一、来由
据相关数据显示,截止2022年为止,微软 Windows 和苹果 MacOS 在 PC 端的市占率分别约为 74% 和 16%,合计达到90% 。其中大多数的还在使用windows7,2020年1月14日微软停止了windows7的支持,每一个系统在研发出来之后,都需要相关的研发团队进行日以继日的后期维护和修复工作,那么Win7的停止,也就意味着 Win7 系统的安全风险越来越大。
二、安全加固
目的:通过对终端进行加固,可提升终端安全性,有效降低终端管理风险。
操作:
1.禁用Guest账户和无关账户
Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是最好的选择,操作流程:进入“控制面板->管理工具->计算机管理->本地用户和组->用户->Guest”,打勾启用“账户已禁用”,加固后:
2.密码策略加强
操作系统、用户身份鉴别信息应具有不易被冒用的特点,口令应复杂度要求并定期更换。
操作流程:进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”中添加以下安全策略:
“密码必须符合复杂度要求”设置为“启用”;
“密码长度最小值”设置为“8个字符”;
“密码最长使用期限”设置为“90天”;
“强制密码历史”设置为“记住5个密码”;
“用可以还原的加密来存储密码”设置为“禁用”;
加固前:
加固后:
3.账户锁定策略加强
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5 次(或3次),锁定该账号。
操作流程:进入“控制面板->管理工具->本地安全策略”,在“帐户策略->帐户锁定策略”:
“账户额锁定阀值”设置为5次;
“账户锁定时间”设置为15分钟;
加固前:
加固后:
4.设置安全审计
在主机的审核策略上设置日志审核策略
操作流程:进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”
在主机的审核策略上设置日志审核策略:
审计帐户登录事件:成功,失败
审计帐户管理:成功,失败
审计目录服务访问:成功,失败
审计登录事件:成功,失败
审计对象访问:成功,失败
审计策略更改:成功,失败
审计特权使用:成功,失败
审计系统事件:成功,失败
审计过程追踪:成功,失败
加固前:
加固后:
5.配置日志文件大小
配置日志文件容量,避免受到未预期的删除、修改或覆盖等,操作流程:进入“控制面板->管理工具->计算机管理->事件查看器->windows日志”,配置日志文件大小安全策略。
加固前:
加固后:
我们知道,在等级保护测评环节,安全计算环境中对主机进行测评过程中,涉及到身份鉴别、访问控制、安全审计等内容,今天我们带来的内容,正式针对身份鉴别、安全审计层的加固方法,后期我们将针对其他的安全设备及常见系统,给出我们的理解和方法,请关注我们,我们将持续分享网络安全知识和安全资讯。
原文始发于微信公众号(云知云享):一种可以自己加固windows操作系统的方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论