聊聊终端安全加固那些事

如何设置内网的电脑才会更安全，如何设置才能通过安全评估，

今天小编就和大家聊聊终端安全加固的那些事情，希望对大家有所帮助。

1. 账户政策

secpol。sc命令开启“本地安全策略-安全设置-帐户策略”。

(1)密码策略

(2)密码锁定策略

(3)本地用户和组

它可以用滚轮打开。msc命令，或右键单击计算机管理选项。

产品说明:

当这三个帐户合用时，请禁用Guest帐户和Administrator帐户，创建具有管理员权限的帐户，

并设置管理员帐户的复杂密码(大于8位)。这样可以为该帐号配置密码策略和锁定策略。

2. 查看默认共享

您可以使用net share命令或computer Management-Share Folder - share view查看所有共享。

如何删除共享:

1.可以使用net共享c$/del删除一个名为c$的隐藏共享

使用命令逐一删除所有共享，直到列表为空。

2.在那句话中管理(本地)-共享文件夹-共享-选择要结束的共享名称-停止共享。

3.杀毒软件

杀毒软件是必须的，病毒库应该实时更新。

4. 关闭高危端口

高危端口是137-139、3389、445。方法如下:

(1)开启防火墙

可以通过防火墙打开。cpl或控制面板-系统和安全- windows防火墙

(2)关闭防火墙高级设置入方向规则中的高危端口

Windows防火墙-高级设置-高级安全Windows防火墙-入站规则-新规则-规则类型-端口

(3)选择TCP，指定本地端口;137-139445338-9

(4)设置名称。

(5)同样，入站规则禁止UDP端口137-139,445和3389访问In。

(6)端口137-139,445和3389的关闭也可以通过在交换机上使用acl进行限制。

5. 关闭自动播放

您可以运行gpedit。

—计算机配置—管理模板—windows组件—自动播放策略—禁用自动播放—“状态”设置为“启用”。

6. 禁用远程注册表服务

这可以通过命令服务查看。msc或计算机管理(本地)-服务和应用程序-服务。

7. 设置屏幕保护程序

8. 内网终端接入审核

例如，需要访问企业内网，先配置好IP网络，安装小助手，填写部门和名称，然后等待管理员审核。

ps:终端接入网络后，支持IP+MAC绑定。这样，IP地址就不会被任意修改。

9、其他还设置主机BIOS密码、系统文件系统是否为NTFS、用户登录打开审计策略等。

总而言之:

一方面，通过技术保护终端安全，另一方面，用户的安全意识也要提高，

比如让人把桌面留在锁屏里面，否则你无法阻止别人直接乱动你的电脑。

 也可以选择一款终端安全管理系统，来保护您的数据安全和企业数据。

作为一款优秀的产品，洞察眼，在行业里佼佼者，可以帮助您更好的管理企业安全