前沿拓展：

1、重要安全策略1.1、密碼復(fù)雜度

修改方法：在“運(yùn)行”中輸入“gpedit.msc”打開組策略編輯器，瀏覽到路徑“本地計(jì)算機(jī)策略計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置帳戶策略密碼策略”。

默認(rèn)配置內(nèi)容如下圖：

修改如下參數(shù)配置：

“密碼必須符合復(fù)雜性要求”，配置為“已啟用”，要求復(fù)雜性。

“密碼長(zhǎng)度最小值”，建議8或12。

“強(qiáng)制密碼歷史”，配置5，最近5個(gè)密碼不能使用。

“密碼最短存留期(使用期限)”，配置為1。

“密碼最長(zhǎng)存留期(使用期限)”，配置為90。

“用可還原的加密來存儲(chǔ)密碼”，已禁用。

注意：若使用堡壘機(jī)登錄windows，“密碼最短存留期(使用期限)”和 “密碼最長(zhǎng)存留期(使用期限)”不改，保留原設(shè)置，修改該配置項(xiàng)可能會(huì)影響堡壘機(jī)的使用以及信息科對(duì)服務(wù)器的管理。

1.2、賬戶鎖定

“gpedit.msc”打開組策略編輯器，瀏覽到路徑“本地計(jì)算機(jī)策略計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置帳戶策略帳戶鎖定策略”。

默認(rèn)配置內(nèi)容如下圖：

帳戶鎖定時(shí)間，建議30分鐘。

帳戶鎖定閾值，建議5。

重置帳戶鎖定計(jì)數(shù)器，建議30分鐘。

以上表示30分鐘內(nèi)有5次登錄失敗，鎖定這個(gè)賬戶（不可登錄）30分鐘后解鎖。

1.3、 遠(yuǎn)程會(huì)話閑置一段時(shí)間后自動(dòng)斷開

“gpedit.msc”打開組策略編輯器，瀏覽路徑“本地計(jì)算機(jī)配置”“管理模板”“windows組件”“遠(yuǎn)程桌面服務(wù)”“遠(yuǎn)程桌面會(huì)話主機(jī)”“會(huì)話時(shí)間限制”。

默認(rèn)配置內(nèi)容如下圖：

修改配置內(nèi)容：設(shè)置活動(dòng)但空閑的遠(yuǎn)程桌面會(huì)話時(shí)間限制 已啟用 10分鐘

1.4、刪除無用賬戶

檢查系統(tǒng)沒有無用賬戶，windows禁用guest賬戶，根據(jù)實(shí)際需要修改administrator用戶名為其他用戶名。

2、安全選項(xiàng)

“gpedit.msc”打開組策略編輯器，瀏覽到路徑“本地計(jì)算機(jī)策略計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)”。

2.1、提示用戶密碼過期前修改的天數(shù)

“gpedit.msc”打開組策略編輯器，瀏覽到路徑“本地計(jì)算機(jī)策略計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)”，在右邊窗格中找到“交互式登錄: 提示用戶在過期之前更改密碼”，默認(rèn)為5改為30。

2.2、刪除匿名訪問的命名管道和共享

默認(rèn)已是空的，請(qǐng)配置時(shí)核對(duì)。

“網(wǎng)絡(luò)訪問: 可匿名訪問的命名管道”，配置為空。

“網(wǎng)絡(luò)訪問: 可匿名訪問的共享”，配置為空。

2.3、關(guān)閉遠(yuǎn)程訪問注冊(cè)表

“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑”，清空。

“網(wǎng)絡(luò)訪問: 可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑”，清空。

2.4、禁用guest賬戶

“(帳戶:)來賓帳戶狀態(tài)”，配置為“已禁用”，默認(rèn)已經(jīng)為已禁用，請(qǐng)配置時(shí)核對(duì)。

2.5、 修改管理員賬戶名稱

“(帳戶:)重命名(系統(tǒng))管理員帳戶”，更改其默認(rèn)設(shè)置“Administrator”(注意：若當(dāng)前是以Administrator用戶登錄，則無法更改)。

2.6、屏保啟用密碼

Windows Server 2008及Windows Server 2012在控制面板->顯示->更改屏幕保護(hù)程序。選擇一個(gè)屏幕保護(hù)程序，將等待時(shí)間配置為不大于300秒，且勾選“在恢復(fù)時(shí)顯示登錄屏幕”。

2.7、啟用“關(guān)機(jī)清除虛擬內(nèi)存頁(yè)面文件”

默認(rèn)配置為“已禁用”，請(qǐng)修改為“已啟用”

2.8、不顯示最后的用戶名

默認(rèn)配置為“已禁用”，請(qǐng)修改為“已啟用”

3、關(guān)閉危險(xiǎn)服務(wù)和端口

“services.msc”打開系統(tǒng)服務(wù)，以下服務(wù)請(qǐng)停止，再設(shè)置為“手動(dòng)”或“禁用”。

a. 關(guān)閉Remote Registry。

b. 關(guān)閉Server。

這個(gè)服務(wù)一定要關(guān)閉，大部分攻擊針對(duì)445，139，135端口，都是這個(gè)服務(wù)，一定要關(guān)閉。更改為手動(dòng)。

c. 關(guān)閉Shell Hardware Detection。

d. 關(guān)閉Printer Spooler。

e. 關(guān)閉DHCP Client。

注意：先查看是否是dhcp動(dòng)態(tài)ip，若是固定ip，服務(wù)中關(guān)閉dhcp client。若是自動(dòng)獲得ip，不能關(guān)閉dhcp client。

若服務(wù)器是通過自動(dòng)獲得ip，dhcp client服務(wù)不能關(guān)閉。

4、端口管理4.1、關(guān)閉445，135，137，138，139端口

控制面板-管理工具-本地安全策略，ip安全策略，創(chuàng)建ip安全策略，阻止其他ip訪問本機(jī)ip的危險(xiǎn)端口。

增加ip安全規(guī)則，添加規(guī)則，規(guī)則名任意（如關(guān)閉端口，封端口）：

添加ip篩選器列表：

源地址：任何ip地址。

目標(biāo)地址：我的ip地址。

源端口：任何端口。

目標(biāo)端口：依次是445，135，137，138，139。

設(shè)置篩選器**作為阻止：

確定后，點(diǎn)右鍵-分配，策略已指派變成是。

4.2、修改常用中間件默認(rèn)端口（建議）

所有中間件，數(shù)據(jù)庫(kù)，web服務(wù)器的默認(rèn)端口，容易被攻擊者掃描利用，也會(huì)被安全公司掃描出漏洞報(bào)告，請(qǐng)修改默認(rèn)端口，為方便記憶，建議默認(rèn)端口號(hào)每位數(shù)字+1，以下舉例常用：

有條件的話修改遠(yuǎn)程端口（windows 3389，linux 22)為其他端口。

5、系統(tǒng)保護(hù)5.1、 啟用數(shù)據(jù)執(zhí)行保護(hù)

計(jì)算機(jī)-屬性-高級(jí)系統(tǒng)設(shè)置-高級(jí)-性能-設(shè)置-數(shù)據(jù)執(zhí)行保護(hù)，勾選“僅為基本W(wǎng)indows程序和服務(wù)啟用DEP”。

更改此配置需要重啟系統(tǒng)才能生效。暫時(shí)不重啟，設(shè)置就好。

5.2、 安裝殺毒軟件

安裝殺毒軟件，若有購(gòu)買正版殺毒則直接采用，若沒有，請(qǐng)使用免費(fèi)的火絨安全軟件，資源小效果好：

https://www.huorong.cn/person5.html

注意：不要使用360殺毒，360會(huì)留下后門導(dǎo)致本地端口被占滿，應(yīng)用無法對(duì)外服務(wù)。

5.3、 密碼保管

以下密碼保管的建議：

a.每臺(tái)服務(wù)器的登錄密碼滿足復(fù)雜度，且各不相同。

b.遠(yuǎn)程服務(wù)器（windows遠(yuǎn)程桌面，linux遠(yuǎn)程客戶端，數(shù)據(jù)庫(kù)客戶端）工具禁止使用記住密碼功能。

c.將密碼記錄在本機(jī)的excel文檔中，并加密。每次有登錄需要時(shí)輸入該excel文檔密碼，從文檔中**相應(yīng)的密碼到相應(yīng)的客戶端工具中登錄，提高安全性。

拓展知識(shí)：