賬戶

默認賬戶安全

禁用Guest賬戶。

禁用或刪除其他無用賬戶（建議先禁用賬戶三個月，待確認沒有問題后刪除。）

1.Guest賬戶為臨時賬戶，但是該賬戶允許用戶登錄到網絡、瀏覽internet以及關閉計算機。黑客可以通過guest用戶提權到administrator組得到管理員權限，進行后滲透。

2防止提權

3因為直接刪除，有些正常用戶就無法使用了，為了避免影響業務所以先禁用三個月，在三個月之內需要使用的用戶發現異常會聯系你，也就知道哪些是正常用戶哪些該用戶該刪除。

實操

打開 計算機 > 管理 >?? 本地用戶和組 > 用戶中（家庭版這里沒有），雙擊 Guest 帳戶，在屬性中選中 帳戶已禁用，單擊 確定。

?按照用戶分配帳戶 ?按照用戶分配帳戶。根據業務要求，設定不同的用戶和用戶組。例如，管理員用戶，數據庫用戶，審計用戶，來賓用戶等。 ?打開 計算機 > 管理 >?? 本地用戶和組 > 用戶中，根據您的業務要求設定不同的用戶和用戶組，包括管理員用戶、數據庫用戶、審計用戶、來賓用戶等。

?口令

?cmd下secpol.msc ?密碼復雜度 ?密碼復雜度要求必須滿足以下策略： ? ?最短密碼長度要求八個字符。 ?啟用本機組策略中密碼必須符合復雜性要求的策略。 ?即密碼至少包含以下四種類別的字符中的兩種： ?英語大寫字母 A, B, C, … Z ?英語小寫字母 a, b, c, … z ?西方阿拉伯數字 0, 1, 2, … 9 ?非字母數字字符，如標點符號，@, #, $, %, &, *等 ?操作步驟 ? ?打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，確認 密碼必須符合復雜性要求 策略已啟用。 ? ?密碼最長留存期 ?對于采用靜態口令認證技術的設備，帳戶口令的留存期不應長于90天。 ? ?操作步驟打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，配置 密碼最長使用期限 不大于90天。 ?帳戶鎖定策略 ?對于采用靜態口令認證技術的設備，應配置當用戶連續認證失敗次數超過10次后，鎖定該用戶使用的帳戶。 ? ?操作步驟 ? ?打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 帳戶鎖定策略 中，配置 帳戶鎖定閾值 不大于10次。

授權

?遠程關機 ?在本地安全設置中，從遠端系統強制關機權限只分配給Administrators組。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 從遠端系統強制關機 權限只分配給Administrators組。 ?本地關機在本地安全設置中關閉系統權限只分配給Administrators組。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 關閉系統 權限只分配給Administrators組。 ?用戶權限指派 ?在本地安全設置中，取得文件或其它對象的所有權權限只分配給Administrators組。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 取得文件或其它對象的所有權 權限只分配給Administrators組。 ?授權帳戶登錄 ?在本地安全設置中，配置指定授權用戶允許本地登錄此計算機。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 允許本地登錄 權限給指定授權用戶。 ?授權帳戶從網絡訪問 ?在本地安全設置中，只允許授權帳號從網絡訪問（包括網絡共享等，但不包括終端服務）此計算機。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 從網絡訪問此計算機 權限給指定授權用戶。 日志配置操作 ?審核登錄 ?設備應配置日志功能，對用戶登錄進行記錄。記錄內容包括用戶登錄使用的帳戶、登錄是否成功、登錄時間、以及遠程登錄時、及用戶使用的IP地址。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核登錄事件。 ?審核策略 ?啟用本地安全策略中對Windows系統的審核策略更改，成功和失敗操作都需要審核。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核策略更改。 ?審核對象訪問 ?啟用本地安全策略中對Windows系統的審核對象訪問，成功和失敗操作都需要審核。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核對象訪問。 ?審核事件目錄服務訪問 ?啟用本地安全策略中對Windows系統的審核目錄服務訪問，僅需要審核失敗操作。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核目錄服務器訪問。 ?審核特權使用 ?啟用本地安全策略中對Windows系統的審核特權使用，成功和失敗操作都需要審核。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核特權使用。 ?審核系統事件

啟用本地安全策略中對Windows系統的審核系統事件，成功和失敗操作都需要審核。

?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核系統事件。 ?審核帳戶管理 ?啟用本地安全策略中對Windows系統的審核帳戶管理，成功和失敗操作都要審核。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核帳戶管理。 ?審核過程追蹤 ?啟用本地安全策略中對Windows系統的審核進程追蹤，僅失敗操作需要審核。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核進程追蹤。 ?日志文件大小 ?設置應用日志文件大小至少為 8192 KB，可根據磁盤空間配置日志文件大小，記錄的日志越多越好。并設置當達到最大的日志尺寸時，按需要輪詢記錄日志。 ?操作步驟 ?打開 控制面板 > 管理工具 > 事件查看器，配置應用日志、系統日志、安全日志屬性中的日志大小，以及設置當達到最大的日志尺寸時的相應策略。 IP協議安全配置 ?IP協議安全 ?啟用SYN攻擊保護 ?啟用SYN攻擊保護。 ? ?指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5。 ?指定處于 SYN_RCVD 狀態的 TCP 連接數的閾值為500。 ?指定處于至少已發送一次重傳的 SYN_RCVD 狀態中的 TCP 連接數的閾值為400。 ?操作步驟 ?打開 注冊表編輯器，根據推薦值修改注冊表鍵值。 ?Windows Server 2012 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect ?推薦值：2 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen ?推薦值：500 ?Windows Server 2008 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect ?推薦值：2 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted ?推薦值：5 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen ?推薦值：500 ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried ?推薦值：400 文件權限 ?共享文件夾及訪問權限 ?關閉默認共享 ?非域環境中，關閉Windows硬盤默認共享，例如C$，D$。 ?操作步驟 ?打開 注冊表編輯器，根據推薦值修改注冊表鍵值。 ?注意： Windows Server 2012版本已默認關閉Windows硬盤默認共享，且沒有該注冊表鍵值。 ?HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer ?推薦值： 0 ?共享文件夾授權訪問 ?每個共享文件夾的共享權限，只允許授權的帳戶擁有共享此文件夾的權限。 ?操作步驟 ?每個共享文件夾的共享權限僅限于業務需要，不要設置成為 Everyone。打開 控制面板 > 管理工具 > 計算機管理，在 共享文件夾 中，查看每個共享文件夾的共享權限。

?服務安全

?禁用TCP/IP上的NetBIOS ?禁用TCP/IP上的NetBIOS協議，可以關閉監聽的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口。 ?操作步驟 ?在 計算機管理 > 服務和應用程序 > 服務 中禁用 TCP/IP NetBIOS Helper 服務。 ?在網絡連接屬性中，雙擊 Internet協議版本4（TCP/IPv4），單擊 高級。在 WINS 頁簽中，進行如下設置： ?禁用不必要的服務 ?禁用不必要的服務，請參考：

安全選項?

? 啟用安全選項 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，進行如下設置： ? 禁用未登錄前關機 ?服務器默認是禁止在未登錄系統前關機的。如果啟用此設置，服務器安全性將會大大降低，給遠程連接的黑客造成可乘之機，強烈建議禁用未登錄前關機功能。 ? ?操作步驟 ? ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，禁用 關機：允許系統在未登錄前關機 策略。

運行->

secpol.msc?? 本地安全策略

事件查看器?? eventvwr.msc

查看關鍵的日志，查看是否關機

通過系統?? 級別排序，可以知道是否強制關機、重啟過

通過任務類別排序

任務類別為（1）的為開機，（2）為系統關機，（10）的磁盤運轉，（100）為電源更改，（101）EFI時區更改，

（1014）在沒有配置的 DNS 服務器響應之后，名稱 wpad 的名稱解析超時，（157）系統正在進入連接待機狀態 ，（158）系統正在退出連接待機狀態，（223）usb設備的彈出，（31）

查看用戶審計是否單獨組

Sercie.msc

關閉不必要的服務

技巧：先啟動類型排序，其次運行狀態排序

查看高危端口：netstat -ano

其狀態為接聽

這種狀態為已建立鏈接

?firewall.cpl

防火墻是否啟用

可以看到一個高級設置，找到出站入站規則。

查看系統補丁（修補程序）

Systeminfo

?禁用賬戶

設定閾值

本地安全策略 中的審核策略

防火墻設置

網絡列表策略器

高級審核策略配置

?防病毒管理 ?Windows系統需要安裝防病毒軟件。 ?操作步驟 ?安裝企業級防病毒軟件，并開啟病毒庫更新及實時防御功能。 ? ?7.2 設置屏幕保護密碼和開啟時間 ?設置從屏幕保護恢復時需要輸入密碼，并將屏幕保護自動開啟時間設定為五分鐘。 ?操作步驟 ?啟用屏幕保護程序，設置等待時間為 5分鐘，并啟用 在恢復時使用密碼保護。 ? ?7.3 限制遠程登錄空閑斷開時間 ?對于遠程登錄的帳戶，設置不活動超過時間15分鐘自動斷開連接。 ?操作步驟 ?打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，設置 Microsoft網絡服務器：暫停會話前所需的空閑時間數量 屬性為15分鐘。 ? ?7.4 操作系統補丁管理 ?安裝最新的操作系統Hotfix補丁。安裝補丁時，應先對服務器系統進行兼容性測試。 ? ?操作步驟 ?安裝最新的操作系統Hotfix補丁。安裝補丁時，應先對服務器系統進行兼容性測試。 ?注意：對于實際業務環境服務器，建議使用通知并自動下載更新，但由管理員選擇是否安裝更新，而不是使用自動安裝更新，防止自動更新補丁對實際業務環境產生影響。

總結

以上是生活随笔為你收集整理的windows主机加固和评测的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。