系统安全性固化——用户账户和组策略

imasyei

系统安全性固化 是通过排除系统表面的安全隐患，提高系统安全性的过程。一个系统的功能越多，表面的安全隐患就会越大；原则上一个单一功能的系统比一个多用途的系统更安全。能够减少可用攻击媒介的方法一般包括：去除或停用不必要的软件，不需要用户账户登录，以及不必要的服务。——翻译自 维基百科

在一个多计算机的网络中或者多人使用的计算机上，对每个使用者权限的控制是非常重要的。



用户账户 的管理是最基础的保障，可以在这里设置：
控制面板\用户帐户和家庭安全\用户帐户\管理帐户
计算机管理\系统工具\本地用户和组\用户



需要注意的是：

1.  禁用系统内置的管理员以及来宾账户 - 由于账户的特殊性，可能成为安全漏洞；
2.  账户是否应该使用这台计算机 - 已不再使用的账户要及时彻底删除；
3.  账户类型是否设置妥当 - 不需要管理员权限的一定要设置为标准用户；
4.  账户是否被密码保护 - 足够长而复杂的密码能够有效防止入侵。

不过这些选项都是对将来有效的防护措施，对于以前发生的事件，就得用到 安全日志 了；
事件查看器\Windows 日志\安全



只要 Windows Event Log 服务运行，就会记录以前账户更改或者尝试登录的情况；
查看这些记录有助于找到安全隐患，并作出相应调整，需要注意类似这样的行为：

1.  未经许可的用户创建，删除或者访问
2.  连续多次的登录尝试失败

题外话，共享文件也是非法访问重要的来源，这里可以查看完整列表:
计算机管理\系统工具\共享文件夹\共享
除了以管理为用途的默认分享，不必要的分享一定要及时停止。

imasyei

本地安全策略 提供很多有关用户账户，登录密码等的选项可以限制。

下面是一些有关用户密码安全，比较重要的策略：

本地安全策略\账户策略\密码策略

策略	说明	建议设置
密码必须符合复杂性要求	强制要求复杂的账户密码保护，需要英文大小写，数字和特殊字符。	已启用
密码长度最小值	最短密码长度。短密码与长密码的验证方式不同的，并且长密码更安全。	8 个字符
密码最短使用期限	在更改密码后指定期限内禁止再次更改密码，可防止用户随意更换密码。设置“强制密码历史”必须启用。	1 天
密码最长使用期限	在更改密码后指定期限后必须再次更改密码，可防止由于密码长期使用造成的安全隐患。	30 天
强制密码历史	记录指定数量的密码历史，更改密码时不可重复。	5 个记住的密码
用可还原的加密来储存密码	本质上与纯文本储存密码在是相同的，极其危险。密码应该是不可还原的。	已禁用

还有一些对账户登录安全有效的策略：

本地安全策略\账户策略\账户锁定策略

策略	说明	建议设置
帐户锁定阈值	在指定次数的登录尝试失败后锁定用户账户，需要同时设置 “帐户锁定时间” 和 “在此后复位帐户锁定计数器”。 可有效防止蛮力攻击。	5 次无效登录

以下策略虽然重要，但是主要针对企业用户，比较麻烦：

本地安全策略\本地策略\安全选项

策略	说明	建议设置
不显示最后的用户名	登录时需要手工输入用户名，为自己带来不便的同时也为攻击者带来难度。	已启用
无须按 Ctrl+Alt+Del	不必按 Ctrl+Alt+Del 登录，无法确保登录界面没有被监视，用户密码可能被截获。	已禁用

有关用户账户控制重要的策略，虽然应该是默认，但是值得再次确认：

本地安全策略\本地策略\安全选项

策略	说明	建议设置
标准用户的提升提示行为	标准用户在需要进行管理员操作时，提示输入管理员账户的用户名和密码。	在安全桌面上提示凭据
允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升	允许程序以不安全的方式提升为管理员权限。	已禁用

黑鹰99

还是有点科普作用的！

qxzh721

了解。。。。。。

p467327843

路过看看

chinasunlight

还是有点科普作用的！