工具——本地安全策略——賬戶策略——密碼策略。
加固設(shè)置:
(1)開啟密碼復(fù)雜度
(2)密碼長度最小值為8個字符
(3)密碼最短使用期限30天
(4)密碼最長使用期限90天
(5)強制密碼歷史5個
位置:
開始——管理工具——本地安全策略——賬戶策略——賬號鎖定策略。
加固設(shè)置:
(1)賬戶鎖定時間30分鐘
(2)賬戶鎖定閾值5次
(3)重置賬戶鎖定計算器10分鐘
位置:
開始——管理工具——本地安全策略——本地策略——用戶權(quán)限分配。
加固設(shè)置:
(1)關(guān)閉系統(tǒng)——在本地安全設(shè)置中只保留一個administrator。
(2)允許通過遠(yuǎn)程桌面服務(wù)登錄——在本地安全設(shè)置中只保留一個administrator或者設(shè)定自己想添加的用戶。
(3)從遠(yuǎn)程系統(tǒng)強制關(guān)機——在本地安全設(shè)置中只保留一個administrator。
(4)取得文件或其他對象的所有權(quán)——在本地安全設(shè)置中只保留一個administrator。
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——關(guān)機:允許系統(tǒng)在未登錄的情況下關(guān)閉。
加固設(shè)置:
(1)禁止未登錄關(guān)機
位置:
開始——管理工具——計算機管理——系統(tǒng)工具——本地用戶和組——用戶。
加固設(shè)置:
(1)重命名默認(rèn)賬戶的administrator用戶名,例如:修改為admin007…
位置:
開始——管理工具——計算機管理——系統(tǒng)工具——本地用戶和組——用戶。
加固設(shè)置:
(1)刪除多余或僵尸賬戶,可以用命令:net user +用戶名 查詢該用戶的詳細(xì)信息。
(2)禁用Guest來賓賬戶。
位置:
運行——regedit——注冊表。
加固設(shè)置:
(1)修改TCP3389端口號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。
找到PortNumber選項,雙擊修改右邊基數(shù)為十進(jìn)制,然后修改數(shù)值數(shù)據(jù)為:例如6666等…
(2)修改遠(yuǎn)程桌面3389端口號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
找到PortNumber選項,雙擊修改右邊基數(shù)為十進(jìn)制,然后修改數(shù)值數(shù)據(jù)為:例如6666等…
(3)重啟計算機
(4)進(jìn)行遠(yuǎn)程桌面時,需要在輸入的IP后面添加端口,例如:192.168.30.10:6666,就可以正常訪問了。
位置:
開始——管理工具——本地安全策略——本地策略——審核策略。
加固設(shè)置:
(1)審核策略更改 修改為:成功,失敗
(2)審核登錄事件 修改為:成功,失敗
(3)審核對象訪問 修改為:成功,失敗
(4)審核進(jìn)程跟蹤 修改為:成功,失敗
(5)審核目錄訪問訪問 修改為:成功,失敗
(6)審核特權(quán)使用 修改為:成功,失敗
(7)審核系統(tǒng)事件 修改為:成功,失敗
(8)審核賬戶登錄事件 修改為:成功,失敗
(9)審核賬戶管理 修改為:成功,失敗
位置:
開始——管理工具——事件查看器——windows日志——依此操作:“應(yīng)用程序,系統(tǒng),安全”。
加固設(shè)置:
(1)日志屬性 —常規(guī)——日志最大大小為:200M約等于204800kb
(2)添加日志服務(wù)器,把日志上傳到日志服務(wù)器中,便于能夠及時發(fā)現(xiàn)問題,具體的可以根據(jù)不通的日志服務(wù)器進(jìn)行相應(yīng)的操作,如果購買日志審計,可以讓設(shè)備廠商幫忙添加。
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——交互式登錄:不顯示最后的用戶名。
加固設(shè)置:
(1)屬性——修改為:已啟用
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——關(guān)機:清除虛擬內(nèi)存頁面文件。
加固設(shè)置:
(1)屬性——修改為:已啟用
位置:
開始—控制面板——顯示——更改屏幕保護(hù)程序
加固設(shè)置:
(1)設(shè)定屏幕保護(hù)程序,等待時間為10分鐘,選擇在恢復(fù)時顯示登錄屏幕。
位置:
運行——gpedit.msc——計算機配置——管理模板——windows組件——遠(yuǎn)程桌面服務(wù)——遠(yuǎn)程桌面會話主機——會話時間限制——設(shè)置活動但空閑的遠(yuǎn)程桌面服務(wù)會話的時間限制。
加固設(shè)置:
(1)設(shè)置已啟用,空閑會話限制為10分鐘。
位置:
win+r打開運行——輸入Firewall.cpl——打開防火墻
加固設(shè)置:
(1)設(shè)置開啟防火墻。
(2)在高級設(shè)置入站規(guī)則中設(shè)定阻斷高危端口,如:高危端口:TCP:135,137,445,593,1025 UDP:135,137,138,445
注:入站規(guī)則與出站規(guī)則設(shè)定比較簡單,就不細(xì)說如何設(shè)定。
位置:
開始——管理工具——本地安全策略——IP安全策略,在本地計算機
注意:此策略是在防火墻被關(guān)閉的情況下使用,防火墻關(guān)閉后,入站進(jìn)站策略不起作用,所以使用IP安全策略。
注意:檢查服務(wù)中的:“IPSEC Policy Agent” 服務(wù)必須在啟動狀態(tài),在任務(wù)管理器中的服務(wù)顯示的名稱為:PolicyAgent。
加固設(shè)置:
(1)右擊“IP安全策略,在本地計算機”,選擇“創(chuàng)建IP安全策略”,然后出現(xiàn)“IP安全策略向?qū)А秉c擊下一步,名稱改一下,然后一直下一步,直到完成。(注:如果有讓選擇“激活默認(rèn)響應(yīng)規(guī)則”不要選擇)。
(2)彈出的窗口先關(guān)閉。
(3)繼續(xù)右擊“IP安全策略,在本地計算機”,選擇“管理IP篩選器列表和篩選器操作”,第一個界面為:管理IP篩選器列表。點擊左下角添加。
(4)彈出的為:IP篩選器列表,修改一下名稱。(注:不要使用“添加向?qū)А保缓簏c擊靠右邊中間的添加。
(5)點擊添加后彈出的為:IP篩選器屬性,先點擊地址,源地址選擇:任何IP地址,目的地址選擇:我的IP地址。注:下面的“鏡像與源和目標(biāo)地址正好相反的數(shù)據(jù)包匹配”,把√號取消)。
(6)點擊協(xié)議,然后點擊選擇協(xié)議類型,選擇TCP協(xié)議,設(shè)置IP協(xié)議端口,第一排選擇:從任意端口,第二排選擇:到此端口,填寫139。
(7)點擊確認(rèn),點完后應(yīng)該在IP篩選器列表這個界面,可以在列表中看到剛剛添加的,(注:如果需要描述也可以描述一下,如果還想添加UDP的話,同樣的操作)。確認(rèn)添加的沒問題后點擊確定。
(8)此時應(yīng)該回到了管理IP篩選器列表和篩選器操作這個界面,這時選擇第二個界面:管理篩選器操作。
(9)把下面使用“添加向?qū)∠保缓簏c擊添加。
(10)此時界面是:新篩選器操作屬性。安全辦法選擇:阻止。常規(guī)中修改一下名稱,不要默認(rèn),以防忘記。填寫好后,先點擊應(yīng)用,再點擊確定。
(11)此時也可以在管理篩選器操作的列表中看到剛剛添加的。然后把:管理IP篩選器列表和篩選器操作這個界面關(guān)閉。
(12)點擊剛剛界面上的IP安全策略,會在右邊看到剛剛第(1)步創(chuàng)建的IP安全策略。然后右擊選擇屬性。
(13)在規(guī)則中選擇添加,(注:取消右下角的使用添加向?qū)В?/p>
(14)彈出來的第一個界面點擊下一步,第二個界面選擇:此規(guī)則不指定隧道,然后下一步,第三個界面選擇:所有網(wǎng)絡(luò)連接,然后下一步,第四個界面是IP篩選器列表,選擇剛剛已經(jīng)創(chuàng)建好的IP篩選器,然后下一步,第五個界面是篩選器操作,選擇剛剛創(chuàng)建好的篩選器操作。然后下一步,就完成了。(注:不需要選擇編輯屬性)
(15)然后在剛剛:IP安全規(guī)則中能看到剛剛選擇的,然后點擊應(yīng)用,最后點擊確定。
(16)然后再次右擊選擇剛剛的:IP安全策略,選擇第一個分配。
(17)然后測量,使用另外一臺電腦telnet + IP +端口 我測試的虛擬機為 telnet 192.168.30.10 139。如果進(jìn)不去就設(shè)置成功了
(18)未成功檢查服務(wù)是否正常運行,或者在打開CMD輸入:gpupdate /force
方案:
(1)購買企業(yè)版殺毒軟件進(jìn)行安全,并設(shè)定相應(yīng)的規(guī)則。
(2)員工電腦,如若未購買專業(yè)的殺毒軟件,推薦:火絨殺毒,卡巴斯基等等
方案:
(1)員工電腦可開啟自動更新。
(2)服務(wù)器等重要資產(chǎn)補丁,根據(jù)相應(yīng)的漏洞進(jìn)行更新,在更新之前應(yīng)做好系統(tǒng)備份,并且做相應(yīng)的測試。