聊聊终端安全加固那些事

序言：

如何配置内网电脑以增强安全性，并通过等保测评呢？本文将与大家探讨终端安全加固的相关事宜，希望能为您提供有用的建议。

1、账户策略

通过secpol.msc命令打开本地安全策略，进入安全设置-账户策略。

（1）密码策略

（2）密码锁定策略

（3）本地用户和组

可以使用lusrmgr.msc命令打开，或者通过右击计算机管理选项进入。

说明：

这三者结合使用，首先禁用Guest和Administrator账户，创建一个新的账户并授予管理员权限，然后为该管理员账户设置超过8位的复杂密码。这样配置账户密码策略和锁定策略，将会更加安全。

2、查看默认共享

可以通过net share命令查看所有共享，或者通过计算机管理-共享文件夹-共享查看。

删除共享方法：

（1）使用net share c /del命令删除名为c的隐藏共享，依次删除所有共享直至列表为空。

（2）在计算机管理（本地）-共享文件夹-共享中，选中要结束的共享名并停止共享。

3、杀毒软件

安装杀毒软件是必不可少的，且病毒库需保持实时更新。

4、关闭高危端口

高危端口包括：137-139,3389,445，关闭方法如下：

MagicStudio

图片处理必备效率神器！为你的图片提供神奇魔法

102

查看详情

（1）通过firewall.cpl或控制面板-系统和安全-Windows防火墙开启防火墙。

（2）在防火墙高级设置的入站规则中关闭高危端口：Windows防火墙-高级设置-高级安全Windows防火墙-入站规则-新建规则-规则类型-端口。

（3）选择TCP协议，特定本地端口：137-139,445,3389。

（4）为规则设置名称。

（5）同样方法在入站规则中禁止UDP的137-139,445和3389端口访问。

（6）也可以通过在交换机上使用ACL来限制关闭137-139,445和3389端口。

5、关闭自动播放

通过gpedit.msc打开组策略，进入计算机配置-管理模板-windows组件-自动播放策略-关闭自动播放-状态配置为“已启用”。

6、禁用Remote Registry服务

可以通过services.msc命令或计算机管理（本地）-服务和应用程序-服务查看。

7、设置屏幕保护程序

8、内网终端入网审核

例如：想要接入内网，配置IP网络通畅后，安装盈高入网小助手，填写部门和姓名等信息，等待管理员审核。

ps：终端入网后，可以通过IP+MAC地址绑定，防止随意更改IP。

9、其它还有设置主机BIOS密码，系统文件系统使用NTFS，用户登录开启审计策略等。

总结：

终端安全不仅需要技术保障，还需要提升用户的安全意识，例如离开桌面时锁屏，否则再先进的技术也无法阻止他人直接操作您的电脑。

以上就是聊聊终端安全加固那些事的详细内容，更多请关注php中文网其它相关文章！