高 Windows 系統的安全性,以下是一些建議的安全防護配置:
更新系統:及時安裝 Windows 操作系統的安全更新和補丁,確保系統處于最新的安全狀態。可以啟用自動更新功能,以便系統自動下載和安裝最新的補丁。
殺毒軟件和防火墻:安裝可信賴的殺毒軟件和防火墻,保護系統免受病毒、惡意軟件和網絡攻擊。定期更新病毒庫,并進行全盤掃描以確保系統的安全。
用戶賬戶控制:使用標準用戶賬戶進行日常操作,而不是使用管理員賬戶。這樣可以減少惡意軟件對系統的影響范圍,并避免對系統進行未經授權的更改。
強密碼:設置強密碼來保護用戶賬戶的安全。密碼應包含至少8個字符,并包括大小寫字母、數字和特殊字符。定期更改密碼,避免使用容易被猜到的密碼。
遠程桌面:如果不需要使用遠程桌面功能,應禁用或限制其訪問。如果需要使用遠程桌面,應啟用網絡級別的加密和身份驗證來保護遠程連接的安全。
文件和文件夾權限:定期檢查和更新文件和文件夾的權限,確保只有授權的用戶可以訪問敏感數據。避免給予不必要的權限,以減少潛在的安全風險。
定期備份:定期備份重要的文件和數據,以防止數據丟失或被惡意軟件加密。確保備份存儲在安全的位置,并測試恢復過程以驗證備份的有效性。
啟用防病毒掃描:啟用實時防病毒掃描功能,對下載的文件、電子郵件附件和可移動設備進行掃描,以及定期進行全盤掃描。
禁用自動運行:禁用自動運行功能,以防止可移動設備上的惡意軟件自動運行。手動選擇打開或運行可移動設備上的文件和程序。
教育用戶:提供安全意識培訓,教育用戶如何識別和應對網絡釣魚、惡意鏈接和其他網絡攻擊。強調用戶的責任和注意事項,提高整體的安全意識。
注冊表安全配置: 1.備份注冊表:在進行修改之前,務必備份注冊表,以防止意外情況發生。 2.限制訪問權限:根據需要,限制對注冊表的訪問權限。只允許管理員或特定用戶組訪問敏感的注冊表項。 3.禁用自動運行:通過修改注冊表設置,禁用自動運行功能,以減少惡意軟件的傳播。
審核策略安全配置: 1.強密碼策略:設置強密碼策略,要求用戶使用復雜的密碼,并定期更改密碼。 2.賬戶鎖定策略:配置賬戶鎖定策略,限制登錄失敗次數,以防止暴力破解攻擊。 3.事件審核策略:啟用適當的審核策略,記錄并監控系統事件和安全事件。
最小化安裝組件和程序: 1.最小化安裝:僅安裝必需的組件和程序,盡量減少不必要的軟件和服務,這樣可以減少攻擊面和系統資源消耗。 2.移除不必要的預裝軟件:檢查并卸載預裝的軟件,特別是那些您不需要或不使用的軟件。 3.定期更新和卸載:定期更新已安裝程序和組件,同時卸載不再需要的舊版本軟件,以減少已知漏洞的風險。
位置:
開始——管理工具——本地安全策略——賬戶策略——密碼策略。
加固設置:
(1)開啟密碼復雜度
(2)密碼長度最小值為8個字符
(3)密碼最短使用期限30天
(4)密碼最長使用期限90天
(5)強制密碼歷史5個
位置:
開始——管理工具——本地安全策略——賬戶策略——賬號鎖定策略。
加固設置:
(1)賬戶鎖定時間30分鐘
(2)賬戶鎖定閾值5次
(3)重置賬戶鎖定計算器10分鐘
位置:
開始——管理工具——本地安全策略——本地策略——用戶權限分配。
加固設置:
(1)關閉系統——在本地安全設置中只保留一個administrator。
(2)允許通過遠程桌面服務登錄——在本地安全設置中只保留一個administrator或者設定自己想添加的用戶。
(3)從遠程系統強制關機——在本地安全設置中只保留一個administrator。
(4)取得文件或其他對象的所有權——在本地安全設置中只保留一個administrator。
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——關機:允許系統在未登錄的情況下關閉。
加固設置:
(1)禁止未登錄關機
位置:
開始——管理工具——計算機管理——系統工具——本地用戶和組——用戶。
加固設置:
(1)重命名默認賬戶的administrator用戶名,例如:修改為admin007…
位置:
開始——管理工具——計算機管理——系統工具——本地用戶和組——用戶。
加固設置:
(1)刪除多余或僵尸賬戶,可以用命令:net user +用戶名 查詢該用戶的詳細信息。
(2)禁用Guest來賓賬戶。
位置:
運行——regedit——注冊表。
加固設置:
(1)修改TCP3389端口號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。
找到PortNumber選項,雙擊修改右邊基數為十進制,然后修改數值數據為:例如6666等…
(2)修改遠程桌面3389端口號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
找到PortNumber選項,雙擊修改右邊基數為十進制,然后修改數值數據為:例如6666等…
(3)重啟計算機
(4)進行遠程桌面時,需要在輸入的IP后面添加端口,例如:192.168.30.10:6666,就可以正常訪問了。
位置:
開始——管理工具——本地安全策略——本地策略——審核策略。
加固設置:
(1)審核策略更改 修改為:成功,失敗
(2)審核登錄事件 修改為:成功,失敗
(3)審核對象訪問 修改為:成功,失敗
(4)審核進程跟蹤 修改為:成功,失敗
(5)審核目錄訪問訪問 修改為:成功,失敗
(6)審核特權使用 修改為:成功,失敗
(7)審核系統事件 修改為:成功,失敗
(8)審核賬戶登錄事件 修改為:成功,失敗
(9)審核賬戶管理 修改為:成功,失敗
位置:
開始——管理工具——事件查看器——windows日志——依此操作:“應用程序,系統,安全”。
加固設置:
(1)日志屬性 —常規——日志最大大小為:200M約等于204800kb
(2)添加日志服務器,把日志上傳到日志服務器中,便于能夠及時發現問題,具體的可以根據不通的日志服務器進行相應的操作,如果購買日志審計,可以讓設備廠商幫忙添加。
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——交互式登錄:不顯示最后的用戶名。
加固設置:
(1)屬性——修改為:已啟用
位置:
開始——管理工具——本地安全策略——本地策略——安全選項——關機:清除虛擬內存頁面文件。
加固設置:
(1)屬性——修改為:已啟用
位置:
開始—控制面板——顯示——更改屏幕保護程序
加固設置:
(1)設定屏幕保護程序,等待時間為10分鐘,選擇在恢復時顯示登錄屏幕。
位置:
運行——gpedit.msc——計算機配置——管理模板——windows組件——遠程桌面服務——遠程桌面會話主機——會話時間限制——設置活動但空閑的遠程桌面服務會話的時間限制。
加固設置:
(1)設置已啟用,空閑會話限制為10分鐘。
位置:
win+r打開運行——輸入Firewall.cpl——打開防火墻
加固設置:
(1)設置開啟防火墻。
(2)在高級設置入站規則中設定阻斷高危端口,如:高危端口:TCP:135,137,445,593,1025 UDP:135,137,138,445
注:入站規則與出站規則設定比較簡單,就不細說如何設定。
位置:
開始——管理工具——本地安全策略——IP安全策略,在本地計算機
注意:此策略是在防火墻被關閉的情況下使用,防火墻關閉后,入站進站策略不起作用,所以使用IP安全策略。
注意:檢查服務中的:“IPSEC Policy Agent” 服務必須在啟動狀態,在任務管理器中的服務顯示的名稱為:PolicyAgent。
加固設置:
(1)右擊“IP安全策略,在本地計算機”,選擇“創建IP安全策略”,然后出現“IP安全策略向導”點擊下一步,名稱改一下,然后一直下一步,直到完成。(注:如果有讓選擇“激活默認響應規則”不要選擇)。
(2)彈出的窗口先關閉。
(3)繼續右擊“IP安全策略,在本地計算機”,選擇“管理IP篩選器列表和篩選器操作”,第一個界面為:管理IP篩選器列表。點擊左下角添加。
(4)彈出的為:IP篩選器列表,修改一下名稱。(注:不要使用“添加向導”),然后點擊靠右邊中間的添加。
(5)點擊添加后彈出的為:IP篩選器屬性,先點擊地址,源地址選擇:任何IP地址,目的地址選擇:我的IP地址。注:下面的“鏡像與源和目標地址正好相反的數據包匹配”,把√號取消)。
(6)點擊協議,然后點擊選擇協議類型,選擇TCP協議,設置IP協議端口,第一排選擇:從任意端口,第二排選擇:到此端口,填寫139。
(7)點擊確認,點完后應該在IP篩選器列表這個界面,可以在列表中看到剛剛添加的,(注:如果需要描述也可以描述一下,如果還想添加UDP的話,同樣的操作)。確認添加的沒問題后點擊確定。
(8)此時應該回到了管理IP篩選器列表和篩選器操作這個界面,這時選擇第二個界面:管理篩選器操作。
(9)把下面使用“添加向導取消”,然后點擊添加。
(10)此時界面是:新篩選器操作屬性。安全辦法選擇:阻止。常規中修改一下名稱,不要默認,以防忘記。填寫好后,先點擊應用,再點擊確定。
(11)此時也可以在管理篩選器操作的列表中看到剛剛添加的。然后把:管理IP篩選器列表和篩選器操作這個界面關閉。
(12)點擊剛剛界面上的IP安全策略,會在右邊看到剛剛第(1)步創建的IP安全策略。然后右擊選擇屬性。
(13)在規則中選擇添加,(注:取消右下角的使用添加向導),
(14)彈出來的第一個界面點擊下一步,第二個界面選擇:此規則不指定隧道,然后下一步,第三個界面選擇:所有網絡連接,然后下一步,第四個界面是IP篩選器列表,選擇剛剛已經創建好的IP篩選器,然后下一步,第五個界面是篩選器操作,選擇剛剛創建好的篩選器操作。然后下一步,就完成了。(注:不需要選擇編輯屬性)
(15)然后在剛剛:IP安全規則中能看到剛剛選擇的,然后點擊應用,最后點擊確定。
(16)然后再次右擊選擇剛剛的:IP安全策略,選擇第一個分配。
(17)然后測量,使用另外一臺電腦telnet + IP +端口 我測試的虛擬機為 telnet 192.168.30.10 139。如果進不去就設置成功了
(18)未成功檢查服務是否正常運行,或者在打開CMD輸入:gpupdate /force
方案:
(1)購買企業版殺毒軟件進行安全,并設定相應的規則。
(2)員工電腦,如若未購買專業的殺毒軟件,推薦:火絨殺毒,卡巴斯基等等
方案:
(1)員工電腦可開啟自動更新。
(2)服務器等重要資產補丁,根據相應的漏洞進行更新,在更新之前應做好系統備份,并且做相應的測試。