安全配置加固——账号口令
账号优化
目的是为了梳理系统中的账号以及口令,避免默认账号及弱口令的存在
查看账号方式
在Windows中查看账号的方式有以下几种,这里就来简述一下
第一种:开始->运行->compmgmt.msc(进入计算机管理)->本地用户和组
第二种:开始->运行->cmd->net user
删除无用账号
如这里我是删除“cqy”这个账号
第一种方法:
通过命令行来执行
第二种方法:
通过控制面板删除账号
首先打开控制面板->用户账户与家庭安全
接着点击"添加或删除用户账户"
可以看到这里有这些账户
随便点击一个,其中左边有个“删除账户”,点击它
然后就会有个这样的弹框
最后就删除了
锁定无用账号
如这里我是锁定“Guest”账号
第一种方法:
通过命令行来执行
第二种方法:
通过控制面板禁用Guest账号
首先打开控制面板->用户账户与家庭安全
接着点击"添加或删除用户账户"
可以看到这里有个Guest账户
点击它可以看到左边有个“关闭来宾账户”
点击之,然后就可以看到被禁用了
口令策略
增强密码复杂度,防止用户长期使用同一个账号,以及账号锁定策略等,降低系统账号被暴力破解的可能性
配置方式
开始运行->运行->secpol.msc(本地安全策略)->安全设置
账户策略->密码策略(建议加固值)

其中的策略:
密码必须符合复杂性要求:即密码必须是同时包含数字、字母大小写和特殊符号的组合。
密码最常使用期限:防止用户长期不更换密码。
设置密码最短使用期限和强制密码历史:防止更换密码时再次更换回原密码。
用可还原的加密来存储密码:密码必须是加密存储且加密算法不可逆。
所以下图算相对安全的,其中强制要求系统账号必须符合强口令要求,且隔6个月内需更换一次密码,每次更换的密码不允许和历史记录的5个相同,设置密码最短使用期限为2个月
账户策略->账户锁定策略(建议加固值)

其中:
账户锁定阈值为5次:即5次失效登陆后,账户会锁定一段时间。
本地策略->安全选项
配置用户退出后再次登陆不会显示上次退出的用户名。
安全配置加固——授权管理
授权账号登陆:目的是设置允许从本地或者远程登陆的账号
配置操作
开始->运行->secpol.msc->安全设置->本地策略->用户权限分配
其中:
从网络访问此计算机:设置相关账号
允许本地登录:设置相关账号
如果我们强制要求系统账号只能本地登陆无法通过远程的方式登陆的话,那就按如下设置:
双击“从网络访问此计算机”,将其中的全部删除
双击“允许本地登录”,其中的不要动
这样我们就能强制要求系统账号只能本地登陆无法通过远程的方式登陆了

韩国 1F
这命令挺实用,刚试了net user发现一堆闲置账号
上海市 B1
@ 冷夜无痕 闲置账号最好统一批量禁用,别只挑几个手动删,省事。
四川省自贡市 2F
secpol.msc进不去咋办?管理员权限开了也不行啊
广东省深圳市 B1
@ 不屈者 试试先在运行里输入‘mmc’再加载secpol插件,有时是路径权限问题。
山东省烟台市 3F
之前就因为没关Guest被扫进去了,血泪教训😭
广东省广州市 4F
密码策略设太严反而容易被记在纸上,真有啥用?
山东省泰安市泰山区 5F
我们单位强制90天改密码,每次都头疼换啥
上海市 6F
远程登录全关了确实安全,但运维麻烦不少
山西省太原市 7F
黑客最喜欢这种默认账户了,建议直接删掉hack那个
印度 8F
说真的,普通用户根本不会搞这些配置吧
上海市 9F
本地策略这块能不能导出成模板批量部署?
印度尼西亚 B1
@ 梦回千雪 可以用Secedit导出配置,然后在别机器上导入,批量搞定。
湖北省武汉市 10F
Guest禁用后还能通过别的服务绕过吗?
韩国 11F
这几步挺实用的,直接照着来就行。
韩国 12F
把Guest关了,安全感立马提升。
湖北省鄂州市 13F
别忘了在本地安全策略里把空密码策略也关掉。
印度 14F
这图里那个hack账号真的让人心慌。
山东省滨州市 15F
看到有人居然把admin直接删了,脑洞大开。
越南 16F
设置密码最短使用期限为2个月会不会太频繁?企业里大家接受吗?
浙江省杭州市 17F
其实锁定阈值设5次也不算严格,攻击者还能慢慢尝试。
陕西省西安市 18F
我之前在公司把不常用账号全删了,结果审计报告分数飙升,算是省心。
韩国 B1
@ 红泪垂 我们公司也要求定期删账户,不过得先备份数据
浙江省金华市 19F
如果要远程管理,除了打开RDP还有没有更安全的方式推荐?
陕西省西安市 20F
有人说全关网络登录太麻烦,结果运维脚本跑不动,最后只好给特定服务账户开了例外,真是又爱又恨的局面 😊
韩国 21F
Guest账号一直开着确实危险,得关掉。
湖南省邵阳市 22F
密码策略那块挺有用,之前一直没注意。
北京市 B1
@ 三才聚 我以前也经常忽略这个
台湾省台北市 23F
net user这命令确实方便,清理闲置账号一步到位
江苏省徐州市 24F
本地登录那个设置,不小心删错账号就尴尬了
北京市 25F
Guest禁用是基本操作,但有些服务可能会受影响
上海市 26F
90天改密码太痛苦了,每次都记不住新密码
日本 27F
这个密码历史策略还蛮实用的