win系统加固基础版---[曾经的笔记]

本文主要是介绍win系统加固基础版---[曾经的笔记]，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

1、账户安全

1、账户分配

1. 应为不同用户分配不同的权限
2. 每一个用户包含一个名称和一个密码
3. 用户账户拥有唯一的安全标识符（SID）

whoami /user    //查看用户标识

4. 应对administrator账户进行重命名，并禁用guest（来宾）账户
5. 应删除或锁定过期账户、无用账户

>1、进用户管理删除或锁定
>2、net user 账户  /del   //删除账户
>3、net user 账户 /active:no   //停用账户

2、账户权限

1. 应只允许指定授权账户对主机进行远程访问
2. 应按实际情况为各个账户分配最小权限

3、口令管理

1. 账号口令长度至少8位，且因包含数字、字母和特殊字符中至少2类的组合
2. 应设置口令最长使用期限小于90天
3. 应配置操作系统用户不能重复使用最近5次（包含5次）已使用过的口令
4. 应配置当用户连续认证失败5次，锁定该账户30分钟

2、文件安全

1、文件系统

1. 文件系统即在外部存储设备上组织文件的方法
2. 常见的文件系统

FAT
NTFS
EXT

3. NTFS文件系统的特点

>1、分配了正确的访问权限后，用户才能访问其资源
>2、设置权限防止资源被篡改、删除
>3、提高磁盘读写性能
>4、可靠性强（加密文件系统、访问控制列表）
>5、磁盘利用率（压缩、磁盘配额）

2. 更改文件权限格式

convert 盘:/FS:NTFS

3. 文件权限设置

>1、不同用户对不同文件设置不同的文件权限
>2、统一用户属于两个组，那么他会拥有两个组的文件权限
>3、拒绝权限是文件权限最高的权限

4. 文件加密（EFS）

>1、加密后的文件只有当前用户能读取（其他用户无法复制读取，如果是管理员可以删除）
>2、运行certmgr.msc查看加密证书；可以导出证书保存（如果证书泄露其他人也能解密文件并读取）
>3、通过3389远程登陆时可以操作加密文件，（负责到本地，可以读取文件内容,它会将证书自动复制到本地）

5. 磁盘配额

>1、限制指定用户能够使用的磁盘空间，避免因某个用户的过度使用磁盘造成其他用户无法正常工作
>2、在磁盘属性-->配额-->配额项中设置（默认不启用）

3、共享安全

1、配置共享文件

1. 打开文件夹属性–>共享–>指定用户访问–>设置权限（NTFS权限与共享权限默认是一致的，可以分开）

组账户users不具有设置共享的权限

2. 访问方式

* \\ip
* \\主机名

3. 共享权限

* 读者
* 参与者
* 共有者 

2、 共享安全

1. 应关闭win默认开启的共享文件夹
2. 应设置共享文件夹的访问权限，仅允许授权的账户共享此文件夹

4、服务及补丁安全

1、服务安全

1. 应关闭不必要的服务
2. 应确保系统时间与NTP服务器同步

2、补丁安全

1. 应确保操作系统版本更新至最新
2. 应确保业务不受影响的情况下及时更新操作系统补丁

5、防御机制和安全审计

1、日志审计

1. 应合理配置系统日志审核策略

* 审核系统登陆事件  成功/失败
* 审核账户管理   成功/失败
* 审核登陆事件   成功/失败
* 审核对象访问   成功
* 审核策略更改   成功/失败
* 审核特权使用   成功/失败
* 审核系统事件   成功/失败

2. 应设置日志存储规则，保证足够的日志存储空间

设置“日志大小上限”值为204800 KB（根据实际需求设置），在“达到日志大小上限时”勾选“按需要覆盖事件”

3. 应更改日志默认存放路径

点击“开始->运行->Regedit->HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Eventlog＼Application”的“File”子项更改日志默认存储路径

4. 应定期对系统日志进行备份

1）建立日志备份管理机制，搭建日志备份存储服务器；
2）依据日志备份管理机制，定期对系统日志进行备份。
3）系统日志至少每3个月进行一次转储，并至少保存6个月。

2、防护机制

1. 应启用系统自带防火墙，并根据业务需要限定允许通讯的应用程序或端口

1）进入“控制面板－>Windows 防火墙－>常规”选择启用；
2）进入“控制面板－>Windows 防火墙－>例外”，在“例外->添加程序/添加端口”编辑允许接通讯的程序或端口，并指定ip地址或范围。
3）在开启Windows防火墙前，需要将远程登录端口和其它必需端口、服务添加至例外，否则会影响正常业务。

2. 应安装由总部统一部署的防病毒软件，并及时更新。

1）安装总部统一部署的防病毒软件；
2）防病毒软件设置自动更新病毒库。
3）安装防病毒软件后，需确保防病毒的进程和服务未关闭。

6、登陆通信安全

1. 应禁止远程访问注册表路径和子路径
2. 应设置远程登陆账户的登陆超时时间为30分钟
3. 应禁用匿名访问命名管道和共享

这只是以前学习的笔记，如在今后的工作中有新的，会更新此文章。

这篇关于win系统加固基础版---[曾经的笔记]的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---