聊聊终端安全加固那些事

序言：

内网电脑如何设置才能更安全呢，如何设置才能通过等保测评呢，今天小编和大家聊聊终端安全加固那些事，希望对您有所帮助。

1、帐户策略

secpol.msc命令打开本地安全策略-安全设置-帐户策略。

（1）密码策略

（2）密码锁定策略

（3）本地用户和组

可以用lusrmgr.msc命令打开，或者右击计算机管理选项。

说明：

这3个配合使用，先禁用Guest账号、Administrator账号，新建一个账号授予管理员权限，然后给这个管理员权限账号设置8位数以上的复杂密码，这样配置帐户密码策略和锁定策略，会更安全。

2、查看默认共享

可以使用net share命令查看所有共享，或者计算机管理-共享文件夹-共享查看。

删除共享方法：

（1）可以使用net share c /del 删除共享名为c的隐藏共享

使用命令依次删除所有共享，直到列表为空。

（2）在就是那句管理（本地）-共享文件夹-共享-选中想结束的共享名-停止共享即可。

3、杀毒软件 杀毒软件是必须的，且病毒库要实时更新。 4、关闭高危端口 高危端口指：137-139,3389,445，方法如下： （1）开启防火墙 可以通过firewall.cpl或者控制面板-系统和安全-Windows防火墙打开

（2）防火墙高级设置入站规则中关闭高危端口 Windows防火墙-高级设置-高级安全Windows防火墙-入站规则-新建规则-规则类型-端口

（3）协议选择TCP，特定本地端口；137-139,445,3389

（4）设置个名称。

（5）同理按照上述的方法在入站规则中禁止UDP的137-139,445和3389端口访问进来。

（6）针对关闭137-139,445和3389端口也可以通过在交换机上使用ACL限制。

5、关闭自动播放

可以通过gpedit.msc打开组策略-计算机配置-管理模板-windows组件-自动播放策略-关闭自动播放-状态配置为“已启用”。

6、禁用Remote Registry服务

可以用命令services.msc或者计算机管理（本地）-服务和应用程序-服务查看。

7、设置屏幕保护程序

8、内网终端入网审核

例如：想接入内网，配置IP网络通了之后，安装盈高入网小助手，填写部门和姓名等，然后等待管理员审核。

ps：终端入网后，可以再通过IP+MAC地址绑定，这样不能随便更IP。

9、其它还有设置主机BIOS密码，系统文件系统是NTFS，用户登陆开启审计策略等待。

总结：

终端安全一方面通过技术保障，一方面用户安全意识要加大，比如人离开桌面里面锁屏，不然再牛的技术你挡不住人家直接到你电脑瞎搞啊。