小白学安全第十五篇之Windows操作系统安全加固设置

   小时候听小伙伴说，Windows操作系统没有linux操作系统安全，对吗？呵呵。

自Windows2k系统开始，Windows在安全设计和配置方面，提供了详多安全机制，以供使用者根据自身情况进行安全配置，只是大家没有get到，没有做相关配置。在安全行业内，根据系统使用者、信息系统的情况，对操作系统的安全配置，有一个好听的名字，叫“安全加固”。

今天我们就以Windows操作系统为例，带大家看一下，部分安全设置。

【账户安全】

1、修改默认管理员账户名称。Windows操作系统安装后，默认的管理员用户名为“administrator”，只要知道了该账户的密码，就掌握了系统的最高权限，若将管理员名称更改为其它名称，对于入侵者而言，是提高了入侵了门槛。

2、密码管理。密码长度和强度，建议设置密码长度为10位以上，并采用大写字母、小写字母、数字、字符混合使用；定期修改密码，比如1个月、3个月修改一次，根据系统的重要性确定修改周期。

3、禁用不需要的用户。禁用GUEST账号，以及其它不使用的账号。

【安装杀毒软件】

安装杀毒软件后，定期、及时更新到最新版本的特征库，提升系统反病毒的能力。

【开启防火墙】

在控制面板中，开启windows防火墙，可根据具体情况，进行细化配置。

【禁用不用的服务】

在控制面板的管理工具中，找到服务，打开后，根据具体情况，禁用不必要的服务。

【关闭常被入侵的端口】

开放的端口是网络入侵的部分前提，所以关闭常被入侵的端口，减少安全事件发生的概率，比如：139、445等。

【关闭默认共享】

删除盘符下的默认共享，比如要删除C盘下的默认共享，在命令提示符中，输入以下命令：net share c$/del。

【配置安全策略】

在控制面板的管理工具中，打开本地安全策略。在本地策略的安全选项中，进行安全配置。如下图所示。

常规进行配置的有以下几点：

1、交互式登录：禁用“无须按Ctrl+Alt+Del”；启用“不显示最后的用户名”。

2、网络访问：启用“不允许SAM账户的匿名枚举”；删除策略设置的值的项有：“可匿名访问的共享”、“可匿名访问的命名管道”、“可远程访问的注册表路径”；

3、帐户: 禁用“来宾帐户状态”；

4、设备：启用“将CD-ROM的访问权限仅限于本地登录的用户”。

除了以上设置项外，在本地安全策略中，还有审核策略、用户权限分配项，可根据具体情况进行配置。

系统是否安全，归根到底还是使用者、管理者的安全意识是否到位，通过技术手段与管理措施的无缝对接，形成安全闭环，使安全态势呈螺旋上升的健康态，降低安全事件发生的可能性。

本节课就到这里，下课了。