三、本地安全策略用户权限分配
1. 使用windows+R打开运行,输入“secpol.msc”打开本地安全策略—>本地策略—>用户权限分配—>找到“拒绝从网络访问这台计算机”双击 —>将对象名称设置为“Administrators”。
2.禁止系统自动登录
使用windows+R打开运行,输入“control userpasswords2”打开”用户账户”启用(如是本机,用户必须输入用户名和密码)—>勾选“要使用本计算机,用户必须输入用户名和密码—>单击“确定”。
四、日志配置操作
审核策略、日志记录
1.审核策略:
(1)审核策略更改(策略的改变)
使用windows+R打开运行,输入“secpol.msc”打开本地安全策略—>本地策略—>审核策略—>设置“审核策略更改”。
(2)审核登录事件(账户的登录与注销)
(3)审核对象访问(对文件或文件夹等对象的操作)
(4)审核过程追踪(应用程序的启动与关闭)
(5)审核事件目录服(访问(对活动目录的各种访问)
(6)审核特权使用(用户执行用户权限的操作,如更改系统时间等)
(7)审核系统事件(与系统相关的事件,如重新启动或关闭计算机)
(8)审核账户登录事件(账户的登录或注销另一台计算机(用于验证账户)的操作)
(9)审核账户管理(与账户管理有关的操作)
2.日志记录
(1)设置防火墙日志文件路径
使用windows+R打开运行,输入“secpol.msc”打开本地安全策略—>打开“高级安全Windows Defender 防火墙”—>“高级安全Windows Defender 防火墙 – 本地组策略对象”—>单击“Windows Defender 防火墙属性” —>选择“域配置文件”—>“日志”—>“自定义”—>“配置防火墙日志文件路径”。
(2)日志文件大小
使用windows+R打开运行,输入“eventvwr.msc”打开事件查看器—>配置应用日志、系统日志、安全日志属性中的日志大小(一般最小8192kb,越多越好比如几百兆),以及设置达到最大的日志尺寸时的相应策略。