Windows操作系统本身已经提供了多种安全机制，如标识与鉴别、访问控制、用户账户控制、安全审计、文件系统。但是，这并不意味着操作系统就固若金汤。事实上，任何一个Windows版本都或多或少的存在着漏洞，而且在不断的被挖掘出来。Windows安装之后默认配置是不安全的，如果不重新进行配置的话，将存在大量安全隐患。现在，我们来介绍如何对Windows系统进行安全加固?

　　1补丁安装

　　查看系统中安装的补丁包，安装未安装的补丁包，后续关注官网补丁包的更新，定时更新补丁包。

　　2账户安全设置

　　管理员账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。因此一种安全设置方法是将系统默认管理员Administrator改名，设置较高强度的口令。对系统中的账户进行整理，禁用Guest账户和日常不使用的账号。在管理启用/禁用账户的同时，对各个账户设置口令策略。

　　供参考的口令策略为：

　　1)至少8个字符;

　　2)包含至少下面4个字符组中的3种：英文大写字母A-Z;英文小写字母a-z;数字0-9;非字母数字字符(如!$#%);

　　3)不要包含用户姓名、用户名或任何常见词的任意部分;

　　4)一个月到两个月定期修改口令。

　　3用户权限指派

　　打开“本地策略”→“用户权限指派”。进入“用户权限指派”管理界面，根据需要可以设置：

　　1)从网络访问此计算机，删除不必要的用户;

　　2)从远程系统强制关机，删除全部账户;

　　4口令策略

　　打开“本地策略->审核策略”中，所有审核策略都要设置为“成功”和“失败”都要审核。

　　5禁止ipc$空连接

　　在默认的情况下，任何用户都可以通过空连接连接到服务器上，枚举账户并猜测口令。因此，必须禁止建立空连接。打开注册表

　　"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA"，修改RestrictAnonymous = DWORD的键值即可禁止ipc$空连接。

　　6关闭常见入侵端口

　　(1)关闭139端口ipc和RPC漏洞通过139端口攻击。打开“控制面板”，然后依次单击：“网络和共享中心”→“更改适配器设置”→“本地连接”，选择“属性”，选择“Internet协议(TCP/IP)”，进入“高级TCP/IP设置”对话框，选择"WINS"标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

　　(2)关闭445端口445端口常用于局域网中文件夹和打印机共享，但也带来了各种风险。为了关闭445端口，可以打开注册表，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在该项下选择建立一个 QWORD类型键值，将该键名称设置为SMBDeviceEnabled，数值设置为0。还要把操作系统的server服务关闭，命令行输入services.msc，进入服务管理控制台，然后找到server服务，把这个服务的改为禁用，并停止。

　　(3)关闭3389端口在“我的电脑”上右键单击选“属性”→“远程”，将里面的远程协助和远程桌面两个选项框里的勾去掉，并禁用Telnet、Terminal Services这两个危险服务。

　　(4)关闭135打开注册表操作如下。

　　1) 将

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下EnableDCOM的值改为"N"，以及打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc下DCOMProtocols键，在对应值中删除"ncacn_ip_tcp";

　　2)确认停用

　　"Distributed Transaction Coordinator"服务。

　　7关闭默认共享

　　在命令窗口中输入命令，删除C盘默认共享。同样的方法可删除其他磁盘的默认共享。

　　也可以进入控制面板找到共享文件夹-共享，将描述为"默认共享"的共享名删除掉。

　　8禁用不必要服务

　　在控制面板里，选择管理工具后，选择服务，设置关闭以下服务。

　　1)Alerter——通知所选用户和计算机有关系统管理级警报;

　　2)ClipBook——启用“剪贴簿查看器”储存信息并与远程计算机共享;

　　3)Distributed Link Tracking Server——用于局域网更新连接信息;

　　4)Indexing Service——提供本地或远程计算机上文件的索引内容和属性;

　　5)Messenger——信使服务;

　　6)NetMeeting Remote Desktop Sharing——允许授权用户通过NetMeeting在 网络上互相访问;

　　7)Network DDE——为在同一台计算机或不同计算机上运行的程序提供动态数据交换;

　　8)Network DDE DSDM——管理动态数据交换(DDE)网络共享;

　　9)Remote Desktop Help Session Manager——远程帮助服务;

　　10)Remote Registry——远程计算机用户修改本地注册表;

　　11)Routing and Remote Access——在局域网和广域网中提供路由服务;

　　12)Server——支持此计算机通过网络的文件、打印和命名管道共享;

　　13)TCP/IP NetBIOS Helper——提供对TCP/IP服务上的NetBIOS和网络上客户 端的NetBIOS名称解析的支持，使用户能够共享文件、打印和登录到网络;

　　14)Telnet——允许远程用户登录到此计算机并运行程序;

　　15)Terminal Services——远程登录到本地电脑。

　　9本地安全策略设置

　　命令行输入gpedit.msc打开本地组策略编辑器，在“本地策略”→“安全选项”，设置如下策略。

　　1)交互式登录：无须按Ctrl+Alt+Del，设置为已禁用;

　　2)交互式登录：不显示最后的用户名，设置为已启用;

　　3)网络访问：不允许SAM账户的匿名枚举，设置为已启用;

　　4)网络访问：可匿名访问的共享，将策略设置里的值删除;

　　5)网络访问：可匿名访问的命名管道，将策略设置里的值删除;

　　6)网络访问：可远程访问的注册表路径，将策略设置里的值删除;

　　7)设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用;

　　8)关机:清除虚拟内存页面文件，设置为已启用。

　　10启用防火墙

　　启用Windows自带防火墙或安装第三方软件防火墙。启用Windows自带防火墙可参考：“控制面板”→“Windows防火墙”。

　　11安装杀毒软件

　　建议用户安装杀毒软件，并经常更新杀毒软件的病毒库，以便查杀最新病毒。

　　以上是常用的windows安全加固方法，在我们等级保护测评整改中以及在做操作系统安全加固项目时，都有非常重要的参考价值。