前沿拓展:
1、重要安全策略1.1、密码复杂度
修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。
默认配置内容如下图:
修改如下参数配置:
“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。
“密码长度最小值”,建议8或12。
“强制密码历史”,配置5,最近5个密码不能使用。
“密码最短存留期(使用期限)”,配置为1。
“密码最长存留期(使用期限)”,配置为90。
“用可还原的加密来存储密码”,已禁用。
注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。
1.2、账户锁定
“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略帐户锁定策略”。
默认配置内容如下图:
帐户锁定时间,建议30分钟。
帐户锁定阈值,建议5。
重置帐户锁定计数器,建议30分钟。
以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。
1.3、 远程会话闲置一段时间后自动断开
“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”“管理模板”“windows组件”“远程桌面服务”“远程桌面会话主机”“会话时间限制”。
默认配置内容如下图:
修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟
1.4、删除无用账户
检查系统没有无用账户,windows禁用guest账户,根据实际需要修改administrator用户名为其他用户名。
2、安全选项
“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”。
2.1、提示用户密码过期前修改的天数
“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”,在右边窗格中找到“交互式登录: 提示用户在过期之前更改密码”,默认为5改为30。
2.2、删除匿名访问的命名管道和共享
默认已是空的,请配置时核对。
“网络访问: 可匿名访问的命名管道”,配置为空。
“网络访问: 可匿名访问的共享”,配置为空。
2.3、关闭远程访问注册表
“网络访问:可远程访问的注册表路径”,清空。
“网络访问: 可远程访问的注册表路径和子路径”,清空。
2.4、禁用guest账户
“(帐户:)来宾帐户状态”,配置为“已禁用”,默认已经为已禁用,请配置时核对。
2.5、 修改管理员账户名称
“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。
2.6、屏保启用密码
Windows Server 2008及Windows Server 2012在控制面板->显示->更改屏幕保护程序。选择一个屏幕保护程序,将等待时间配置为不大于300秒,且勾选“在恢复时显示登录屏幕”。
2.7、启用“关机清除虚拟内存页面文件”
默认配置为“已禁用”,请修改为“已启用”
2.8、不显示最后的用户名
默认配置为“已禁用”,请修改为“已启用”
3、关闭危险服务和端口
“services.msc”打开系统服务,以下服务请停止,再设置为“手动”或“禁用”。
a. 关闭Remote Registry。
b. 关闭Server。
这个服务一定要关闭,大部分攻击针对445,139,135端口,都是这个服务,一定要关闭。更改为手动。
c. 关闭Shell Hardware Detection。
d. 关闭Printer Spooler。
e. 关闭DHCP Client。
注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是自动获得ip,不能关闭dhcp client。
若服务器是通过自动获得ip,dhcp client服务不能关闭。
4、端口管理4.1、关闭445,135,137,138,139端口
控制面板-管理工具-本地安全策略,ip安全策略,创建ip安全策略,阻止其他ip访问本机ip的危险端口。
增加ip安全规则,添加规则,规则名任意(如关闭端口,封端口):
添加ip筛选器列表:
源地址:任何ip地址。
目标地址:我的ip地址。
源端口:任何端口。
目标端口:依次是445,135,137,138,139。
设置筛选器**作为阻止:
确定后,点右键-分配,策略已指派变成是。
4.2、修改常用中间件默认端口(建议)
所有中间件,数据库,web服务器的默认端口,容易被攻击者扫描利用,也会被安全公司扫描出漏洞报告,请修改默认端口,为方便记忆,建议默认端口号每位数字+1,以下举例常用:
有条件的话修改远程端口(windows 3389,linux 22)为其他端口。
5、系统保护5.1、 启用数据执行保护
计算机-属性-高级系统设置-高级-性能-设置-数据执行保护,勾选“仅为基本Windows程序和服务启用DEP”。
更改此配置需要重启系统才能生效。暂时不重启,设置就好。
5.2、 安装杀毒软件
安装杀毒软件,若有购买正版杀毒则直接采用,若没有,请使用免费的火绒安全软件,资源小效果好:
https://www.huorong.cn/person5.html
注意:不要使用360杀毒,360会留下后门导致本地端口被占满,应用无法对外服务。
5.3、 密码保管
以下密码保管的建议:
a.每台服务器的登录密码满足复杂度,且各不相同。
b.远程服务器(windows远程桌面,linux远程客户端,数据库客户端)工具禁止使用记住密码功能。
c.将密码记录在本机的excel文档中,并加密。每次有登录需要时输入该excel文档密码,从文档中**相应的密码到相应的客户端工具中登录,提高安全性。
拓展知识:
原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/78727.html
相关推荐
-
b主机电源频道没电(电脑主机电源有电但无法启动)
b主机电源频道没电(电脑主机电源有电但无法启动) 老铁们好啊,今天小编给大家分享下我们在使用电脑过程中会遇到的一些问题故障该如何处理,热门游戏电脑配置需求,电脑使用的一些小技巧等内…
-
微软windows7(微软Windows7纯净旗舰版)
前沿拓展: 微软windows7 win7系统最高支持Intel六代cpu。win7桌面端**作系统Window及商业工作环境的笔记本电脑、多媒体中心等使用。Windows7继承了…
-
海盗船内存简介(海盗船内存属于什么档次)
海盗船内存简介 海盗船是传说中的罪恶之舟,而它的内存则是该船的核心组成部分。海盗船的内存与一般船只的内存不同,它需要具有特殊的性能和功能。本文将介绍海盗船内存的功能、特点和使用方式…
-
联想s10升级方案,联想s10升级方案推荐
大家好,今天来为大家解答联想s10升级方案,联想s10升级方案推荐这个问题的一些问题点,包括联想s10升级方案,联想s10升级方案推荐也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下
-
ca1594(CA1594航班实时动态)
前沿拓展: ca1594 直达不用转机的有3班:**国航CA1594 波音737(中)20:20 21:35莱山机场–来自首都机场**国航官网¥690 9.3折¥641…
-
e31260l怎么样,e31260l性能表现简析
E31260L是一款应用于服务器领域的处理器,其主要特点是低功耗和较高的性能表现。该处理器采用了四个物理核心、8个线程设计,基础主频为2.4GHz,最高睿频为3.3GHz,支持In…
-
华硕上门维修(华硕上门维修服务)
华硕上门维修(华硕上门维修服务) 老铁们好啊,今天小编给大家分享下我们在使用电脑过程中会遇到的一些问题故障该如何处理,热门电脑游戏需求配置,电脑使用的一些小技巧 四内存(四内存插槽…
-
联想t450加装固态硬盘(联想t450加装固态硬盘图解)
大家好,感谢邀请,今天来为大家分享一下联想t450加装固态硬盘(联想t450加装固态硬盘图解)的问题,以及和联想t450加装固态硬盘(联想t450加装固态硬盘图解)的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!无折腾不玩机,小伙花百
-
电脑新主机怎么安装(电脑主机怎么安装插线)
准备工作 在开始安装电脑新主机之前,需要准备一些工具和材料。第一要确认主机板和其他硬件设备的兼容性,并购买合适的主机板。其他需要的工具和材料有:螺丝刀、电源线、硅胶导热膏、显示器、…
-
2009年戴尔笔记本型号(戴尔所有笔记本型号和图)
2009年戴尔笔记本型号(戴尔所有笔记本型号和图) 老铁们好啊,今天小编给大家解决电脑和笔记本电脑常见的问题和故障及其处理办法 2022商务笔记本电脑推荐(笔记本电脑排行榜2022…