Windows 系统加固教程

前言：有些比赛就考到了系统加固，抽时间列了个大概，有时间真得好好研究并实操一下，书到用时方恨少。后续有时间的话写一篇实操。（本人实力有限，如有错误，恳请大佬指点改正）

一、引言

Windows 作为广泛使用的操作系统，面临着来自网络的各种安全威胁。系统加固是一系列旨在增强系统安全性、减少潜在攻击面和降低安全风险的操作。通过实施这些加固措施，可以显著提高 Windows 系统的安全性，保护数据和隐私，确保系统稳定可靠地运行。

二、用户账户管理

（一）强密码策略

密码复杂性要求：

启用密码复杂性策略，要求密码包含大写字母、小写字母、数字和特殊字符，例如：P@ssw0rd123。这样可以大大增加密码的破解难度。

在本地安全策略（secpol.msc）中，导航至 “账户策略”->“密码策略”，将 “密码必须符合复杂性要求” 设置为 “已启用”。

密码长度最小值：

建议设置密码长度最小值为 8 位或更长。更长的密码能够提供更高的安全性。同样在 “密码策略” 中，将 “密码长度最小值” 设置为合适的值，例如 8。

密码最长使用期限：

定期更改密码是一种良好的安全实践。设置密码最长使用期限，例如 90 天，强制用户定期更新密码，以减少因密码泄露导致的安全风险。在 “密码策略” 中，将 “密码最长使用期限” 设置为相应天数。

（二）账户锁定策略

账户锁定阈值：

设置账户在多次登录失败后锁定，以防止暴力破解密码攻击。例如，将账户锁定阈值设置为 5 次，即在 5 次连续登录失败后，账户将被锁定一段时间。在本地安全策略中，导航至 “账户策略”->“账户锁定策略”，将 “账户锁定阈值” 设置为 5。

账户锁定时间：

确定账户被锁定后的锁定时间，例如 30 分钟。这可以在一定程度上阻止攻击者持续尝试破解密码，同时也给管理员足够的时间来调查异常登录行为。在 “账户锁定策略” 中，将 “账户锁定时间” 设置为 30 分钟。

复位账户锁定计数器：

设置复位账户锁定计数器的时间间隔，例如 30 分钟。这意味着在经过 30 分钟后，如果没有再次发生登录失败事件，账户锁定计数器将被复位，用户可以再次尝试登录。在 “账户锁定策略” 中，将 “复位账户锁定计数器” 设置为 30 分钟。

（三）禁用不必要的账户

默认账户处理：

禁用或删除默认的 Windows 账户，如 “Guest” 账户。Guest 账户通常具有有限的权限，但如果被攻击者利用，仍然可能造成安全威胁。在计算机管理（compmgmt.msc）中，展开 “本地用户和组”->“用户”，右键单击 “Guest” 账户，选择 “属性”，勾选 “账户已禁用”。

非活动账户管理：

定期检查并禁用或删除长时间未使用的账户。这些账户可能成为攻击者的潜在入口点，因为它们的存在可能被忽视，且其密码可能已经泄露或容易被猜测。可以通过脚本或第三方工具来定期检查账户的最后登录时间，并采取相应的措施。

三、系统更新与补丁管理

（一）启用自动更新

Windows 更新设置：