為了達到安全的目的，我們需要關注操作系統八個安全問題。在上一篇文章中小白介紹了其中補丁管理和賬號口令兩個方面的加固方法。在這片文章中，小白將會繼續介紹其他六個安全方面的加固方式。

三、賬號授權

1.遠程關機

在這里我們需要設置只允許管理員可以通過遠程進行關機操作，不允許其他用戶進行關機操作，尤其是如果安裝了某些軟件，軟件自動創建的用戶可能擁有關機的權限，應該屬于禁止的范疇內。

*檢查與加固方法

第一步，開始-運行，在運行輸入框處輸入secpol.msc命令，打開本地安全設置。
相關命令（運行窗口）

secpol.msc

第二步，點開 安全設置-用戶權限分配，在右邊找到“從遠程系統強制關機”設置，查看是不是只指派給administrators用戶組。

如果有多個用戶和組，請刪除。

2.本地關機

不止是遠程關機，本地關機也應該禁止除了管理員以外的用戶進行關機這樣的危險操作，防止給業務造成不必要的損失。

*檢查與加固方法

還是在同樣的地方，在右邊找到“關閉系統”設置，查看，是不是只指派給administrators用戶組。

3.權限分配

一般來說我們部署業務和應用的時候，應該遵循的是最小權限的原則，能夠不用到管理員權限就盡量不用到，盡量使用普通權限用戶部署。這樣，即使黑客入侵到了我們的服務器，也并不會得到太大的權限，將損失降低到最小。

所以，在這里設置權限分配的目的就是為了讓普通用戶的權限盡可能的低，除了管理員之外，其他賬號均不能取得文件的所有權。

*檢查與加固方法

第一步，開始-運行，在運行輸入框處輸入secpol.msc命令，打開本地安全設置。
相關命令（運行窗口）

secpol.msc

第二步，點開 安全設置-用戶權限分配，在右邊找到“取得文件或者其它對象的所有權”設置，查看是不是只指派給administrators用戶組。

4.授權賬號登陸

授權賬號登陸的意思是允許哪些賬號可以登錄系統。比如說如果計算機上面有安裝apache、mysql等，這些軟件在安裝的過程中都會默認創建一個系統賬號，這一步設置的目的也是為了不允許這些非管理員創建的賬號登陸系統，防止被黑客利用。

*檢查與加固方法

第一步，開始-運行，在運行輸入框處輸入secpol.msc命令，打開本地安全設置。
相關命令（運行窗口）

secpol.msc

第二步，點開 安全設置-用戶權限分配，在右邊找到“允許本地登錄”設置，查看是不是為授權的賬號。

如果存在其它可以用戶或用戶組，請刪除。

5.授權賬號從網絡訪問

這里設置的是哪些賬號可以通過遠程登陸的方式訪問我們的計算機。如果在這里，我有一個xiaobaike的賬號，但是我不想要讓這個賬號能夠遠程登陸如果xiaobaike這個賬號出現在這個策略列表中，那就顯得很奇怪的。如果發現，請刪除。

*檢查與加固方法

第一步，開始-運行，在運行輸入框處輸入secpol.msc命令，打開本地安全設置。
相關命令（運行窗口）

secpol.msc

第二步，點開 安全設置-用戶權限分配，在右邊找到“從網絡訪問此計算機”設置，查看是不是為授權的賬號。

上圖發現列表中存在Everyone這個用戶，表示任何人都可以通過遠程登陸的方式登陸你的計算機，這相當的危險。就像前面小白介紹的《一次完整的攻擊行為》這篇文章，最后就是通過新創建一個賬號登陸了計算機。所以除非必要，請刪除everyone這個賬號！

第三步，在cmd命令行界面中輸入gpupdate /force命令，使設置立即生效。
相關命令（cmd窗口）

gpupdate /force

四、系統優化

1.設置屏幕保護

有的時候，攻擊者不一定要從網絡上攻擊你的計算機，也可能趁著你離開時時候操控你的計算機，偷取存在你計算機上面的重要資料！所以小白在這里提醒大家，離開的時候電腦要鎖屏！鎖屏！鎖屏！重要的話說三遍

然而，百密也有疏忽的一天，假設某天突然忘記了，計算機被人動了，咋辦？小白這里有一個辦法，就是設置屏幕保護程序，并且設置屏幕保護程序的同時設置“在恢復時使用密碼保護”，增加保護措施。

*檢查與加固方法

進入“控制面板－>外觀和個性化－>個性化－>更改屏幕保護程序”：查看是否啟用屏幕保護程序，設置等待時間為“10分鐘”，是否啟用“在恢復時使用密碼保護”

2.禁止系統自動登錄

同剛在防止電腦在你離開時被別人亂動的例子，在這里設置第三重保護措施。設置當系統自動休眠后，激活的時候需要輸入密碼才能繼續使用。

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框處輸入cotrol userpasswords2命令，進入用戶賬戶設置
相關命令（運行窗口）

control userpasswords2

3.隱藏最后一次登錄名

不知道大家有沒有注意到一點，我們平時在使用計算機的時候，如果登陸過一次這臺計算機，系統就會默認顯示最后一次的登陸名。其實這是一個很不好的點，尤其是當攻擊者嘗試登陸的時候，他可以一下子就看到你系統的登錄名。這時候他只要寫一個爆破密碼的小腳本，那么他入侵你計算機的可能性就大大增加。

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框處輸入secpol.msc命令，打開本地安全設置。

第二步，點開 安全設置-本地策略-安全選項，在右邊找到**“交互式登錄：不顯示最后的用戶名” **查看設置是否處于已啟用狀態，如果沒有，請啟用。

4.關閉windows自動播放功能

這個地方非常的重要，為什么呢？windows默認如果系統檢測到存在新的設備，它會去自動運行這個設備。假設如果我們打開了自動播放功能，當攻擊者插入一個帶有惡意病毒的U盤時，windows就會自動的執行這個U盤上面的病毒，從而使我們的計算機處于非常危險的狀態，所以必須要關閉windows的自動播放功能。

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框處輸入gpedit.msc命令，打開組策略編輯器

第二步，在的出現“組策略”窗口中依次選擇 計算機配置-管理模板-系統，右邊找到 “關閉自動播放”，雙擊，查看是否設置“已啟用”

第三步，在cmd命令行界面中輸入gpupdate /force命令，使設置立即生效。

五、服務管理

1.優化管理

關閉windows上不需要的服務，減小風險。在這里，小白建建議將以下服務停止，并將啟動方式修改為手動：

DHCP Client
Messenger
Remote Registry
Print Spooler（不使用打印可以關閉）
Server（不使用文件共享可以關閉）
Simple TCP/IP Service
Simple Mail Transport Protocol (SMTP)
SNMP Service
Task Schedule
TCP/IP NetBIOS Helper

關閉的方法：
第一步，點擊 開始-運行，在運行輸入框處輸入services.msc命令，打開服務管理器
相關命令（運行窗口）

services.msc

第二步，將不需要使用的服務關閉，并設置為手動。

2.關閉共享

默認情況下，計算機的磁盤是默認開啟共享的，如果配合windows特有的IPC$空鏈接的話，攻擊者是可以不需要賬戶名密碼就可以竊取你計算機上的資料的（后面的文章中小白會有介紹）

所以在這里，我們要做的就是關閉計算機系統中各個磁盤的共享

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框處輸入regedit命令，打開注冊表編輯器。

第二步，依次打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右邊新建-DWORD，名字為 AutoShareServer，雙擊設置鍵值為0。

六、遠程訪問控制

1.網絡限制

遠程訪問計算機的形式肯定不止通過遠程連接你的計算機這一種方法，還有遠程連接共享文件夾、遠程連接磁盤、遠程連接控制器，遠程連接cmd命令行等等。尤其是遠程連接控制臺，windows是可以不需要密碼就可以遠程連接控制臺的，十分危險。

接下來，我們需要做額外的網絡限制來保障我們的系統安全。

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框中輸入secpol.msc打開 本地安全設置

第二步，依次點開 安全設置-本地策略-安全選項，檢查右邊的下列項

網絡訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用
網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用
網絡訪問: 將 everyone權限應用于匿名用戶：已禁用
帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用

第三步，在cmd命令行界面中輸入gpupdate /force命令，使設置立即生效。

七、文件系統

1.使用NTFS文件系統

NTFS相比FAT32更具有安全性

*檢查與加固方法

第一步，右鍵磁盤，選擇屬性，查看是否為NTFS

第二步，如果不是，可以用以下命令轉換（無需格式化），也適用于U盤的文件系統轉換。
轉換命令（cmd窗口）

convert <驅動器盤符>: /fs:ntfs

2.檢查everyone的權限

為了系統的安全性，everyone不應該擁有磁盤的所有權

*檢查和加固方法

第一步，選擇磁盤-屬性-安全，檢查eceryone用戶是否有所有權

第二步，刪除Everyone的權限或者取消Everyone的寫權限

3.命令權限限制

除了system和administrators組和必要的組以外，不讓其他用戶執行以下特殊命令:

cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exeregedit.exe、regedt32.exe、cacls.exe、command.com、at.exe

*檢查與加固方法

第一步，打開 我的電腦-c:/windows/system32文件夾找到
cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exeregedit.exe、regedt32.exe、cacls.exe、command.com、at.exe

第二步，點擊屬性-安全，查看哪些用戶擁有執行權限。

如果有其他無關組，請刪除。

八、日志審核

1.增強日志

在這里設置增大日志量的大小，避免因為容量太小而日志記錄記錄不全，發生緊急事情時無法找到對應日志。

*檢查與加固方法

第一步，點擊 開始-運行，在運行輸入框處輸入eventvwr.msc 命令，打開 事件查看器。
相關命令（運行窗口）

eventvwr.msc

第二步，分別查看“應用程序”、“安全”、“系統”的屬性

第三步，根據需要設置日志大小上限

2.增強審核

對系統事件進行審核，在日后出現故障時用于排查故障

*檢查與加固

第一步，點擊 開始-運行，在運行輸入框中輸入secpol.msc命令，打開本地安全設置。

第二步，以此點 安全設置-本地策略-審核策略，在右邊設置如下

審核策略更改：成功，失敗
審核對象訪問：成功，失敗
審核系統事件：成功，失敗
審核帳戶登錄事件：成功，失敗
審核帳戶管理：成功，失敗
審核登錄事件：成功，失敗
審核過程跟蹤：成功，失敗
審核目錄服務訪問：成功，失敗
審核特權使用：成功，失敗

第三步，在cmd命令行界面中輸入gpupdate /force命令，使設置立即生效。

Ps：喜歡的留個贊b(￣▽￣)d ~

也可以關注專題：黑客師。

下一篇文章：小白客帶你走進黑客世界9