2023年11月27日发(作者:)

bartender的安全策略不允许指定的⽤户执⾏此操作_操作系统

安全规范之WindowsS。。。

1、重要安全策略

1.1、密码复杂度

修改⽅法:在“运⾏”中输⼊“”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策

略密码策略”。

默认配置内容如下图:

修改如下参数配置:

“密码必须符合复杂性要求”,配置为“已启⽤”,要求复杂性。

“密码长度最⼩值”,建议8或12。

帐户锁定时间,建议30分钟。

帐户锁定阈值,建议5。

重置帐户锁定计数器,建议30分钟。

以上表⽰30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。

1.4、删除⽆⽤账户

检查系统没有⽆⽤账户,windows禁⽤guest账户,根据实际需要修改administrator⽤户名为其他⽤户名。

2、安全选项

2.3、关闭远程访问注册表

“⽹络访问:可远程访问的注册表路径”,清空。

“⽹络访问: 可远程访问的注册表路径和⼦路径”,清空。

2.4、禁⽤guest账户

“(帐户:)来宾帐户状态”,配置为“已禁⽤”,默认已经为已禁⽤,请配置时核对。

2.5 修改管理员账户名称

2.6、屏保启⽤密码

Windows Server 2008及Windows Server 2012在控制⾯板->显⽰->更改屏幕保护程序。选择⼀个屏幕保护程序,将等待时间配置为不

⼤于300秒,且勾选“在恢复时显⽰登录屏幕”。

2.7、启⽤关机清除虚拟内存页⾯⽂件

默认配置为“已禁⽤”,请修改为“已启⽤”

默认配置为“已禁⽤”,请修改为“已启⽤”

3、关闭危险服务和端⼝

e. 关闭DHCP Client。

注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是⾃动获得ip,不能关闭dhcp client。

若服务器是通过⾃动获得ip,dhcp client服务不能关闭。

4、端⼝管理

4.1、关闭445135137138139端⼝

控制⾯板-管理⼯具-本地安全策略,ip安全策略,创建ip安全策略,阻⽌其他ip访问本机ip的危险端⼝。

增加ip安全规则,添加规则,规则名任意(如关闭端⼝,封端⼝):

添加ip筛选器列表:

确定后,点右键-分配,策略已指派变成是。

4.2、修改常⽤中间件默认端⼝(建议)

所有中间件,数据库,web服务器的默认端⼝,容易被攻击者扫描利⽤,也会被安全公司扫描出漏洞报告,请修改默认端⼝,为⽅便记忆,

建议默认端⼝号每位数字+1,以下举例常⽤:

有条件的话修改远程端⼝(windows 3389,linux 22)为其他端⼝。

5、系统保护

5.1 启⽤数据执⾏保护

计算机-属性-⾼级系统设置-⾼级-性能-设置-数据执⾏保护,勾选“仅为基本Windows程序和服务启⽤DEP”。

更改此配置需要重启系统才能⽣效。暂时不重启,设置就好。

a.每台服务器的登录密码满⾜复杂度,且各不相同。