账号及安全策略

温馨提示

mmc打开控制台
secpol.msc 管理工具
eventvwr.msc 修改日志
dcomcnfg 关闭135端口
services.msc 服务
regedit 注册表
立即生效：gpupdate /force

第一部创建用户

账号安全设置
设置方法：“开始”—“运行”输入secpol.msc（控制面板——管理工具）
立即生效：gpupdate /force
账号策略
密码必须符合复杂性要求：启用
密码长度最小值 8个字符
密码最长使用期限： 30天
强制密码历史： 3个记住的密码

账号锁定
帐户锁定阀值： 3次无效登陆
帐户锁定时间： 30分钟
复位帐户锁定计数器：30分钟之后

禁用guest

“我的电脑“右击”管理“打开—计算机管理—本地用户和组—用户—Guest—右键—属性—
常规—选择“账户已禁用”。

或者
net user guest /active:no

Administartor账号、组重命名，可增加账号安全性
wmic useraccount where name=‘Administrator’ call Rename admin
wmic computersystem where “name=’WORKGROUP’” call joindomainorworkgroup “”,”",”MyGroup”,1

对重要事件进行审核记录，方便日后出现问题时查找问题根源。
审核策略：
审核策略更改 成功，失败
审核登陆事件 成功，失败
审核对象访问 失败
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功，失败
审核账户登陆事件 成功，失败
审核帐户管理 成功，失败

日志安全设置

设置方法：“开始”—“运行”输入eventvwr.msc

增大日志大小，避免由于日志文件容量过小导致重要日志记录遗漏
日志类型 日志大小 覆盖策略
应用程序 80000KB 覆盖早于30天的日志

安全日志 80000KB 覆盖早于30天的日志
系统日志 80000KB 覆盖早于30天的日志

安全选项策略设置

Microsoft 网络服务器：当登录时间用完时自动注销用户（启用）
目的：可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录

Microsoft 网络客户端：发送未加密的密码到第三方SMB服务器（禁用）
目的：禁止发送未加密的密码到第三方SMB服务器

故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问（禁用）
目的：禁止它访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录%systemroot%
目录及子目录，即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘

故障恢复控 制台:允许自动系统管理级登录（禁用）
目的：恢复控制台是Windows 2003的一个新特性，它在一个不能启动的系统上给出一个受限的命
令行访问界面。可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统

关机：清除虚拟内存页面文件（启用）
目的：某些第三方的程序可能把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一
些敏感的资料。关机的时候清除页面文件，防止造成意外的信息泄漏

关机：允许系统在未登录前关机（禁用）
目的：在未登录前不能关闭计算机

关机：允许系统在未登录前关机（禁用）
目的：在未登录前不能关闭计算机

交互式登录：不需要按Ctrl+Alt+Del（禁用）
目的：登录时需要按CTRL+ALT+DEL

交互式登录：可被缓存的前次登录个数（设置缓存数为0，此项对域服务器无效。）
目的：登陆时不显示上次的用户名，防止暴露用户名

网络访问：不允许SAM帐户和共享的匿名枚举（启用）
目的：禁止使用匿名用户空连接枚举系统敏感信息

网络访问：不允许为网络身份验证储存凭证或 .NET passports(启用）

审核：如果无法记录安全审核则立即关闭系统 （启用）

安全选项策略设置

网络访问：本地账户的共享和安全模式：仅来宾–本地账户以来宾用户身份验证

网络访问：可匿名访问的共享（全部删除）

网络访问：可匿名访问的命名管道 （全部删除）

网络访问：可远程访问的注册表路径（全部删除）

网络访问：可远程访问的注册表路径和子路径 （全部删除）

用户权限策略设置

从网络访问此计算机”中删除PowerUsers和BackupOperators

“拒绝本地登录”中添加web和guest用户

权限设置

系统分区C盘 administrator、system完全控制
C:Documents and Settings administrator、system完全控制
C:windowssystem32 administrator读写
C:progran files 为Common File目录之外的所有目录赋予Administrators 和SYSTEM 完全控制
C:windows 系统管理员完全控制、system拒绝(继承)
C:windowssystem32 其关键程序只允许administrator完全控制
C:Inetpub administrator、system完全控制，必要时可以删除该目录
网站目录所在磁盘 administrator、system完全控制

系统共享

查看共享

使用net share <共享名> /del 删除默认共享

修改3389端口
修改端口1,按照路径打开，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp ，双击文件，切换到十进制，默认是3389，将他修改为其他数字，比如8888,6666等等，确定。

HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp，修改PortNamber的值，方法同上

关闭135端口
首先输入dcomcnfg
按照如图设置



然后进入注册表

找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpc
然后新建一项 Internet

关闭136、137、138端口最快方法

这样设置就行了

最后

以上就是含糊电脑为你收集整理的账号及安全策略加固账号及安全策略温馨提示禁用guest日志安全设置安全选项策略设置安全选项策略设置用户权限策略设置权限设置系统共享的全部内容，希望文章能够帮你解决账号及安全策略加固账号及安全策略温馨提示禁用guest日志安全设置安全选项策略设置安全选项策略设置用户权限策略设置权限设置系统共享所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。