本文主要是介绍win系统加固基础版---[曾经的笔记],希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1、账户安全
1、账户分配
- 应为不同用户分配不同的权限
- 每一个用户包含一个名称和一个密码
- 用户账户拥有唯一的安全标识符(SID)
whoami /user //查看用户标识
- 应对administrator账户进行重命名,并禁用guest(来宾)账户
- 应删除或锁定过期账户、无用账户
>1、进用户管理删除或锁定
>2、net user 账户 /del //删除账户
>3、net user 账户 /active:no //停用账户
2、账户权限
- 应只允许指定授权账户对主机进行远程访问
- 应按实际情况为各个账户分配最小权限
3、口令管理
- 账号口令长度至少8位,且因包含数字、字母和特殊字符中至少2类的组合
- 应设置口令最长使用期限小于90天
- 应配置操作系统用户不能重复使用最近5次(包含5次)已使用过的口令
- 应配置当用户连续认证失败5次,锁定该账户30分钟
2、文件安全
1、文件系统
- 文件系统即在外部存储设备上组织文件的方法
- 常见的文件系统
FAT
NTFS
EXT
- NTFS文件系统的特点
>1、分配了正确的访问权限后,用户才能访问其资源
>2、设置权限防止资源被篡改、删除
>3、提高磁盘读写性能
>4、可靠性强(加密文件系统、访问控制列表)
>5、磁盘利用率(压缩、磁盘配额)
- 更改文件权限格式
convert 盘:/FS:NTFS
- 文件权限设置
>1、不同用户对不同文件设置不同的文件权限
>2、统一用户属于两个组,那么他会拥有两个组的文件权限
>3、拒绝权限是文件权限最高的权限
- 文件加密(EFS)
>1、加密后的文件只有当前用户能读取(其他用户无法复制读取,如果是管理员可以删除)
>2、运行certmgr.msc查看加密证书;可以导出证书保存(如果证书泄露其他人也能解密文件并读取)
>3、通过3389远程登陆时可以操作加密文件,(负责到本地,可以读取文件内容,它会将证书自动复制到本地)
- 磁盘配额
>1、限制指定用户能够使用的磁盘空间,避免因某个用户的过度使用磁盘造成其他用户无法正常工作
>2、在磁盘属性-->配额-->配额项中设置(默认不启用)
3、共享安全
1、配置共享文件
- 打开文件夹属性–>共享–>指定用户访问–>设置权限(NTFS权限与共享权限默认是一致的,可以分开)
组账户users不具有设置共享的权限
- 访问方式
* \\ip
* \\主机名
- 共享权限
* 读者
* 参与者
* 共有者
2、 共享安全
- 应关闭win默认开启的共享文件夹
- 应设置共享文件夹的访问权限,仅允许授权的账户共享此文件夹
4、服务及补丁安全
1、服务安全
- 应关闭不必要的服务
- 应确保系统时间与NTP服务器同步
2、补丁安全
- 应确保操作系统版本更新至最新
- 应确保业务不受影响的情况下及时更新操作系统补丁
5、防御机制和安全审计
1、日志审计
- 应合理配置系统日志审核策略
* 审核系统登陆事件 成功/失败
* 审核账户管理 成功/失败
* 审核登陆事件 成功/失败
* 审核对象访问 成功
* 审核策略更改 成功/失败
* 审核特权使用 成功/失败
* 审核系统事件 成功/失败
- 应设置日志存储规则,保证足够的日志存储空间
设置“日志大小上限”值为204800 KB(根据实际需求设置),在“达到日志大小上限时”勾选“按需要覆盖事件”
- 应更改日志默认存放路径
点击“开始->运行->Regedit->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application”的“File”子项更改日志默认存储路径
- 应定期对系统日志进行备份
1)建立日志备份管理机制,搭建日志备份存储服务器;
2)依据日志备份管理机制,定期对系统日志进行备份。
3)系统日志至少每3个月进行一次转储,并至少保存6个月。
2、防护机制
- 应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口
1)进入“控制面板->Windows 防火墙->常规”选择启用;
2)进入“控制面板->Windows 防火墙->例外”,在“例外->添加程序/添加端口”编辑允许接通讯的程序或端口,并指定ip地址或范围。
3)在开启Windows防火墙前,需要将远程登录端口和其它必需端口、服务添加至例外,否则会影响正常业务。
- 应安装由总部统一部署的防病毒软件,并及时更新。
1)安装总部统一部署的防病毒软件;
2)防病毒软件设置自动更新病毒库。
3)安装防病毒软件后,需确保防病毒的进程和服务未关闭。
6、登陆通信安全
- 应禁止远程访问注册表路径和子路径
- 应设置远程登陆账户的登陆超时时间为30分钟
- 应禁用匿名访问命名管道和共享
这只是以前学习的笔记,如在今后的工作中有新的,会更新此文章。
这篇关于win系统加固基础版---[曾经的笔记]的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
