Windows服务器主机加固分享

一、禁用Guest账户和无关账户

来宾帐户为黑客入侵打开了方便之门。黑客可以使用访客账户进行授权。禁用来宾帐户是最佳选择。操作过程:进入“控制面板-管理工具-计算机管理-本地用户和组-用户-访客”并勾选“账户禁用”启用加固后:

二、密码策略加强

操作系统，用户标识信息应具有不易使用的特点，密码应要求复杂并定期更改。操作过程:输入“控制面板-管理工具-本地安全策略”和“帐户策略-密码策略”；

“密码必须满足复杂性要求”设置为“已启用”，“最小密码长度”设置为“8个字符”，“最长密码寿命”设置为“90天”，“强制密码历史记录”设置为“记住5个密码”，“使用可恢复加密存储密码”设置为“已禁用”，

加固前:

加固后:

三、账户锁定策略加强

对于使用静态密码认证技术的设备，当连续认证失败次数达到时，应锁定用户的帐号操作流程:输入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”中:

“帐户金额锁定阈值”设置为5次，“帐户锁定时间”设置为15分钟， “重置帐户锁定计数器”设置为15分钟

加固前:

加固后

四、设置安全审计

设置主机审计策略日志审计策略操作过程:输入“控制面板-管理工具-本地安全策略”，在“本地策略-审计策略”中设置主机审计策略日志审计策略:

审计帐户登录事件:成功，失败审计帐户管理:成功，失败审计目录服务访问:成功，失败审计登录事件:成功，失败审计对象 失败审计策略更改:成功，失败审计权限使用:成功，失败审计系统事件:成功，失败审计过程跟踪:成功，失败

:在加固前

:在加固后

五、设置不显示上次使用的用户名

不显示登录本地安全设置系统时使用的最后用户名。 输入“控制面板-管理工具-本地安全策略”，然后选择“本地策略-安全选项”；

“交互式登录:不显示最后一个用户名”被设置为“已启用”

加固前:

加固后:

六、启用主机安全选项的”关机前清除虚拟内存页面”

操作过程:“关闭前清除虚拟内存页面”，启用主机安全选项输入“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项

关闭:清除虚拟页面文件内存”被设置为“已启用”前:

加固前:

加固后:

七、配置日志文件大小

加固后:

磁盘配额可以限制指定帐户可以使用的磁盘空间。这样，可以避免一个用户过度使用磁盘空间导致其他用户无法正常工作，甚至影响系统的操作过程:输入“我的计算机-C磁盘-属性-配额”，

“启用磁盘管理”被设置为启用“磁盘空间限制到”被设置为“90GB”，“警告级别到”被设置为“90GB”，“当用户超过配额限制时记录事件(G)”检查以启用“当用户超过警告级别时记录事件(V)”检查以启用

增强前:

八、磁盘配额配置