2023年6月24日发(作者：)

bartender的安全策略不允许指定的⽤户执⾏此操作_操作系统安全规范之WindowsS。。。1、重要安全策略1.1、密码复杂度修改⽅法：在“运⾏”中输⼊“”打开组策略编辑器，浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。默认配置内容如下图：修改如下参数配置：“密码必须符合复杂性要求”，配置为“已启⽤”，要求复杂性。“密码长度最⼩值”，建议8或12。“强制密码历史”，配置5，最近5个密码不能使⽤。“密码最短存留期(使⽤期限)”，配置为1。“密码最长存留期(使⽤期限)”，配置为90。“⽤可还原的加密来存储密码”，已禁⽤。注意：若使⽤堡垒机登录windows，“密码最短存留期(使⽤期限)”和 “密码最长存留期(使⽤期限)”不改，保留原设置，修改该配置项可能会影响堡垒机的使⽤以及信息科对服务器的管理。1.2、账户锁定“”打开组策略编辑器，浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略帐户锁定策略”。默认配置内容如下图：帐户锁定时间，建议30分钟。帐户锁定阈值，建议5。重置帐户锁定计数器，建议30分钟。以上表⽰30分钟内有5次登录失败，锁定这个账户(不可登录)30分钟后解锁。1.3、 远程会话闲置⼀段时间后⾃动断开“”打开组策略编辑器，浏览路径“本地计算机配置”“管理模板”“windows组件”“远程桌⾯服务”“远程桌⾯会话主机”“会话时间限制”。默认配置内容如下图：修改配置内容：设置活动但空闲的远程桌⾯会话时间限制 已启⽤ 10分钟1.4、删除⽆⽤账户检查系统没有⽆⽤账户，windows禁⽤guest账户，根据实际需要修改administrator⽤户名为其他⽤户名。2、安全选项“”打开组策略编辑器，浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”。2.1、提⽰⽤户密码过期前修改的天数“”打开组策略编辑器，浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”，在右边窗格中找到“交互式登录: 提⽰⽤户在过期之前更改密码”，默认为5改为30。2.2、删除匿名访问的命名管道和共享默认已是空的，请配置时核对。“⽹络访问: 可匿名访问的命名管道”，配置为空。“⽹络访问: 可匿名访问的共享”，配置为空。2.3、关闭远程访问注册表“⽹络访问：可远程访问的注册表路径”，清空。“⽹络访问: 可远程访问的注册表路径和⼦路径”，清空。2.4、禁⽤guest账户“(帐户:)来宾帐户状态”，配置为“已禁⽤”，默认已经为已禁⽤，请配置时核对。2.5、 修改管理员账户名称注意：若不是公司维护的服务器，注意修改账户名导致不能登录。不确定则最好不要做修改。“(帐户:)重命名(系统)管理员帐户”，更改其默认设置“Administrator”(注意：若当前是以Administrator⽤户登录，则⽆法更改)。2.6、屏保启⽤密码Windows Server 2008及Windows Server 2012在控制⾯板->显⽰->更改屏幕保护程序。选择⼀个屏幕保护程序，将等待时间配置为不⼤于300秒，且勾选“在恢复时显⽰登录屏幕”。2.7、启⽤“关机清除虚拟内存页⾯⽂件”默认配置为“已禁⽤”，请修改为“已启⽤”2.8、不显⽰最后的⽤户名默认配置为“已禁⽤”，请修改为“已启⽤”3、关闭危险服务和端⼝“”打开系统服务，以下服务请停⽌，再设置为“⼿动”或“禁⽤”。a. 关闭Remote Registry。b. 关闭Server。这个服务⼀定要关闭，⼤部分攻击针对445，139，135端⼝，都是这个服务，⼀定要关闭。更改为⼿动。c. 关闭Shell Hardware Detection。d. 关闭Printer Spooler。e. 关闭DHCP Client。注意：先查看是否是dhcp动态ip，若是固定ip，服务中关闭dhcp client。若是⾃动获得ip，不能关闭dhcp client。若服务器是通过⾃动获得ip，dhcp client服务不能关闭。4、端⼝管理4.1、关闭445，135，137，138，139端⼝控制⾯板-管理⼯具-本地安全策略，ip安全策略，创建ip安全策略，阻⽌其他ip访问本机ip的危险端⼝。增加ip安全规则，添加规则，规则名任意(如关闭端⼝，封端⼝)：添加ip筛选器列表：源地址：任何ip地址。⽬标地址：我的ip地址。源端⼝：任何端⼝。⽬标端⼝：依次是445，135，137，138，139。设置筛选器操作为阻⽌：确定后，点右键-分配，策略已指派变成是。4.2、修改常⽤中间件默认端⼝(建议)所有中间件，数据库，web服务器的默认端⼝，容易被攻击者扫描利⽤，也会被安全公司扫描出漏洞报告，请修改默认端⼝，为⽅便记忆，建议默认端⼝号每位数字+1，以下举例常⽤：有条件的话修改远程端⼝(windows 3389，linux 22)为其他端⼝。5、系统保护5.1、 启⽤数据执⾏保护计算机-属性-⾼级系统设置-⾼级-性能-设置-数据执⾏保护，勾选“仅为基本Windows程序和服务启⽤DEP”。更改此配置需要重启系统才能⽣效。暂时不重启，设置就好。5.2、 安装杀毒软件安装杀毒软件，若有购买正版杀毒则直接采⽤，若没有，请使⽤免费的⽕绒安全软件，资源⼩效果好：/注意：不要使⽤360杀毒，360会留下后门导致本地端⼝被占满，应⽤⽆法对外服务。5.3、 密码保管以下密码保管的建议：a.每台服务器的登录密码满⾜复杂度，且各不相同。b.远程服务器(windows远程桌⾯，linux远程客户端，数据库客户端)⼯具禁⽌使⽤记住密码功能。c.将密码记录在本机的excel⽂档中，并加密。每次有登录需要时输⼊该excel⽂档密码，从⽂档中复制相应的密码到相应的客户端⼯具中登录，提⾼安全性。