Windows操作系统本身已经提供了多种安全机制，如标识与鉴别、访问控制、用户账户控制、安全审计、文件系统。但是，这并不意味着操作系统就固若金汤。事实上，任何一个Windows版本都或多或少的存在着漏洞，而且在不断的被挖掘出来。Windows安装之后默认配置是不安全的，如果不重新进行配置的话，将存在大量安全隐患。现在，我们来介绍如何对Windows系统进行安全加固？1补丁安装

查看系统中安装的补丁包，安装未安装的补丁包，后续关注官网补丁包的更新，定时更新补丁包。

2账户安全设置管理员账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。因此一种安全设置方法是将系统默认管理员Administrator改名，设置较高强度的口令。对系统中的账户进行整理，禁用Guest账户和日常不使用的账号。在管理启用/禁用账户的同时，对各个账户设置口令策略。供参考的口令策略为：1)至少8个字符；2)包含至少下面4个字符组中的3种：英文大写字母A-Z；英文小写字母a-z；数字0-9；非字母数字字符(如!$#%)；3)不要包含用户姓名、用户名或任何常见词的任意部分；

4)一个月到两个月定期修改口令。

3用户权限指派打开“本地策略”→“用户权限指派”。进入“用户权限指派”管理界面，根据需要可以设置：1)从网络访问此计算机，删除不必要的用户；

2)从远程系统强制关机，删除全部账户；

4口令策略

打开“本地策略->审核策略”中，所有审核策略都要设置为“成功”和“失败”都要审核。

5禁止ipc$空连接

在默认的情况下，任何用户都可以通过空连接连接到服务器上，枚举账户并猜测口令。因此，必须禁止建立空连接。打开注册表

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA"，修改RestrictAnonymous = DWORD的键值即可禁止ipc$空连接。

6关闭常见入侵端口(1)关闭139端口ipc和RPC漏洞通过139端口攻击。打开“控制面板”，然后依次单击：“网络和共享中心”→“更改适配器设置”→“本地连接”，选择“属性”，选择“Internet协议(TCP/IP)”，进入“高级TCP/IP设置”对话框，选择"WINS"标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。(2)关闭445端口445端口常用于局域网中文件夹和打印机共享，但也带来了各种风险。为了关闭445端口，可以打开注册表，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在该项下选择建立一个 QWORD类型键值，将该键名称设置为SMBDeviceEnabled，数值设置为0。还要把操作系统的server服务关闭，命令行输入services.msc，进入服务管理控制台，然后找到server服务，把这个服务的改为禁用，并停止。(3)关闭3389端口在“我的电脑”上右键单击选“属性”→“远程”，将里面的远程协助和远程桌面两个选项框里的勾去掉，并禁用Telnet、Terminal Services这两个危险服务。(4)关闭135打开注册表操作如下。

1) 将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下EnableDCOM的值改为"N"，以及打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc下DCOMProtocols键，在对应值中删除"ncacn_ip_tcp"；

2)确认停用

"Distributed Transaction Coordinator"服务。

7关闭默认共享在命令窗口中输入命令，删除C盘默认共享。同样的方法可删除其他磁盘的默认共享。

也可以进入控制面板找到共享文件夹-共享，将描述为"默认共享"的共享名删除掉。

8禁用不必要服务在控制面板里，选择管理工具后，选择服务，设置关闭以下服务。1)Alerter——通知所选用户和计算机有关系统管理级警报；2)ClipBook——启用“剪贴簿查看器”储存信息并与远程计算机共享；3)Distributed Link Tracking Server——用于局域网更新连接信息；4)Indexing Service——提供本地或远程计算机上文件的索引内容和属性；5)Messenger——信使服务；6)NetMeeting Remote Desktop Sharing——允许授权用户通过NetMeeting在 网络上互相访问；7)Network DDE——为在同一台计算机或不同计算机上运行的程序提供动态数据交换；8)Network DDE DSDM——管理动态数据交换(DDE)网络共享；9)Remote Desktop Help Session Manager——远程帮助服务；10)Remote Registry——远程计算机用户修改本地注册表；11)Routing and Remote Access——在局域网和广域网中提供路由服务；12)Server——支持此计算机通过网络的文件、打印和命名管道共享；13)TCP/IP NetBIOS Helper——提供对TCP/IP服务上的NetBIOS和网络上客户 端的NetBIOS名称解析的支持，使用户能够共享文件、打印和登录到网络；14)Telnet——允许远程用户登录到此计算机并运行程序；

15)Terminal Services——远程登录到本地电脑。

9本地安全策略设置命令行输入gpedit.msc打开本地组策略编辑器，在“本地策略”→“安全选项”，设置如下策略。1)交互式登录：无须按Ctrl+Alt+Del，设置为已禁用；2)交互式登录：不显示最后的用户名，设置为已启用；3)网络访问：不允许SAM账户的匿名枚举，设置为已启用；4)网络访问：可匿名访问的共享，将策略设置里的值删除；5)网络访问：可匿名访问的命名管道，将策略设置里的值删除；6)网络访问：可远程访问的注册表路径，将策略设置里的值删除；7)设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用；8)关机:清除虚拟内存页面文件，设置为已启用。

10启用防火墙

启用Windows自带防火墙或安装第三方软件防火墙。启用Windows自带防火墙可参考：“控制面板”→“Windows防火墙”。

11安装杀毒软件

建议用户安装杀毒软件，并经常更新杀毒软件的病毒库，以便查杀最新病毒。

以上是常用的windows安全加固方法，在我们等级保护测评整改中以及在做操作系统安全加固项目时，都有非常重要的参考价值。关 注 我有更多干货给你哦~“

如有咨询需求，发送daluzixun@163.com，期待您的联系~

关于大路咨询

大路咨询专注于信息咨询和研究。以安全为主体，从国际国内标准、国家政策、行业态势、大众认知等多个维度进行深度剖析。关注大路咨询，让我们一起共同交流、共同学习。

更多专业技术分享，敬请期待~