Windows安全配置（上）以2016版为例

一.身份鉴别

默认管理员账号更名或禁用

具体操作步骤：

进入“控制面板→管理工具→计算机管理”，在“系统工具→本地用户和组→用户”：

Administrator→属性→重命名或设置“账户已禁用”

或Administrator→重命名→修改为其他名称

禁用Guest和其他无用账号

具体操作步骤：

进入“控制面板→管理工具→计算机管理”，在“系统工具→本地用户和组”：Guest→属性 ，选择“账户已禁用”。如果有其他无用账号，也按照此方法设置。

密码复杂度，密码长度最小值，密码最长使用期限，禁用历史密码数量

具体操作步骤：

进入“控制面板→管理工具→本地安全策略→帐户策略→密码策略”：密码必须符合复杂性要求→属性，选择“已启用”

进入“控制面板→管理工具→本地安全策略→帐户策略→密码策略”：密码长度最小值→属性，设置大于或等于12个字符

进入“控制面板→管理工具→本地安全策略→帐户策略→密码策略”：密码最长使用期限→属性，设置为90天

进入“控制面板→管理工具→本地安全策略→帐户策略→密码策略”：强制密码历史→属性，设置为10个

密码修改提醒

具体操作步骤：

进入“控制面板→管理工具→本地安全策略→本地策略→安全选项”：“密码到期前提示用户更改密码”设置为客户要求的天数。配置界面参考如下：

二.资源控制

登录失败次数限制

具体操作步骤：

进入“控制面板→管理工具→本地安全策略→帐户策略→账户锁定策略”：账户锁定阈值→属性，设置为5次

设置网络会话超时

具体操作步骤：

进入“控制面板→管理工具→本地安全策略”，在“本地策略→安全选项”:Microsoft网络服务器：在挂起会话之前所需的空闲时间→属性，设置为15分钟

三.入侵防范

开启DEP保护

具体操作步骤：

进入“控制面板→系统”：高级系统设置→高级→性能设置→数据执行保护，选择“为除下列选定程序之外的所有程序和服务启用DEP”

开启防火墙

具体操作步骤：

进入“控制面板→计算机管理→Windows防火墙” ：启用Windows防火墙

根据实际安全需求，进行入站规则配置

针对目标端口建立入站规则

入站规则→新建规则→选择端口→下一步→特定本地端口，如设置3389→下一步→“选择允许连接，则放行；选择只允许安全连接，可选择指定的远程计算机连接；选择阻止连接，则拦截” →下一步→全部选中→下一步→填写名称“3389入站规则”→完成

设置IP安全策略

以3389端口举例。

首先，进入“控制面板→管理工具→本地安全策略”，在“安全设置→IP 安全策略，在本地计算机”

1）添加“IP筛选”规则

右键菜单→选择 【管理 IP 筛选器列表和筛选器操作】

a）先添加一条“所有IP”访问3389端口的规则，名称：禁止所有IP访问3389 

b）再添加一条“特定IP”访问1433端口的规则，名称：允许特定IP访问3389

2）添加“筛选器操作”规则

右键菜单→选择 【管理 IP 筛选器列表和筛选器操作】 →选择“管理筛选器操作” →建立两条规则，一条放行（许可），一条拦截（阻止）

3) 创建“IP 安全策略”条目

右键菜单，选择“创建 IP 安全策略”，名称：3389端口安全策略

4）向“IP 安全策略”添加IP筛选规则 

添加“禁止所有IP访问3389”的筛选规则→原地址选择“任何IP地址”，目标地址选择“我的IP地址” →协议类型选择“TCP”，从任意端口，到此端口输入“3389”，并选择拦截模式。

添加“允许特定IP访问3389”的筛选规则→原地址选择“一个特定的IP地址或子网，然后输入授权的IP地址”，目标地址选择“我的IP地址” →协议类型选择“TCP”，从任意端口，到此端口输入“3389”，并选择放行模式。

启用SYN保护

具体操作步骤：

在“开始->运行->键入regedit”（win+R），依次进入

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters’

添加或修改如下键值：

"SynAttackProtect"=DWORD:00000002

"TcpMaxHalfOpen"= DWORD:00000064

"TcpMaxHalfOpenRetried"= DWORD:00000050

"TcpMaxConnectResponseRetransmissions"= DWORD:00000000

"TcpMaxDataRetransmissions"= DWORD:00000003

"TCPMaxPortsExhausted"= DWORD:00000005

"DisableIPSourceRouting"= DWORD:0000002

"TcpTimedWaitDelay"= DWORD:0000001e

开启Windows自动更新

具体操作步骤：

进入“控制面板→计算机管理→Windows更新”，启用Windows自动更新（不同版本略有不同）

另一种操作方法如下：

1. 点击屏幕左下角的“开始”按钮，选择“设置”。

2. 在设置界面中，选择“更新与安全”。

3. 在“更新与安全”界面中，选择左侧的“Windows更新”。

4. 点击“高级选项”，在“自动更新”部分，选择“自动（推荐）”即可开启自动更新。

交互式登录

具体操作步骤：

进入“控制面板→管理工具→本地安全策略→本地策略→安全选项”：交互式登录:不显示最后的用户名→属性，选择“已启用”

仅保留需要的组件与应用

具体操作步骤：

1. 进入“控制面板→程序和功能 ”：卸载不必要的应用程序

2. 进入“控制面板→程序和功能→启用或关闭Windows功能 ”：关闭不必要的Windows组件

关闭不必要的服务

具体操作步骤：

进入“控制面板→管理工具→服务”：关闭不必要的服务

修改SNMP服务团体名

具体操作步骤：

进入“控制面板→ 管理工具→ 服务 ”：SNMP Service→属性→安全，修改“community strings”，也就是所说的“团体名称”。

开机启动项

1、“开始->运行->MSconfig”启动菜单中，取消不必要的启动项。Windows 2000没有自带msconfig工具，可使用Windows XP的代替：

2、建议保留如下启动项：

INTERNAT

CTFMON

IMJPMIG

IMEKRMIG

TINPSETP

杀毒软件的启动项和驱动软件的启动项

业务明确需要的其它启动项