本文章旨在说明如何尽可能地加强Windows的安全性和隐私性。
免责声明：非专业人员请不要尝试在本文中的任何内容。

用户系统

administrator账号是否停用

判断依据：禁用则符合

知识储备：此安全设置确定是启用还是禁用本地管理员账户。注意设置该操作的时候，需要使用另一个管理员身份的账户进行设置，直接使用administered账户设置无效

检查方式：

a. 组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-账户：“管理员账户”

b. 本都用户和组-用户-Administration账户禁用

加固方式：禁用管理员账户

本地组策略编辑器：gpedit.mcs

命令行管理用户：

net user admin password@123 /add
net localgroup administrators admin /add

administrator重命名

判断依据：重命名后则符合

知识储备：管理员账号若为administrator，则爆破导致的管理员账号失陷的几率会变大。

检查方式：组策略-计算机配置-windows设置-安全设置-本地策略-安全选项-账户-“重命名系统管理员账户”

加固方式：重命名管理员账户

Guest账户停用

判断依据：停用则符合

知识储备：此安全设置确定是日用还是禁用，默认值为禁用

检查方式：

a. 组策略-计算机配置-windows设置-安全设置-本地策略-安全选项-账户-“来宾账户状态”

b. 本地用户和组-用户-Guest账户禁用

加固方式：停用Guest账户

Guest账户重命名

判断依据：重命名则符号

知识储备：组策略-计算机配置-windows设置-安全设置-本地策略-安全选项-账户-“重命名来宾账户”

加固方式：重命名Guest账户

关闭系统权限是a否只有administrators组

判断依据：仅匹配administrators组

知识储备：此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配:”关闭系统"

加固方式：仅设置为Administrators组

取得文件或其他对象的所有权限，仅Administrators组

判断依据：仅匹配Ad ministrator组则符合

知识储备：此安全设置确定哪些用户可以取得系统中任何安全对象(包括 Active Directory对象、文件和文件v、打印机、注册表项、进程以及线程)的所有权

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配:“取得文件或其他对象的所有权限”

加固方式：仅设置为Ad ministrators组

从网络访问此计算机，指定授权帐户

判断依据：单独指定则符合

知识储备：此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌面服务。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配“从网络访向此计算机”

加固方式：单独指定账户

口令策略

密码长度最小值

判断依据：最小长度为8则符合

知识储备：此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于1和14个字符之间,或者将字符数设置为0以确定不需要密码。

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：“密码长度最小值“

加固方式：设置最小长度为8

密码必须符合复杂性要求

判断依据：启用则符合

知识储备：如果启用此策略，密码必须符合下列最低要求

检查方式：组策略-计算机配置-Windo ws设置-安全设置-密码策略：“密码必须符合复杂性要求"

加固方式：启用密码复杂性要求

1．不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分
2．至少有六个字符长
3．包含以下四类字符中的三类字符：英文大写字母(A到z)英文小写字母(a 到z)基本数字(0到9)非字母字符(例如!、$、#、% )

密码最短使用期限

判断依据：最短使用期限为0则符合知识储备：

a.此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位),可以设置一个介于1和998天之间的值,或者将天数设置为0，允许立即更改密码。

b.密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为0，指明密码永不过期。如果将密码最长使用期限设置为0，则可以将密码最短使用期限设置为介于0和 998之间的任何值,

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：“密码最短使用期限”

加固方式：设置密码最短使用期限为0

密码最长使用期限

判断依据：默认90天则符合

知识储备：设置密码最长使用期限，使得攻击者用来破解用户密码以及访问网络资源的时间将受到限制。

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：”密码最长使用期限”

加固方式：设置密码最长使用期限为90

强制密码历史

判断依据：设置值大于等于5则符合

知识储备：

a.密码重复使用对于任何组织都是一个重要问题。许多用户希望在较长的时间段内为其帐户重复使用相同的密码。

b.为特定帐户使用相同密码的时间越长，攻击者通过暴力攻击确定密码的几率就越大。

检查方式：组策路-计算机配置-Windows设置-安全设置-密码策略：”强制密码历史"

加固方式：建议设置记住密码的个数为5

帐户锁定阀值

判断依据：默认为0则不符合

知识储备：

a.此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。

b.在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：”账户锁定阈值”

加固方式：设置账户锁定阈值

帐户锁定时间

判断依据：大于等于30分钟则符合

知识储备：

此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数,可用范围从0到99,999分钟。

如果将帐户锁定时间设置为0，帐户将一直被锁定直到管理员明确解除对它的锁定。

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略;”账户锁定时间”

加固方式：设置账户锁定时间大于等于30分钟

重置帐户锁定计数器

判断依据：大于等于30分钟则符合

知识储备：在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。

检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：”重置账户计数器”

加固方式：设置重置账户计数器大于等于30分钟

系统日志

系统日志存储最大大小

判断依据：设置存储大小20MB符合

检查方式：计算机-右键管理-事件查看器-日志属性

加固方式：设置系统日志存储最大大小为20MB

安全审计策略是否开启

判断依据：对应的安全策略都开启则符合

知识储备：通过本地组策路的方式打开审核策略，则可以记录用户大部分在操作系统上所作的操作，对于事后的应急响应入侵排查起到了至关重要的作用。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-审核策略 加固方式：打开以下策略的成功和失败动作

1.审核策略更改
2.审核登录事件
3.审核对象访问
4.审核进程跟踪
5.审核目录服务访问
6.审核特权使用
7.审核系统事件
8.审核帐户登录事件
9.审核帐户管理

安全项检查

Microsoft网络服务器：登录超时是否设置

判断依据：启用则符合知识储备：

a.此安全设置确定在连接到本地计算机的用户超出其用户帐户的有效登录时间时是否断开与用户的连接。此设置会影响服务器消息块(S MB)组件,

b.如果启用了此策略，一旦客户端的登录时间过期，该策略便会强制断开与SMB 服务建立的客户端会话。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-" Microsoft网络服务器;登录时间过期后断开与客户端的连接“

加固方式：启用网络服务器登录超时项

交互式登录：提示用户过期之前修改密码

判断依据：提前5天提示则符合

知识储备：确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-“交互式登录：提示用户过期之前修改密码”

加固方式：设置提前五天提示

交互式登录：不显示最后的用户名

判断依据：禁用则不符合

知识储备：

a.该安全设置确定是否在 Windows登录屏幕中显示最后登录到计算机的用户的名称。

b.如果启用该策略，则不会在登录屏幕中显示最后成功登录的用户的名称。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-“交互式登录：不显示最后的用户名

加固方式：启用不显示最后的用户名

网络访问：本地帐户的共享和安全模型

判断依据：默认启用则符合 知识储备：

a,此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型能够对资源的访问权限进行精细的控制。通过使用“经典”模型，你可以针对同一个资源为不同用户授予不同类型的访问权限。

b.如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户,使用“仅来宾”模型，所有用户都可得到平等对待。所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源,这些权限可以为只读或修改。

检查方式：组策略-计算机配置-Windows设置-安全放置-4地束哈"文主应项

网络访问：本地帐户的共享和安全模型”

加固方式：启用经典策略

网络访问：不允许SAM账户的匿名枚举

判断依据：不允许则符合

知识储备：Windows允许匿名用户执行某些操枚举用户得操作。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-“网络访问：不允许SAM账户的匿名枚举“

加固方式;启用不允许SAM账户的匿名枚举第略

是否允许空密码登录

判断依据：不允许则符合

知识储备：

a.此安全设置确定未进行密码保护的本地帐户是否可以用于从物理计算机控制台之外的位置登录。

b.如果启用此设置，则未进行密码保护的本地帐户将仅能够通过计算机的键盘登录。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-“帐户：使用空密码的本地帐户只允许进行控制台登录”

加固方式：启用该策珞

检查是否设置提示提升时切换到安全桌面

判断依据：提交至安全桌面则符合

知识储备：管理员和标准用户的所有权限提升请求都将转至安全桌面，相对而言安全桌面可帮助防止输入和输出欺骗。

检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-“用户帐户控制：提升时切换到安全桌面”

加固方式：启用该策略

信息保护

是否允许内存镜像转储

判断依据：默认允许则符合

知识储备：当系统发生崩溃时，系统会更具设置将部分或者全部内存进行镜像转储，分析人员可以通过这些镜像文件,来分析故障发生的威因。

检查方式：计算机右键-属性-高级系统设置-高级-启动和故障恢复-设置-写入调试信息

加固方式：开启内存镜像转储则符合

检查是否关闭默认共享盘

判断依据：存在非必要的则不符合

检查方式：计算机右键-管理-共享文件夹-共享,或者直接通过命令执行" net share

加固方式：关闭不需要的共享文件

禁止全部驱动器自动播放

判断依据：禁止全部驱动器自动播放则符合

知识储备：将介质插入驱动器，自动播放就开始从驱动器中进行读取操作，这样，程序的安装文件和音频媒体上的音乐将立即启动,这可能导致一些伪装的恶意程序被执行。

检查方式：控制面板-自动播放

加固方式：禁用全部驱动器自动播放

检查是否关闭了远程注册表

判断依据：关闭则符合

检查方式：服务管理-Remote Registry

加固方式：禁用Remote Registry服务