序言:
内网电脑如何设置才能更安全呢,如何设置才能通过等保测评呢,今天小编和大家聊聊终端安全加固那些事,希望对您有所帮助。
1、帐户策略
secpol.msc命令打开本地安全策略-安全设置-帐户策略。
(1)密码策略
(2)密码锁定策略
(3)本地用户和组
可以用lusrmgr.msc命令打开,或者右击计算机管理选项。
说明:
这3个配合使用,先禁用Guest账号、Administrator账号,新建一个账号授予管理员权限,然后给这个管理员权限账号设置8位数以上的复杂密码,这样配置帐户密码策略和锁定策略,会更安全。
2、查看默认共享
可以使用net share命令查看所有共享,或者计算机管理-共享文件夹-共享查看。
删除共享方法:
(1)可以使用net share c /del 删除共享名为c的隐藏共享
使用命令依次删除所有共享,直到列表为空。
(2)在就是那句管理(本地)-共享文件夹-共享-选中想结束的共享名-停止共享即可。
3、杀毒软件 杀毒软件是必须的,且病毒库要实时更新。 4、关闭高危端口 高危端口指:137-139,3389,445,方法如下: (1)开启防火墙 可以通过firewall.cpl或者控制面板-系统和安全-Windows防火墙打开
(2)防火墙高级设置入站规则中关闭高危端口 Windows防火墙-高级设置-高级安全Windows防火墙-入站规则-新建规则-规则类型-端口
(3)协议选择TCP,特定本地端口;137-139,445,3389
(4)设置个名称。
(5)同理按照上述的方法在入站规则中禁止UDP的137-139,445和3389端口访问进来。
(6)针对关闭137-139,445和3389端口也可以通过在交换机上使用ACL限制。
5、关闭自动播放
可以通过gpedit.msc打开组策略-计算机配置-管理模板-windows组件-自动播放策略-关闭自动播放-状态配置为“已启用”。
6、禁用Remote Registry服务
可以用命令services.msc或者计算机管理(本地)-服务和应用程序-服务查看。
7、设置屏幕保护程序
8、内网终端入网审核
例如:想接入内网,配置IP网络通了之后,安装盈高入网小助手,填写部门和姓名等,然后等待管理员审核。
ps:终端入网后,可以再通过IP MAC地址绑定,这样不能随便更IP。
9、其它还有设置主机BIOS密码,系统文件系统是NTFS,用户登陆开启审计策略等待。
总结:
终端安全一方面通过技术保障,一方面用户安全意识要加大,比如人离开桌面里面锁屏,不然再牛的技术你挡不住人家直接到你电脑瞎搞啊。