账号密码的加固
windows密码加密:windows对用户的密码进行加密时,是7位为一组做次hash运算,所以我们制定密码时密码的位数最好提7的倍数,其实这就解释了为什么7位的密码其实比8位的密码更安全的原因。
密码复杂性要求
大小写字母+数字+是好在20位以上+无意义组合+容易记忆+定期更改+方便替换
比如:
我正在看《次第花开》这本书,666!
wzzk《CIDIHUAKAI》zbs,666!
那么下次替换的时候就可以使用,我正在看《钝感力》这本书,666!
账户要求
- 最少化,主机上用户的数量越少越好,这样可以减少被***的机率
- 管理要经常遍历注册表当中用户列表,一定要看注册表当中的,这里不会欺骗你(LOCAL>sam>提升管理员权限>退出>再次打开>domains>account>users)
- 设置组策略当中的密码策略+账户策略。(计算机配置>windows设置>安全设置>账户策略)
syskey账号密码保护
运行“syskey”,如下图,当在“密码启动”设置完成之后,当重启时会让你输入启动密码。
设置账户陷阱
新建一个用户administrator,把原本的管理员的名字改成别的名字,然后把密码设置的无比复杂,最好达到上限128位,然后再将此用户禁用。
禁用不必要的服务
只要是当前的角色用不上的都是不必要的服务,进行“服务”进行关闭。
比如:smb服务,默认启用,但是一般用户用不上,此服务侦听445和139端口,通过网卡属性就可以进行禁用,如下图,把标示的这两个服务前的对勾去年即可禁用。
还有可以把server服务给禁用了,这是用来打印的,一般的用户也用不着。
对于管理服务这事儿,最好使用sc命令进行管理,因为我们在远程管理电脑或者是***别人的电脑的时候,如果是通过shell获取的命令权的话,那么命令就越大作用了。
取消默认共享
系统默认有这么多的共享
更新系统补丁
个人用户就在控制面板里面启动系统更新即可。
防火墙
windows自带的防火墙已经做的比较好了,保持开启就可以。