网络安全系列之二十二 Windows用户账号加固

简介:
1 启用密码策略

密码策略的设置项目如图所示。

image

  • 密码必须符合复杂性要求。复杂性要求是指用户账户使用的密码长度至少6位(最多127位),且必须是大写字母、小写字母、数字与符号4种字符中的任意3种以上的组合。

  • 密码长度最小值。确定用户账户的密码可以包含的最少字符个数,设置范围0~14。

  • 密码最长使用期限。指密码使用的最长时间,单位为天。设置范围0~999,默认设置为42天。如果设置为0天,则代表密码永不过期。

  • 密码最短使用期限。指应用密码后,多长时间内不准修改,这项很少设置。

  • 强制密码历史。指多少个最近使用过的密码不允许再使用。设置范围在0~24之间,默认值为0,代表可以随意使用过去使用的密码。

下面是为用户设置安全密码推荐的操作:

  • 密码长度最小7个字符,而且包括大小写字母、数字及特殊符号。

  • 密码中不要包括用户的账户名、姓名或公司以及部门的名称。

  • 密码不使用完整的单词或词组,但可以是一些不规则的组合。

  • 与过去使用的密码尽量不同。

  • 推荐使用一句话密码,如将“床前明月光”设为一句话密码“ChuangQ1anM1ngYueGuang”。

 
2 启用账户锁定策略

账户锁定策略是指当用户输入错误密码的次数达到一个设定值时,就将此账户锁定。锁定的账户不能再登录,只有等超过指定时间自动解除锁定或由管理员手动解除锁定。注意,账户锁定策略对管理员账户administrator无效。

账户锁定策略包括下面3个设置,如图所示。

image

  • 账户锁定阈值。指用户输入几次错误的密码后,将用户账户锁定。设置范围0~999之间,默认值为0,代表不锁定账户。

  • 账户锁定时间。指当用户账户被锁定后,多少分钟后自动解锁。设置范围0分钟~99999分钟,0代表必须有管理员手动解锁。

  • 复位账户锁定计数器。指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器将复位为0。如果定义了账户锁定阈值,则该复位时间必须小于或等于账户锁定时间。

推荐的账户锁定策略设置:

image

 
3 设置审核策略

审核策略可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。可以审核的事件如图所示。

image

在审核的事件中比较常用的是:

  • 审核登录事件,审核所有用户的登录和注销事件。

  • 审核对象访问,审核用户访问某个对象的事件,如文件、文件夹、注册表项等。

  • 审核系统事件,审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件。

  • 审核账户管理,审核计算机上的每一个账户管理事件,包括:创建、更改或删除用户账户或组;命名、禁用或启用用户账户;设置或更改密码等。

审核策略的安全设置选项包括以下几个方面:

  • 成功:请求的操作成功执行时会生成一个审核项。

  • 失败:请求的操作失败时会生成一个审核项。

  • 无审核:相关操作不会生成审核。

例如要审核对象访问类别成功和失败的事件,首先需要双击审核策略中的“审核对象访问”策略,然后选择“成功”和“失败”。

image

通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生。例如,用户成功登录到计算机通常被视为正常,但如果有人多次尝试登录到计算机都未能成功,则说明可能有攻击者在尝试使用他人的账户侵入此计算机。

推荐按下图设置审核策略:

image

 

4 不显示上次登录的用户名

image

 
5 不允许SAM账户和共享的匿名枚举

image

 
6 修改系统默认账号

将guest账号禁用。

将Administrator账号改名,如改为testuser1。

然后再创建一个名为Administrator的账号,为账号设置超级复杂的密码。

image

并将账号添加到guests组。 

image


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1571515


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
9天前
|
SQL 安全 算法
网络防御前线:洞悉漏洞、加固加密与提升安全意识
【4月更文挑战第8天】在数字化时代,网络安全与信息安全已成为维系信息社会正常运转的关键。本文从网络安全的漏洞发现、加密技术的应用以及提高个人和组织的安全意识三个维度出发,深入探讨了如何构建更为坚固的网络防御体系。通过对现有网络安全威胁的分析,我们揭示了漏洞挖掘的重要性,并介绍了当前流行的加密技术及其在保护数据完整性和隐私中的作用。同时,文章还强调了培养良好的安全习惯对预防潜在攻击的重要性。本文旨在为读者提供全面的网络安全知识框架,以便更好地应对日益复杂的网络威胁环境。
|
3天前
|
SQL 存储 安全
网络防御先锋:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第20天】 在数字化时代,数据如同新型燃料驱动社会发展。然而,网络安全威胁如影随形,无孔不入。本文将深入探讨网络安全的脆弱环节——安全漏洞,以及如何通过加密技术和提升安全意识构建坚固的信息防线。我们将剖析常见漏洞类型,介绍当前加密技术的进展,并分享培养安全意识的最佳实践,以期为读者提供全面的网络安全知识框架。
|
3天前
|
SQL 安全 算法
网络防御先锋:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第20天】在数字化时代,网络安全和信息安全已成为维护社会稳定和个人隐私的重要屏障。本文深入探讨了网络安全中的关键漏洞、先进加密技术以及提升安全意识的必要性,旨在为读者提供一套全面的网络安全知识框架。通过对网络威胁的剖析,我们展示了如何运用现代加密方法保护数据不被非法访问,并强调了培养全民网络安全意识的重要性。文章的目的是使读者对网络安全有一个清晰的认识,并能采取有效措施保护自己的数字身份。
|
8天前
|
存储 安全 算法
网络防御先锋:揭秘网络安全漏洞与加固信息防线
【5月更文挑战第15天】在数字时代的风口浪尖,网络安全已成为维护信息完整性、确保数据流通安全的关键。本文将深入探讨网络安全中存在的漏洞、加密技术的进展以及提升安全意识的重要性,旨在为读者构建一道坚固的信息防线提供知识支持和实践指导。
|
9天前
|
存储 安全 物联网
网络防御前线:洞悉网络安全漏洞与加固信息防线
【5月更文挑战第4天】 在数字化时代,网络安全已成为维护信息完整性、确保数据传输安全的关键阵地。本文将深入探讨网络安全领域的重要议题—包括识别和应对安全漏洞、应用加密技术以及提升个体和企业的安全意识。通过对这些关键要素的剖析,我们旨在为读者提供一个关于如何构建坚固网络防御体系的全面视角。
32 6
|
9天前
|
存储 SQL 安全
网络防御先锋:洞悉网络安全漏洞与加固信息防线
【4月更文挑战第26天】 在数字化的浪潮中,网络安全和信息安全已成为守护每个组织和个人数据资产的堡垒。本文将深入探讨网络安全领域内常见的安全漏洞类型、加密技术的最新进展以及提升安全意识的重要性。通过对这些关键领域的剖析,读者将获得构建坚固信息防线的知识武装,以应对日益复杂的网络威胁。
26 5
|
9天前
|
安全 Linux 网络安全
第十六届山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题—A模块基础设施设置/安全加固
该任务是网络安全工程师模拟实战,目标是强化A模块服务器(Windows和Linux)的安全性。任务包括:设置强密码策略,限制用户权限,如禁用命令提示符,隐藏登录用户名;实施Nginx安全策略,禁止目录浏览,限制HTTP请求,调整超时时间,降权运行;配置日志监控,设定不同日志文件大小及覆盖规则;加固SSHD, VSFTPD, IIS服务,修改SSH端口,限制root登录,调整VSFTPD和IIS设置;优化本地安全策略,禁止匿名访问,保护密码存储,控制用户登录;最后,设计防火墙规则,限制SSH枚举,防御DoS攻击,并控制DNS解析请求。所有更改需截图并附说明,按指定格式保存提交。
17 0
|
9天前
|
安全 Linux 网络安全
2024年山东省职业院校技能大赛中职组 “网络安全”赛项竞赛试题-C基础设施设置/安全加固
网络安全工程师需对AServer08(Win)和AServer09(Linux)进行安全加固,包括密码策略(复杂性、长度),Windows用户管理(所有权、命令提示符、用户名显示),Nginx安全配置(禁止目录浏览、限制HTTP请求、超时设置、降权运行)。日志监控涉及安全、应用和系统日志的最大大小及覆盖策略。中间件服务加固涉及SSH(端口、root登录、计划任务、PID路径),VSFTPD(非特权用户、连接端口、本地用户限制),IIS(日志审计、关闭WebDAV)。本地安全策略涵盖匿名枚举、无登录关闭、凭证存储、权限应用和登录超时
20 0
|
9天前
|
安全 Linux 网络安全
2024年甘肃省职业院校技能大赛中职组 “网络安全”赛项竞赛样题-C模块基础设施设置/安全加固
网络安全模块A要求对Windows和Linux服务器进行安全加固,包括密码策略(最小13字符,复杂性要求)、用户管理(禁止非管理员命令提示符,隐藏登录信息)、Nginx安全配置(限制HTTP请求,设置超时时间,降权启动)、日志监控(设置日志大小和覆盖策略)、中间件服务加固(SSH、VSFTPD、IIS服务优化)、本地安全策略(禁止匿名访问,保护密码存储,控制关机,限制Everyone权限)和防火墙策略(限制SSH连接源,防御DoS,允许特定DNS请求)。所有更改需清晰截图并附说明,保存为PDF,命名规则为“网络安全模块A-XX”并提交至U盘。
11 0
|
9天前
|
安全 Linux 网络安全
2024年甘肃省职业院校技能大赛中职组 “网络安全”赛项竞赛样题-B模块基础设施设置/安全加固
该文档是关于企业服务器系统安全加固的任务说明,包括Windows和Linux环境。主要涉及密码和登录策略强化(如复杂度、锁定机制)、用户安全管理、本地安全策略设置(如关闭清理内存、禁止未登录关闭、限制软盘访问等)、流量保护、事件监控、服务加固(SSH、VSFTPD、IIS)以及防火墙策略(DNS转发、ping限制、端口禁用、MAC过滤、IP碎片防御、SSH访问控制)。要求对各种配置进行截图并以指定格式保存提交。
11 0

热门文章

最新文章