Windows系统安全加固

Windows系统安全加固

免责声明：本教程作者及相关参与人员对于任何直接或间接使用本教程内容而导致的任何形式的损失或损害，包括但不限于数据丢失、系统损坏、个人隐私泄露或经济损失等，不承担任何责任。所有使用本教程内容的个人或组织应自行承担全部风险。

一、身份鉴别

1.密码安全策略

位置： 开始—>管理工具—>本地安全策略—>账户策略—>密码策略。 加固设置： （1）开启密码复杂度:使用数字、大小写字母、特殊符号等

（2）密码长度最小值为8个字符

（3）密码最短使用期限30天

（4）密码最长使用期限90天

（5）强制密码历史5个

2.账户锁定策略

位置： 开始—>管理工具—>本地安全策略—>账户策略—>账号锁定策略。 加固设置：

（1）账户锁定时间30分钟

（2）账户锁定阈值5次

（3）重置账户锁定计算器10分钟

二、访问控制

1.用户权限分配

位置： 开始—>管理工具—>本地安全策略—>本地策略—>用户权限分配。 加固设置： （1）关闭系统—>在本地安全设置中只保留一个administrator。

（2）允许通过远程桌面服务登录—>在本地安全设置中只保留一个administrator或者设定自己想添加的用户。

（3）从远程系统强制关机—>在本地安全设置中只保留一个administrator。

（4）取得文件或其他对象的所有权—>在本地安全设置中只保留一个administrator。

2.禁止未登录前关机

位置： 开始—>管理工具—>本地安全策略—>本地策略—>安全选项—>关机：允许系统在未登录的情况下关闭。 加固设置：

（1）禁止未登录关机

3.重命名默认账户

位置： 开始—>管理工具—>计算机管理—>系统工具—>本地用户和组—>用户。 加固设置：

（1）重命名默认账户的administrator用户名，例如：修改为admin007…

4.删除多余的账户

位置： 开始—>管理工具—>计算机管理—>系统工具—>本地用户和组—>用户。 加固设置：

（1）删除多余或僵尸账户，可以用命令：net user +用户名 查询该用户的详细信息。

（2）禁用Guest来宾账户。

5.重命名远程桌面3389端口号

位置： 运行—>regedit—>注册表。 加固设置：

（1）修改TCP3389端口号：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。 找到PortNumber选项，双击修改右边基数为十进制，然后修改数值数据为：例如6666等…

（2）修改远程桌面3389端口号：HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp

找到PortNumber选项，双击修改右边基数为十进制，然后修改数值数据为：例如6666等…

（3）重启计算机

（4）进行远程桌面时，需要在输入的IP后面添加端口，例如：192.168.30.10:6666，就可以正常访问了。

三、安全审计

1.审核策略设置

位置：

开始—>管理工具—>本地安全策略—>本地策略—>审核策略。

加固设置：

（1）审核策略更改 修改为：成功，失败

（2）审核登录事件 修改为：成功，失败

（3）审核对象访问 修改为：成功，失败

（4）审核进程跟踪 修改为：成功，失败

（5）审核目录访问访问 修改为：成功，失败

（6）审核特权使用 修改为：成功，失败

（7）审核系统事件 修改为：成功，失败

（8）审核账户登录事件 修改为：成功，失败

（9）审核账户管理 修改为：成功，失败

2.安全日志属性设置

位置：

开始—>管理工具—>事件查看器—>windows日志—>依此操作：“应用程序，系统，安全”。

加固设置：

（1）日志属性 —常规—>日志最大大小为：200M约等于204800kb

（2）添加日志服务器，把日志上传到日志服务器中，便于能够及时发现问题，具体的可以根据不通的日志服务器进行相应的操作，如果

购买日志审计，可以让设备厂商帮忙添加。

四、信息保护

1.不记住用户名和密码

位置：

开始—>管理工具—>本地安全策略—>本地策略—>安全选项—>交互式登录：不显示最后的用户名。

加固设置： （1）属性—>修改为：已启用

2.清理内存信息

位置：

开始—>管理工具—>本地安全策略—>本地策略—>安全选项—>关机：清除虚拟内存页面文件。

加固设置：

（1）属性—>修改为：已启用

五、系统资源控制

1.屏幕保护

位置：

开始—控制面板—>显示—>更改屏幕保护程序

加固设置：

（1）设定屏幕保护程序，等待时间为10分钟，选择在恢复时显示登录屏幕。

2.会话超时锁定

位置：

运行—>gpedit.msc—>计算机配置—>管理模板—>windows组件—>远程桌面服务—>远程桌面会话主机—>会话时间限制—>设置活动但

空闲的远程桌面服务会话的时间限制。

加固设置：

（1）设置已启用，空闲会话限制为10分钟。

六、入侵防御

1.防火墙控制

位置：

win+r打开运行—>输入Firewall.cpl—>打开防火墙

加固设置：

（1）设置开启防火墙。

（2）在高级设置入站规则中设定阻断高危端口，如：高危端口：TCP：135，137，445，593，1025 UDP：135，137，138，445

注：入站规则与出站规则设定比较简单，就不细说如何设定。

2.IP安全策略

位置：

开始—>管理工具—>本地安全策略—>IP安全策略，在本地计算机

注意：此策略是在防火墙被关闭的情况下使用，防火墙关闭后，入站进站策略不起作用，所以使用IP安全策略。

注意：检查服务中的：“IPSEC Policy Agent” 服务必须在启动状态，在任务管理器中的服务显示的名称为：PolicyAgent。

加固设置：

（1）右击“IP安全策略，在本地计算机”，选择“创建IP安全策略”，然后出现“IP安全策略向导”点击下一步，名称改一下，然后一直下一

步，直到完成。（注：如果有让选择“激活默认响应规则”不要选择）。

（2）弹出的窗口先关闭。

（3）继续右击“IP安全策略，在本地计算机”，选择“管理IP筛选器列表和筛选器操作”，第一个界面为：管理IP筛选器列表。点击左下角添

加。

（4）弹出的为：IP筛选器列表，修改一下名称。（注：不要使用“添加向导”），然后点击靠右边中间的添加。

（5）点击添加后弹出的为：IP筛选器属性，先点击地址，源地址选择：任何IP地址，目的地址选择：我的IP地址。注：下面的“镜像与源

和目标地址正好相反的数据包匹配”，把√号取消）。

（6）点击协议，然后点击选择协议类型，选择TCP协议，设置IP协议端口，第一排选择：从任意端口，第二排选择：到此端口，填写

139。

（7）点击确认，点完后应该在IP筛选器列表这个界面，可以在列表中看到刚刚添加的，（注：如果需要描述也可以描述一下，如果还想

添加UDP的话，同样的操作）。确认添加的没问题后点击确定。

（8）此时应该回到了管理IP筛选器列表和筛选器操作这个界面，这时选择第二个界面：管理筛选器操作。

（9）把下面使用“添加向导取消”，然后点击添加。

（10）此时界面是：新筛选器操作属性。安全办法选择：阻止。常规中修改一下名称，不要默认，以防忘记。填写好后，先点击应用，再

点击确定。 （11）此时也可以在管理筛选器操作的列表中看到刚刚添加的。然后把：管理IP筛选器列表和筛选器操作这个界面关闭。

（12）点击刚刚界面上的IP安全策略，会在右边看到刚刚第（1）步创建的IP安全策略。然后右击选择属性。

（13）在规则中选择添加，（注：取消右下角的使用添加向导），

（14）弹出来的第一个界面点击下一步，第二个界面选择：此规则不指定隧道，然后下一步，第三个界面选择：所有网络连接，然后下一

步，第四个界面是IP筛选器列表，选择刚刚已经创建好的IP筛选器，然后下一步，第五个界面是筛选器操作，选择刚刚创建好的筛选器操

作。然后下一步，就完成了。（注：不需要选择编辑属性）

（15）然后在刚刚：IP安全规则中能看到刚刚选择的，然后点击应用，最后点击确定。

（16）然后再次右击选择刚刚的：IP安全策略，选择第一个分配。

（17）然后测量，使用另外一台电脑telnet + IP +端口 我测试的虚拟机为 telnet 192.168.30.10 139。如果进不去就设置成功了

（18）未成功检查服务是否正常运行，或者在打开CMD输入：gpupdate /force

3.安装杀毒软件

方案：

（1）购买企业版杀毒软件进行安全，并设定相应的规则。

（2）员工电脑，如若未购买专业的杀毒软件，推荐：火绒杀毒，卡巴斯基等等

七、系统补丁更新

方案：

（1）员工电脑可开启自动更新。

（2）服务器等重要资产补丁，根据相应的漏洞进行更新，在更新之前应做好系统备份，并且做相应的测试。

注意：在实际系统环境中主要更新漏洞补丁，并不一定任何补丁都需要安装。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！