windows安全加固

# windows安全加固

最大的安全=最小的权限+最少的服务（端口）

三权分立：系统管理员sys、审计员audit、安全员sec，三个都没有最高权限

### 账户

```
禁用Guest账户（本地用户和组lusrmgr.msc）
禁用或删除其他账户（建议先禁用账户一段时间，待确认没有问题后、删除）
设定不同的用户和用户组。例如，管理员用户、数据库用户、审计用户、来宾用户等。
```

```
用户登陆
启用交互式登录：不显示最后的用户名
```

### 口令

```
密码复杂度
账户锁定策略

```

### 口令-授权

```
远程关机
本地关机
用户权限指派
授权帐户从网络访问
授权帐户登录
```

### SYN泛洪攻击保护

```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

值名称：SynAttackProtect
建议值： 2
有效值： 0 – 2

值名称：TcpMaxPortsExhausted
建议值： 5
有效值： 0 – 65535

值名称：TcpMaxHalfOpen
建议的数值数据： 500
有效值： 100 – 65535

值名称：TcpMaxHalfOpenRetried
建议的数值数据： 400
有效值： 80 – 65535
```

###  共享文件夹及访问权限

```
①关闭默认共享:非域环境中，关闭Windows默认共享，例如C$，D$。
②共享文件夹授权访问:每个共享文件夹的共享权限，只允许授权的帐户拥有共享此文件夹的权限。不要设置成为 Everyone。
```

### 禁用TCP/IP上的NetBIOS协议

```
可以关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口

①禁用TCP/IP NetBlOS Helper服务
②在网络连接属性中，双击 Internet协议版本4（TCP/IPv4），单击 高级。
在 WINS 页签中，进行配置

```