1.禁用Guest账户和无关账户Guest账户为黑客入侵打开了大门。黑客可以使用Guest帐户来提升他们的权限。禁用来宾帐户是最佳选择。操作过程:进入“控制面板->管理工具->计算机管理->本地用户和组->用户->访客”“帐户已禁用”勾选启用加固:2.密码策略加强操作系统和用户身份验证信息应具有不易被冒用的特点,密码应复杂并定期更换。操作过程:进入“控制面板->管理工具->本地安全策略”,在“账户策略->密码策略”中;“密码必须满足复杂性要求”设置为“启用”,“密码最小长度”设置为“8个字符”,“密码最长使用期限”设置为“90天”,“强制密码历史记录”设置为“记住5个密码””和“使用可逆加密存储密码”设置为“禁用”加固前:加固后:3.增强账户锁定策略对于使用静态密码认证技术的设备,应配置当用户认证失败5次以上时连续(不包括5次),该用户使用的账号应被锁定。操作过程:进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”中:“帐户金额锁定阈值”设置为5次,“帐户锁定时间”设置为15分钟“Resetaccountlockoutcounter”设置为15分钟加固前:加固后4.设置安全审计在主机的审计策略上设置日志审计策略操作过程:进入“控制面板->管理工具->本地SecurityPolicy”,在Policies->AuditPolicies”中对主机的审计策略设置日志审计策略:审计账户登录事件:成功、失败审计账户管理:成功、失败审计目录服务访问:成功、失败审计登陆事件:成功,失败审计对象访问:成功、失败审计策略更改:成功、失败审计特权使用:成功、失败审计系统事件:成功、失败审计过程跟踪:成功、失败本地安全设置不显示最后一个用户系统登录时使用的名称。进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”;“Interactivelogon:Donotdisplaythelastusername”设置为“Enabled”加固前:加固后:6.启用主机安全选项的“ClearVirtualMemoryPagesBeforeShutdown”启用“ClearVirtualMemoryPagesBeforeShutdown””的主机安全选项操作过程:进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项关闭:清除虚拟页面文件内存”设置为“启用”加固前:加固后:7.配置日志文件大小配置日志文件容量,避免意外删除、修改或覆盖操作过程:进入“控制面板->管理工具->计算机管理->事件查看器->windows日志”,加固前配置:加固后:8.磁盘配额配置磁盘配额可以限制指定账户可以使用的磁盘空间,从而避免一个用户过度使用磁盘空间导致其他用户无法正常工作,甚至影响ts系统的运行:进入“我的电脑->C盘->属性->配额”,设置“启用磁盘管理”启用“磁盘空间限制为”设置为“90GB”“设置警告级别为”设置到“90GB”“当用户超过配额限制时记录事件(G)”勾选启用“当用户超过警告级别时记录事件(V)”加固前勾选启用:加固后:9.远程会话策略By默认情况下,远程桌面服务允许用户从远程桌面服务会话打开连接,而无需注销和结束会话。如果启用此策略设置,断开连接的会话将在指定时间后从服务器中删除操作过程:转到“运行->gpedit.msc->计算机配置->管理模板->Wondows组件->远程服务->远程桌面会话主机->会话时间限制,“为断开连接的会话设置时间限制”设置为“启用”,“结束断开连接的会话”设置为“5分钟”。硬化前:硬化后:
