1. 禁止 root 用户直接登陆
- 编辑配置文件 / etc/ssh/sshd_config 修改 PermitRootLogin 后面的 yes 为 no , 并且去掉前面的注释符
- 编辑 /etc/pam.d/login 文件,配置 auth required pam_securetty.so
- 编辑 / etc/passwd, 账户信息的 shell 为 / sbin/nologin 的为禁止远程登陆,如要允许,则改成可以登陆的 shell 即可,如 / sbin/bash。
- 然后重启 sshd 服务 service sshd restart
2. 设置用户密码复杂度和过期时间
是在 / etc/login.defs 文件,里面几个选项
PASS_MAX_DAYS 90 # 密码最长过期天数
PASS_MIN_DAYS 80 # 密码最小过期天数
PASS_MIN_LEN 10 # 密码最小长度
PASS_WARN_AGE 7 #密码过期警告天数
3. 登陆超时设置
/etc/profile 最后一行加入 TMOUT=300
4. 系统关键文件权限设置
通过 chmod 命令对目录的权限进行实际设置
/etc/passwd 必须所有用户都可读,root 用户可写 –rw-r—r—
/etc/shadow 只有 root 可读 –r————
/etc/group 须所有用户都可读,root 用户可写 –rw-r—r—
使用如下命令设置:
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group
5. 设置文件与目录缺省权限
在文件 / etc/profile 中设置 umask 027 或 UMASK 027
设置默认权限:
vi /etc/login.defs,
在末尾增加 umask 027 或 UMASK 027,将缺省访问权限设置为 750
6. 设置 ssh 登录前警告 Banner
执行如下命令创建 ssh banner 信息文件:
touch /etc/ssh_banner
chown bin:bin /etc/ssh_banner
chmod 644 /etc/ssh_banner
echo “Authorized only. All activity will be monitored and reported”> /etc/ssh_banner
可根据实际需要修改该文件的内容。
修改 / etc/ssh/sshd_config 文件,添加如下行:
Banner /etc/ssh_banner
重启 sshd 服务:
/etc/init.d/sshd restart
7. 设置文件与目录缺省权限
在文件 / etc/profile 中设置 umask 027 或 UMASK 027
设置默认权限:
vi /etc/login.defs,
在末尾增加 umask 027 或 UMASK 027,将缺省访问权限设置为 750
如果服务器类型为采集服务器或应用中需要使用 ftp 的,需要设置 umask 为 007,并把 ftp 用户组和启动应用的用户设置为同一用户组下
8. 修改 ssh 默认端口
vi /etc/ssh/sshd_config 修改
Port 17382
service sshd restart
9. 限制用户 su 到 root
编辑 su 文件 (vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient pam_rootok.so 和
auth required pam_wheel.so group=wheel 这表明只有 wheel 组的成员可以使用 su 命令成为 root 用户。
你可以把用户添加到 wheel 组,以使它可以使用 su 命令成为 root 用户。
添加方法为:usermod –G wheel username
备注:双方共同运维服务器,且 root 密码为我方知晓时设置
10. 检查拥有 suid 和 sgid 权限的文件
执行命令:
find /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /usr/sbin/traceroute /bin/mount /bin/umount /bin/ping /sbin/netreport -type f -perm -04000 -o -perm -02000 -type f -xdev 2>/dev/null
如果存在输出结果,则使用 chmod 755 文件名 命令修改文件的权限。
例如:chmod a-s /usr/bin/chage
注: 所有软件最好用最新版本.
1. 账户管理和认证授权
1.1 账户
默认账户安全禁用 Guest 账户。禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)
操作步骤:打开控制面板 - 管理工具 - 计算机管理,在系统工具 - 本地用户和组 - 用户中,双击 Guest 帐户,在属性中选中帐户已禁用,单击确定。
按照用户分配帐户
按照用户分配帐户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。
操作步骤:打开控制面板 - 管理工具 - 计算机管理,在系统工具 - 本地用户和组中,根据您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等。
定期检查并删除与无关帐户
定期删除或锁定与设备运行、维护等与工作无关的帐户。
操作步骤:打开控制面板 - 管理工具 - 计算机管理,在系统工具 - 本地用户和组中,删除或锁定与设备运行、维护等与工作无关的帐户。
不显示最后的用户名
配置登录登出后,不显示用户名称。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 安全选项中,双击交互式登录: 不显示最后的用户名,选择已启用并单击确定。 
本地安全策略
文伴) 操作 A) 查看) 帮助
x
国围
民
?
面
Di
安全设置
策略
安全设置
账户策略
Microsot 网络客户端: 将未加密的密码发送到第三方
已禁用
本地策略
图关机: 清除虎拟内存页面文件
已禁用
关机:
审核策略
时关机: 允许系统在未登录的情况下关闭
已禁用
用户权限分配
恢复控制台: 允许软盘复制并访问所有驱动器和所有文件夹
已禁用
安全选项
恢复控制台: 允许自动管理登录
已禁用
高级安全 WinDOWs 防火墙
瀚交互式登录: 不显示最后的用户名
已启用
网络列表管理器策略
防交互式登录: 试图登录的用户的消息标题
公钥策略
团交互式登录: 试图登录的用户的消息文本
软件限制策略
没有定义
交互式登录: 锁定会话时显示用户信息
应用程序控制策略
图交互式登录: 提示用户在过期之前更改密码
5 天
IP 安全策略, 在本地计算机
阿交互式登录: 无须拔 Ctr1+41t+Del
已禁用
高级审核策略配置
阿交互式登录: 需要域控制器身份验证以对工作站进行解
已禁用
交互式登录: 需要智能卡
已禁用
10 登录
交互式登录: 之前登录到缓存的次热或控制器不可用时
无操作
图交互式登录: 智能卡移除行为
已启用
设备: 防止用户安装打印机驱动程序
没有定义
设备: 将 CD-ROM 的访问权限仅限于本地登录的用户
没有定义
网设备: 将软盘驱动器的访问权限仅限于本地登录的用户
圆设备: 允许对可移动媒体进行格式化并弹出
没有定义
设备: 允许在未登录的情况下弹出
已启用
审核: 对备份和还原权限的使用进行审核
已禁用
已禁用
审核: 对全局系统对象的访问进行审核
反… 没有定义
审核: 强制审核策略子类别设置 windoWsViste 或更
审核: 如果无法记录安全审核则立即关闭系统
已禁用
时网络安全: LAN 管理器身份验证级别
没有定义
图网络安全: LDAP 客户端签名要求
协商签名
网络安全: 其干 T_sSP 的包安 P 日务哭
要求 128 位加率
1.2 口令
密码复杂度
密码复杂度要求必须满足以下策略:
最短密码长度要求八个字符。启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的两种:英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符,如标点符号,@, #, $, %, &, *等
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在帐户策略 - 密码策略中,确认密码必须符合复杂性要求策略已启用。
密码最长留存期
对于采用静态口令认证技术的设备,帐户口令的留存期不应长于 90 天。
操作步骤打开控制面板 - 管理工具 - 本地安全策略,在帐户策略 - 密码策略中,配置密码最长使用期限不大于 90 天。
可本地组策略编抵器
文件)
操作 0)
查看 V)
帮助 OO
本地计算机策略
安全设置
销略 A
计算机配置
购密码必须符合复杂性要求
已启用
软件设置
胸密码长度最小值
8 个字符
购密码最短使用其限
90 天
Windows 设置
域名解析策略
田
两密码最长使用期限
180 天
脚本 (自动 / 关机)
0 个记住的密码
肉强制密码历史
安全设置
因用可还原的加密来佑存密码
已禁用
账户策略
密码策略
田
账户馈定策略
本地策略
高级安全霸 indors 防火培
网络列表管理器策略
公钥策略
软件限制策略
应用程序控制策略
TP 皮今悠邮无市
帐户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 10 次后,锁定该用户使用的帐户。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在帐户策略 - 帐户锁定策略中,配置帐户锁定阈值不大于 10 次。
配置样例: 
员本地组策略编捕器
文件) 操作)
查看 V)
V) 帮助 O
本地计算机策略
策略:
安全设贵
扬账户锁定时间
上计算机配贡
30 分钟
软件设置
5 次无效登录
阿账户锁定讯值
日
Windows 设置
晒重置账户馈定计数器
30 分钟之后
域名解析策略
脚本 (启动 / 关机)
安全设置
a 账户策略
, 密码策略
账户谈定策略
本地策略
高级安全 windons 防火墙
网络列表管理器策略
公钥策略
软件限制策略
应用程序控制策略
QI 安全策略, 在本地计算机
高级审核策略配置
加基于策略的 90s
管理模板
1.3 授权
远程关机
在本地安全设置中,从远端系统强制关机权限只分配给 Administrators 组。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 用户权限分配中,配置从远端系统强制关机权限只分配给 Administrators 组。
本地关机
在本地安全设置中关闭系统权限只分配给 Administrators 组。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 用户权限分配中,配置关闭系统权限只分配给 Administrators 组。
用户权限指派
在本地安全设置中,取得文件或其它对象的所有权权限只分配给 Administrators 组。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 用户权限分配中,配置取得文件或其它对象的所有权权限只分配给 Administrators 组。
授权帐户登陆
在本地安全设置中,配置指定授权用户允许本地登陆此计算机。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 用户权限分配中,配置允许本地登录权限给指定授权用户。
授权帐户从网络访问
在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 用户权限分配中,配置从网络访问此计算机权限给指定授权用户。 
日本地组策略编抗器
查看 V)
帮助 O
文件) 损
本地计算机策略
串酯
T 女全球页
备份文件和目录
计算机配置
AdhinistratorBac
软件设置
防创符号链接
田
Adwinistretors
windowe 设置
因创全局对象
LOCALSERVICEETTOR.
域名解析策略
防创惜一个令牌对象
周神本 (启动 / 关机)
为创健一个页面文件
Adoinistrators
安全设置
创建永久共享对象
辉账户策略
图丛扩展鸡上取下计算机
密码策略
田
购从网络访问比计算机
Everyont,adinistrat…
账户馈定策略器
从远程系统强制关机
Administretors
本地策略
图更改时区
LOCALSERVICEADINI…
审核策略
肉更改系统时间
LOCALSERVICEDINI…
a 用户权联分配
时关闭系统
Administretors,Bacmu.
安全选项
时管理中核和安全日志
高级安全置 indows 防火墙
Adoinistrators
还原文件和目录
AdainistratorsBca
网络列表管理器策略
加戴和卸载设备返动程序
公钥策略
Adninistritors
随将工作站添加到域
软件限制策略
的拒绝本地登录
应用程序控制策略
I 安全菲略, 在本地计算机
时拒绝从网络访问这台计算机
高级审核策略配置
购拒绝通过远程桌面服务登录
小基于策略的 9as
随拒绝以服务身份登录
管理模板
随拒绝作为批处理作业登录
用过户配置
随配置文件单个进程
Adainistretors
软件设置
8 配置文件系统性能
Adhinistratory
明
Windows 设置
厨取得文件或其他对象的所有权
Administrators
管理模板
购缆过遍历检查
Everyone,LCALSERVT…
购身份验证后模拟客户端
LOCALSERVICENETTOR.
购生成安全审核
LOCALSERVICENETWOR..
冈锁定内存页
因提高计划优先级
Adainistrators
替换一个进程级令牌
LOCALSERVICENETOR.
商调试程序
Administrators
图同步目录服务数据
图为进程调整内存配顿
LOCALSERVICETOR
信任计算机和用户账户可以执行委派
随修改固件环境值
Adainistretors
修改一个对象标签
图以操作系统方式执行
明允许本地登录
Adninistratorsusers..
允许通过远程桌面服务登录
AdwinistratorsRmot…
图增加进程工作集
Users
图执行卷维护任务
Adoinistretors
肉作为服务登录
NTSERVICENALLSERVT
质作为批处理作业登录
AdainistretorBacku.
热作为受信任的叫方访问货据管理器
2. 日志配置操作
2.1 日志配置
审核登录:设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的 IP 地址。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核登录事件。
审核策略:启用本地安全策略中对 Windows 系统的审核策略更改,成功和失败操作都需要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核策略更改。
审核对象访问:启用本地安全策略中对 Windows 系统的审核对象访问,成功和失败操作都需要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核对象访问。
审核事件目录服务访问:启用本地安全策略中对 Windows 系统的审核目录服务访问,仅需要审核失败操作。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核目录服务器访问。
审核特权使用:启用本地安全策略中对 Windows 系统的审核特权使用,成功和失败操作都需要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核特权使用。
审核系统事件:启用本地安全策略中对 Windows 系统的审核系统事件,成功和失败操作都需要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核系统事件。
审核帐户管理:启用本地安全策略中对 Windows 系统的审核帐户管理,成功和失败操作都要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核帐户管理。
审核过程追踪:启用本地安全策略中对 Windows 系统的审核进程追踪,仅失败操作需要审核。
操作步骤:打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 审核策略中,设置审核进程追踪。 
昌本地组策略编损器
之件) 操作) 查看) 帮助 O
X
迅
?E
回
安全设置
本地计算机策略
策略 -
计算机配置
药审核策略更改
成功, 失败
软件设置
审核登录事件
田
成功, 失败
Windows 设置
的审核对象访问
成功, 失败
域名解析策略
防审核进程银踪
成功, 失败
脚本 (自动 / 关机)
的审核目录服务访问
成功, 失败
安全设置
润审核持权使用
成功, 失败
营账户策略
购审核系统事件
成功, 失败
罗密码策略
因市核账户登录事件
成功, 失败
营账户锁定策略
沟审核账户管理
成功
本地策略
市核策略
用户权限分配
安全选项
高级安全 WinDo 蕾 s 防火塔
网络列表管理器策略
公钥策略
软件限制策略
田
应用程序控制策略
IP 安全策略, 在本地计算机
高级审核策略配置
基于策略的 Q0S
管理模板
用户配置
日志文件大小
设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
操作步骤:打开控制面板 - 管理工具 - 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。 
开子往童香区
文伴楼食) 豆香
红吃国贸团
乐年庄直日 035)
特同费炸
幂炸址: 快
G 定文榴费
根园任东
迎话
201777/199999
0 体号
6010 龟文礼菌..
0 信
2017/1/1fo% 日
防用寨序快型馆司的)
5 墙嘻
501// 日名粉.
母入 0 字义微店
茂
0 做
郁哈的..
601T//15%
一在商计库饰标务日惠
51M
2017/5/10R 心
鸿选习树日惠
全名棋
|6 请
5011/1/10 按 90
属性
51 高
N01/1/10207
日本蘑特心)
量
壶抗..
Q011/1/101550
日大小
1.07MECL118308 个手
8012/1/101515
or
等垢有子件品南力..
家重时趣
2018 年 6 月 6 日 135202
标任闲配方管线日意.
梅改计摩
赛芒工 g]
物饭
铁的摩
日裸粉
Meoscup 安星 O 别得止
口国电日获 25 日
事 ntw0mmac0c
日表头大大火 x00
104 奶]
国事律震钱
达界界件日本委大大小
S 均闲用加具赛件
线餐型蒸额 018 年 4 饭 593x0)
会复朝
广田润河其择书不限蒸物 14)
不盟惠客 4(0E 日惠 0N)
物所
花炒
浙的日惠心
日茶名欢 M2
检用榨率
免勇 S
陆京
皮用门
零特 IDE
XT0
媛真养
博 g 肉 u3rg4muismg
A-U
SM 代 O
买多 a 草 m
弘得旺充品机究生
3. IP 协议安全配置
3.1 IP 协议安全
启用 SYN 攻击保护。
指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数阈值为 5。指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为 500。指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为 400。
操作步骤:打开注册表编辑器,根据推荐值修改注册表键值。
Windows Server 2012
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect 推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen 推荐值:500
Windows Server 2008
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值:2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值:5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen 推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried 推荐值:400
4. 文件权限
4.1 共享文件夹及访问权限
关闭默认共享
非域环境中,关闭 Windows 硬盘默认共享,例如 C。
操作步骤
打开注册表编辑器,根据推荐值修改注册表键值。
注意: Windows Server 2012 版本已默认关闭 Windows 硬盘默认共享,且没有该注册表键值。
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer 推荐值: 0
共享文件夹授权访问
每个共享文件夹的共享权限,只允许授权的帐户拥有共享此文件夹的权限。
操作步骤
每个共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone。打开控制面板 - 管理工具 - 计算机管理,在共享文件夹中,查看每个共享文件夹的共享权限。
5. 服务安全
5.1 禁用 TCP/IP 上的 NetB
禁用 TCP/IP 上的 NetBIOS 协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。
操作步骤
在计算机管理 - 服务和应用程序 - 服务中禁用 TCP/IP NetBIOS Helper 服务。在网络连接属性中,双击 Internet 协议版本 4(TCP/IPv4),单击高级。在 WINS 页签中,进行如下设置: 
高级 T
P 设置
极 ICP/IP 设
TP 设置 1
WINS
DrS
IRS 地址, 按使用排序:
PWIRS
添加 A)…
编辑 E)…|
删除 w
P 的连接.
如果启用 LMHOSTS 查找
T 查找, 它将应用于所有启用 CP/IP 的
启用 L
S 查找红
LMHOSTS
LMHOSTS
s 设置
HeBIOS
默认证):
O 设置如果使用静态 P 地
HCP 服务器使用,
HetBIOS 设
不提供 Ne
成 DHCP 服
C0s 设置, 则启角 TCP/IP
共 HetBIOS
HetBIOS.
启用 TCP/IP 上的 HetBIOSOT)
禁用 TCP/IP 上的 HetBIOSS)
确定
取消
禁用不必要的服务
禁用不必要的服务,请参考: 
服务名称
建议
如果不使用动态 IP 地址, 就禁用该服务
DHCPCLient
如果不启用自动更新, 就禁用该服务
BackgroundIntelligentTransferService
禁用
ComputerBrowser
手动
DiagnosticPolicyService
禁用. 该服务用于转换 IPv6toPv4
IPHelper
如果不需要打印, 就禁用该服务
PrintSpooler
禁用. RemoteRegistry 主要用于远程管理注册表
RemoteRegistry
中果不使用文件共享, 就禁用该服务. 禁用本服务
Server
闭默认共享, 如 ipcs,admins 和 cs 等
禁用
TCP/IPNetBlOSHelper
禁用
WindowsREmoTEMANAgement(WS-
Management)
WindowsFontCacheService
禁用
禁用
WinHTTPWebProxyAuto-Discovery
Service
禁用
WindowsErrorReportingService
6. 安全选项
6.1 启用安全选项
操作步骤
打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 安全选项中,进行如下设置:
6.2 禁用未登录前关机
服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。
操作步骤
打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 安全选项中,禁用关机: 允许系统在未登录前关机策略。
本地组策略编辑器
查看 V)
帮助 0O
文件)
操作 A)
本地计算机策略
策略
安全设置
计算机配置
网络服务器: 对通… 已禁用
BMicrosofto
软件设置
bt 网络服务器: 对通… 已禁用
Bnicrosoft
Windons 设置
tot 网络服务器: 暂停…15 分钟
MicrosoFt
周脚本 (自动 / 关机)
t 网络客户瑞: 对通… 已启用
hicrosot
安全设置
t 网络客户瑞: 对通… 已禁用
Microsot
账户策略
-osot 网络客户端: 将未… 已禁
本地策略
两关机: 青除虑拟内存页面文件
已禁用
审核策略
关机: 允许系统在未登录的情…
.. 已禁用
用户权限分配
瞬恢复控制台: 充许软盘复制开访问所有驱动器和所有区件头
安全选项
原恢复控制台: 允许自动管理登录已禁用
雷 s 防火塔
高级安全 Windows 防
交互式登录: 不显示最后的用… 已禁用
网络列表管理器策略
交互式登录: 试图登录的用户…
公钥策略
BLS
交互式登录: 试图登录的用过户…
软件限制策略
交互式登录: 提示用户在过期..14 天
IP 安全策略, 在本地计算机
交互式登录: 无须按 Co.l+A1… 已禁用
田川基于策略的 90s
交互式登录: 熏要城城控制器身… 已禁用
管理模板
用户配置
周交互式登录: 需要智能卡
[
软件设置
时交互式登录: 之前登录到慢存…25 登录
TindoWs 设置
交互式登录: 智能卡除行为无操作
管理模板
时设备: 防止用户安装打印机驱… 已启用
设备: 将 CD-RoM 的访问权限… 没有
国设备: 将软盘驱动器的访问权… 没有定义
菌设备: 允许对可移动媒体进行… 没有定义
设备: 允许在未登录的情况下… 已启用
四 I 宙统: 对条份抓还百扣限日的使
已基田
7. 其他安全配置
7.1 防病毒管理
Windows 系统需要安装防病毒软件。
操作步骤
安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
7.2 设置屏幕保护密码和开启时间
设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。
操作步骤
启用屏幕保护程序,设置等待时间为 5 分钟,并启用在恢复时使用密码保护。
7.3 限制远程登陆空闲断开时间
对于远程登陆的帐号,设置不活动超过时间 15 分钟自动断开连接。
操作步骤
打开控制面板 - 管理工具 - 本地安全策略,在本地策略 - 安全选项中,设置 Microsoft 网络服务器:暂停会话前所需的空闲时间数量属性为 15 分钟。
7.4 操作系统补丁管理
安装最新的操作系统 Hotfix 补丁。安装补丁时,应先对服务器系统进行兼容性测试。
操作步骤
安装最新的操作系统 Hotfix 补丁。安装补丁时,应先对服务器系统进行兼容性测试。
注意:对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。 
更改设置
控制西板 - 系统和安全, 霜 indorsUpdate 更改设置
摆索控…
选择 lindovs 安装更诉的方法
某些设置由您的系统管理员管理. 详细信息
计算机联机时: indort, 可以使用这些设置自动检查重要的更祈并对它们进行
以在关酚许靠机之前对它们逛行安纸一
自动更新如何款助我?
重要更新口) 一
检查更新, 但是让我选择是否下载和安装更新
: 每天
安装诋的更新 09):
可在 03:
3:00
推荐更新一
口以擒收重要更新的相闷方式为我提供推荐的更新)
谁可以安装更新一
允许所有用户在此计算机上安装更新 w)
意:”indorrVudate 在检查其他更祈之前, 可能会首先自动进行自我更请问
耿消
若有收获,就点个赞吧
0 人点赞
