|
轉(zhuǎn)自:計(jì)算機(jī)與網(wǎng)絡(luò)安全(ID:Computer-network) 作者:小白客
對(duì)于一臺(tái)服務(wù)器或者說計(jì)算機(jī)來說��,需要對(duì)運(yùn)行在上面的操作系統(tǒng)做怎樣的安全加固操作才能保證服務(wù)器或者計(jì)算機(jī)的安全呢�����?如何才能有效的降低被攻擊的風(fēng)險(xiǎn)���? 為了達(dá)到安全的目的�����,一般來說我們需要關(guān)注操作系統(tǒng)的八個(gè)方面: 補(bǔ)丁管理 > 賬號(hào)漏洞 > 授權(quán)管理 > 服務(wù)管理 > 功能優(yōu)化 > 文件管理 > 遠(yuǎn)程訪問控制 > 日志審計(jì)
其中: 補(bǔ)丁管理 使用最新版的補(bǔ)丁���,避免使系統(tǒng)存在已知的漏洞,從而被攻擊者利用���。
賬號(hào)口令 梳理出系統(tǒng)中正在使用和存在的賬號(hào)和口令�,避免使用默認(rèn)的賬號(hào)
密碼和脆弱的口令如123456�����、admin等
授權(quán)管理
降低操作系統(tǒng)上的軟件的權(quán)限��,將權(quán)限降低到不影響軟件運(yùn)行所需的最低權(quán)限,避免軟件因?yàn)閾碛羞^高的權(quán)限而被有心人利用����。
服務(wù)管理
如果操作系統(tǒng)上如果運(yùn)行著不需要的功能或者服務(wù),盡量關(guān)閉����。
功能優(yōu)化
對(duì)操作系統(tǒng)上的軟件進(jìn)行安全優(yōu)化��,確保系統(tǒng)的安全性�����。
文件管理
配置好關(guān)鍵文件的權(quán)限����,比如說windows文件夾這種關(guān)鍵性的文件夾,不應(yīng)該允許被非管理員權(quán)限的用戶訪問�。
遠(yuǎn)程訪問控制
如果計(jì)算機(jī)上開啟了遠(yuǎn)程訪問功能,需要對(duì)訪問的人員進(jìn)行限制����,比如說只允許某個(gè)ip或者某個(gè)網(wǎng)絡(luò)的人員能夠遠(yuǎn)程登陸,其他的一律拒絕�����。
日志審計(jì)
對(duì)于服務(wù)器來說,應(yīng)該要增強(qiáng)操作系統(tǒng)的日志功能�,以防發(fā)生安全事件后可以追溯源頭,提供保障����。
這里就以windows系統(tǒng)為例,根據(jù)這八大方面的安全操作需要做的有:
加固要點(diǎn) 加固方法
|
| 補(bǔ)丁管理 | 補(bǔ)丁安裝 | 賬號(hào)口令 | 優(yōu)化賬號(hào)����、口令策略 | 授權(quán)管理 | 遠(yuǎn)程關(guān)機(jī)、本地關(guān)機(jī)���、用戶權(quán)限分配��、授權(quán)賬號(hào)登陸����、授權(quán)賬號(hào)從網(wǎng)絡(luò)登陸 | 功能優(yōu)化 | 屏幕保護(hù)、禁止系統(tǒng)自動(dòng)登錄、隱藏最后的登錄名�、關(guān)閉windows 自動(dòng)播放功能 | 服務(wù)管理 | 優(yōu)化服務(wù)�����、關(guān)閉共享 | 文件系統(tǒng) | 使用NTFS�、檢查everyone權(quán)限、限制命令權(quán)限 | 遠(yuǎn)程訪問控制 | 網(wǎng)絡(luò)限制�����、遠(yuǎn)程連接掛起 | 日志審核 | 增強(qiáng)日志�、增強(qiáng)審核 |
接下來,以一臺(tái)windows 2003服務(wù)器為例����,為大家講解如何進(jìn)行加固操作���。 一�、補(bǔ)丁管理
補(bǔ)丁安裝
檢查方法�����,在這里小白介紹三種檢查補(bǔ)丁的方法
第一種��,查看系統(tǒng)中已安裝的補(bǔ)丁包����,不過這種方法比較繁瑣���,容易遺漏未安裝的補(bǔ)丁包,需要時(shí)時(shí)關(guān)注官方補(bǔ)丁包何時(shí)更新�。
相關(guān)命令(cmd窗口):
systeminfo
第一步:點(diǎn)擊 開始-運(yùn)行,在運(yùn)行輸入框處輸入cmd命令
第二步:在cmd命令行窗口下輸入systeminfo命令
按下回車之后我們可以看到系統(tǒng)的詳細(xì)信息��,網(wǎng)下來��,有一行寫著修補(bǔ)程序這里就可以就看到我們打了多少補(bǔ)丁�����?���?梢钥吹剑捎谛“椎倪@臺(tái)windows 2003是新裝的�,只有一個(gè)補(bǔ)丁,顯然有非常多的漏洞需要處理����。 
第二種,使用安全掃描工具對(duì)系統(tǒng)進(jìn)行掃描���,根據(jù)掃描出來的漏洞進(jìn)行修復(fù)�。小白強(qiáng)烈建議大家使用NESSUS進(jìn)行掃描,然后根據(jù)NESSUS給出的建議進(jìn)行修復(fù)��,這樣工作量就會(huì)減輕不少�����,這里小白就不多贅述了����,還不知道NESSUS的用法的同學(xué)可以參考我之前的文章。 
第三種�����,安裝使用微軟安全基準(zhǔn)分析器Microsoft Baseline Security Analyzer掃描漏洞��。這個(gè)分析器是微軟自家的東西�����,是專門用來對(duì)windows系列系統(tǒng)進(jìn)行補(bǔ)丁情況掃描的一款分析器����,省去了我們很多的麻煩��,是三種方法中相對(duì)便捷的做法。 
加固方法
加固的方法根據(jù)計(jì)算機(jī)所在環(huán)境的不同����,加固的方式也不同。
比如說在內(nèi)網(wǎng)環(huán)境����,服務(wù)器被要求不允許訪問公網(wǎng)。這個(gè)時(shí)候打補(bǔ)丁的方式有兩種:一種是根據(jù)現(xiàn)在服務(wù)器中存在的補(bǔ)丁情況或者漏洞掃描結(jié)果到微軟的官網(wǎng)手動(dòng)下載補(bǔ)丁包安裝����。還有一種就是在內(nèi)網(wǎng)建立一臺(tái)專門的存放補(bǔ)丁的服務(wù)器(WSUS),且這臺(tái)補(bǔ)丁服務(wù)器可以連接公網(wǎng)�,能夠自動(dòng)從微軟官網(wǎng)中下載最新的補(bǔ)丁安裝包。需要打補(bǔ)丁的服務(wù)器通過建立的補(bǔ)丁服務(wù)器安裝更新����。 
如果說服務(wù)器能夠上網(wǎng),這就很簡單了�����,只要在服務(wù)器上面把自動(dòng)更新的功能勾選上就ok了�����。打開自動(dòng)更新的方法:我的電腦-屬性-自動(dòng)更新,選擇自動(dòng)(推薦)��。
二����、賬號(hào)口令
賬號(hào)優(yōu)化 賬號(hào)優(yōu)化的目的是為了減少系統(tǒng)中的無用賬號(hào),降低系統(tǒng)的風(fēng)險(xiǎn)�����。 檢查方法
第一步�����,點(diǎn)擊 開始-運(yùn)行�,在運(yùn)行窗口中輸入compmgmt.msc命令,打開計(jì)算機(jī)管理窗口����。相關(guān)命令(運(yùn)行窗口)
compmgmt.msc
第二步�,以此展開 系統(tǒng)工具-本地用戶和組-用戶,確保右邊框中Guest處于被停用狀態(tài)(紅叉)�����。 
#加固方法
假設(shè)存在一個(gè)無用的賬戶xiaobaike,并且啟用了guest賬號(hào)����。這時(shí)候就需要?jiǎng)h除無用的賬號(hào)xiaobaike,并且停用guest�。相關(guān)命令(cmd窗口):
刪除用戶:net user 用戶名 /del
停用用戶:net user 用戶名 /active:no
使用命令進(jìn)行刪除停用:
口令策略
設(shè)置口令策略的目的是為了增強(qiáng)口令的復(fù)雜度及鎖定策略等,強(qiáng)制用戶使用強(qiáng)口令�,防止用戶設(shè)置弱口令,降低被暴力破解的可能性�。 加固方法 第一步,點(diǎn)擊 開始-運(yùn)行���,在運(yùn)行處輸入secpol.msc打開本地安全策略窗口�,相關(guān)命令(運(yùn)行窗口): secpol.msc
第二步���,打開 賬戶策略-密碼策略
設(shè)置如下:
密碼必須符合復(fù)雜性要求:啟用
密碼長度最小值:8個(gè)字符
密碼最長使用期限:90天
密碼最短使用期限:0天
強(qiáng)制密碼歷史:5個(gè)記住密碼
用可還原的加密來存儲(chǔ)密碼:已禁用
第三步�,打開 賬戶策略-賬戶鎖定策略�,設(shè)置如下:
復(fù)位帳戶鎖定計(jì)數(shù)器:30分鐘 帳戶鎖定時(shí)間:30分鐘
帳戶鎖定閥值:5次無效登錄(必須先設(shè)置這一項(xiàng))
第四步,打開 本地策略-安全選項(xiàng)設(shè)置如下:
交互式登錄:不顯示上次的用戶名:啟用
第五步��,在cmd窗口下輸入gpupdate /force命令強(qiáng)制策略生效�����,相關(guān)命令(cmd窗口): gpupdate /force
三、賬號(hào)授權(quán)
1.遠(yuǎn)程關(guān)機(jī) 在這里我們需要設(shè)置只允許管理員可以通過遠(yuǎn)程進(jìn)行關(guān)機(jī)操作���,不允許其他用戶進(jìn)行關(guān)機(jī)操作����,尤其是如果安裝了某些軟件���,軟件自動(dòng)創(chuàng)建的用戶可能擁有關(guān)機(jī)的權(quán)限����,應(yīng)該屬于禁止的范疇內(nèi)�����。 *檢查與加固方法
第一步�,開始-運(yùn)行,在運(yùn)行輸入框處輸入secpol.msc命令����,打開本地安全設(shè)置��。
相關(guān)命令(運(yùn)行窗口)
第二步����,點(diǎn)開 安全設(shè)置-用戶權(quán)限分配,在右邊找到“從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置��,查看是不是只指派給administrators用戶組�。
如果有多個(gè)用戶和組,請(qǐng)刪除�。 2.本地關(guān)機(jī) 不止是遠(yuǎn)程關(guān)機(jī),本地關(guān)機(jī)也應(yīng)該禁止除了管理員以外的用戶進(jìn)行關(guān)機(jī)這樣的危險(xiǎn)操作�����,防止給業(yè)務(wù)造成不必要的損失�。 *檢查與加固方法 還是在同樣的地方,在右邊找到“關(guān)閉系統(tǒng)”設(shè)置���,查看���,是不是只指派給administrators用戶組。
3.權(quán)限分配 一般來說我們部署業(yè)務(wù)和應(yīng)用的時(shí)候����,應(yīng)該遵循的是最小權(quán)限的原則��,能夠不用到管理員權(quán)限就盡量不用到�����,盡量使用普通權(quán)限用戶部署���。這樣,即使黑客入侵到了我們的服務(wù)器����,也并不會(huì)得到太大的權(quán)限,將損失降低到最小��。 所以����,在這里設(shè)置權(quán)限分配的目的就是為了讓普通用戶的權(quán)限盡可能的低,除了管理員之外��,其他賬號(hào)均不能取得文件的所有權(quán)�����。 *檢查與加固方法 第一步���,開始-運(yùn)行����,在運(yùn)行輸入框處輸入secpol.msc命令���,打開本地安全設(shè)置��。
相關(guān)命令(運(yùn)行窗口)
第二步����,點(diǎn)開 安全設(shè)置-用戶權(quán)限分配�,在右邊找到“取得文件或者其它對(duì)象的所有權(quán)”設(shè)置,查看是不是只指派給administrators用戶組��。
4.授權(quán)賬號(hào)登陸 授權(quán)賬號(hào)登陸的意思是允許哪些賬號(hào)可以登錄系統(tǒng)�。比如說如果計(jì)算機(jī)上面有安裝apache、mysql等����,這些軟件在安裝的過程中都會(huì)默認(rèn)創(chuàng)建一個(gè)系統(tǒng)賬號(hào),這一步設(shè)置的目的也是為了不允許這些非管理員創(chuàng)建的賬號(hào)登陸系統(tǒng)��,防止被黑客利用�。 *檢查與加固方法 第一步�����,開始-運(yùn)行�����,在運(yùn)行輸入框處輸入secpol.msc命令�����,打開本地安全設(shè)置�。
相關(guān)命令(運(yùn)行窗口)
第二步��,點(diǎn)開 安全設(shè)置-用戶權(quán)限分配���,在右邊找到“允許本地登錄”設(shè)置����,查看是不是為授權(quán)的賬號(hào)���。
如果存在其它可以用戶或用戶組�����,請(qǐng)刪除��。 5.授權(quán)賬號(hào)從網(wǎng)絡(luò)訪問 這里設(shè)置的是哪些賬號(hào)可以通過遠(yuǎn)程登陸的方式訪問我們的計(jì)算機(jī)���。如果在這里,我有一個(gè)xiaobaike的賬號(hào)��,但是我不想要讓這個(gè)賬號(hào)能夠遠(yuǎn)程登陸如果xiaobaike這個(gè)賬號(hào)出現(xiàn)在這個(gè)策略列表中���,那就顯得很奇怪的��。如果發(fā)現(xiàn)�,請(qǐng)刪除��。 *檢查與加固方法 第一步��,開始-運(yùn)行�����,在運(yùn)行輸入框處輸入secpol.msc命令���,打開本地安全設(shè)置����。
相關(guān)命令(運(yùn)行窗口)
第二步,點(diǎn)開 安全設(shè)置-用戶權(quán)限分配���,在右邊找到“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)置�����,查看是不是為授權(quán)的賬號(hào)��。
上圖發(fā)現(xiàn)列表中存在Everyone這個(gè)用戶�����,表示任何人都可以通過遠(yuǎn)程登陸的方式登陸你的計(jì)算機(jī)�����,這相當(dāng)?shù)奈kU(xiǎn)���。就像前面小白介紹的《一次完整的攻擊行為》這篇文章,最后就是通過新創(chuàng)建一個(gè)賬號(hào)登陸了計(jì)算機(jī)�����。所以除非必要,請(qǐng)刪除everyone這個(gè)賬號(hào)����!
第三步,在cmd命令行界面中輸入gpupdate /force命令����,使設(shè)置立即生效。
相關(guān)命令(cmd窗口)
四����、系統(tǒng)優(yōu)化 1.設(shè)置屏幕保護(hù)
有的時(shí)候���,攻擊者不一定要從網(wǎng)絡(luò)上攻擊你的計(jì)算機(jī)�����,也可能趁著你離開時(shí)時(shí)候操控你的計(jì)算機(jī)���,偷取存在你計(jì)算機(jī)上面的重要資料!所以小白在這里提醒大家���,離開的時(shí)候電腦要鎖屏��!鎖屏����!鎖屏!重要的話說三遍
然而����,百密也有疏忽的一天,假設(shè)某天突然忘記了��,計(jì)算機(jī)被人動(dòng)了�����,咋辦�?小白這里有一個(gè)辦法,就是設(shè)置屏幕保護(hù)程序�,并且設(shè)置屏幕保護(hù)程序的同時(shí)設(shè)置“在恢復(fù)時(shí)使用密碼保護(hù)”,增加保護(hù)措施����。
*檢查與加固方法
進(jìn)入“控制面板->外觀和個(gè)性化->個(gè)性化->更改屏幕保護(hù)程序”:查看是否啟用屏幕保護(hù)程序,設(shè)置等待時(shí)間為“10分鐘”��,是否啟用“在恢復(fù)時(shí)使用密碼保護(hù)”
2.禁止系統(tǒng)自動(dòng)登錄
同剛在防止電腦在你離開時(shí)被別人亂動(dòng)的例子,在這里設(shè)置第三重保護(hù)措施����。設(shè)置當(dāng)系統(tǒng)自動(dòng)休眠后,激活的時(shí)候需要輸入密碼才能繼續(xù)使用���。
*檢查與加固方法
第一步�,點(diǎn)擊 開始-運(yùn)行��,在運(yùn)行輸入框處輸入cotrol userpasswords2命令���,進(jìn)入用戶賬戶設(shè)置�,相關(guān)命令(運(yùn)行窗口)
第二步�����,勾選“要是用本地����,用戶必須輸入用戶名和密碼”復(fù)選框
3.隱藏最后一次登錄名
不知道大家有沒有注意到一點(diǎn)�����,我們平時(shí)在使用計(jì)算機(jī)的時(shí)候,如果登陸過一次這臺(tái)計(jì)算機(jī)�,系統(tǒng)就會(huì)默認(rèn)顯示最后一次的登陸名。其實(shí)這是一個(gè)很不好的點(diǎn)�����,尤其是當(dāng)攻擊者嘗試登陸的時(shí)候�,他可以一下子就看到你系統(tǒng)的登錄名。這時(shí)候他只要寫一個(gè)爆破密碼的小腳本�,那么他入侵你計(jì)算機(jī)的可能性就大大增加。
*檢查與加固方法
第一步���,點(diǎn)擊 開始-運(yùn)行����,在運(yùn)行輸入框處輸入secpol.msc命令����,打開本地安全設(shè)置。
第二步���,點(diǎn)開 安全設(shè)置-本地策略-安全選項(xiàng)����,在右邊找到“交互式登錄:不顯示最后的用戶名” 查看設(shè)置是否處于已啟用狀態(tài),如果沒有����,請(qǐng)啟用。
4.關(guān)閉windows自動(dòng)播放功能
這個(gè)地方非常的重要����,為什么呢?windows默認(rèn)如果系統(tǒng)檢測(cè)到存在新的設(shè)備���,它會(huì)去自動(dòng)運(yùn)行這個(gè)設(shè)備��。假設(shè)如果我們打開了自動(dòng)播放功能��,當(dāng)攻擊者插入一個(gè)帶有惡意病毒的U盤時(shí)����,windows就會(huì)自動(dòng)的執(zhí)行這個(gè)U盤上面的病毒��,從而使我們的計(jì)算機(jī)處于非常危險(xiǎn)的狀態(tài)��,所以必須要關(guān)閉windows的自動(dòng)播放功能���。
*檢查與加固方法
第一步����,點(diǎn)擊 開始-運(yùn)行����,在運(yùn)行輸入框處輸入gpedit.msc命令,打開組策略編輯器
第二步��,在的出現(xiàn)“組策略”窗口中依次選擇 計(jì)算機(jī)配置-管理模板-系統(tǒng)�����,右邊找到 “關(guān)閉自動(dòng)播放”�,雙擊,查看是否設(shè)置“已啟用”
第三步����,在cmd命令行界面中輸入gpupdate /force命令,使設(shè)置立即生效���。
五����、服務(wù)管理
1.優(yōu)化管理 關(guān)閉windows上不需要的服務(wù)��,減小風(fēng)險(xiǎn)。在這里�����,小白建建議將以下服務(wù)停止�����,并將啟動(dòng)方式修改為手動(dòng): DHCP ClientMessengerRemote RegistryPrint Spooler(不使用打印可以關(guān)閉)Server(不使用文件共享可以關(guān)閉)Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper 關(guān)閉的方法: 第一步�����,點(diǎn)擊 開始-運(yùn)行�,在運(yùn)行輸入框處輸入services.msc命令,打開服務(wù)管理器���,相關(guān)命令(運(yùn)行窗口)
第二步�,將不需要使用的服務(wù)關(guān)閉����,并設(shè)置為手動(dòng)。
2.關(guān)閉共享 默認(rèn)情況下�,計(jì)算機(jī)的磁盤是默認(rèn)開啟共享的,如果配合windows特有的IPC$空鏈接的話�,攻擊者是可以不需要賬戶名密碼就可以竊取你計(jì)算機(jī)上的資料的(后面的文章中小白會(huì)有介紹) 所以在這里,我們要做的就是關(guān)閉計(jì)算機(jī)系統(tǒng)中各個(gè)磁盤的共享 *檢查與加固方法 第一步��,點(diǎn)擊 開始-運(yùn)行��,在運(yùn)行輸入框處輸入regedit命令�����,打開注冊(cè)表編輯器�。
第二步,依次打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右邊新建-DWORD�����,名字為 AutoShareServer�����,雙擊設(shè)置鍵值為0����。
六、遠(yuǎn)程訪問控制
1.網(wǎng)絡(luò)限制 遠(yuǎn)程訪問計(jì)算機(jī)的形式肯定不止通過遠(yuǎn)程連接你的計(jì)算機(jī)這一種方法�����,還有遠(yuǎn)程連接共享文件夾、遠(yuǎn)程連接磁盤����、遠(yuǎn)程連接控制器,遠(yuǎn)程連接cmd命令行等等��。尤其是遠(yuǎn)程連接控制臺(tái)�����,windows是可以不需要密碼就可以遠(yuǎn)程連接控制臺(tái)的��,十分危險(xiǎn)�����。 接下來����,我們需要做額外的網(wǎng)絡(luò)限制來保障我們的系統(tǒng)安全。
*檢查與加固方法 第一步��,點(diǎn)擊 開始-運(yùn)行���,在運(yùn)行輸入框中輸入secpol.msc打開 本地安全設(shè)置
第二步�,依次點(diǎn)開 安全設(shè)置-本地策略-安全選項(xiàng),檢查右邊的下列項(xiàng)
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用 網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用 網(wǎng)絡(luò)訪問: 將 everyone權(quán)限應(yīng)用于匿名用戶:已禁用 帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄:已啟用
第三步���,在cmd命令行界面中輸入gpupdate /force命令,使設(shè)置立即生效�����。
七���、文件系統(tǒng) 1.使用NTFS文件系統(tǒng) *檢查與加固方法 第一步�����,右鍵磁盤�,選擇屬性�����,查看是否為NTFS
第二步����,如果不是,可以用以下命令轉(zhuǎn)換(無需格式化),也適用于U盤的文件系統(tǒng)轉(zhuǎn)換���。轉(zhuǎn)換命令(cmd窗口)
convert <驅(qū)動(dòng)器盤符>: /fs:ntfs
2.檢查everyone的權(quán)限
為了系統(tǒng)的安全性��,everyone不應(yīng)該擁有磁盤的所有權(quán)
*檢查和加固方法
第一步����,選擇磁盤-屬性-安全��,檢查everyone用戶是否有所有權(quán)
第二步��,刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限
3.命令權(quán)限限制
除了system和administrators組和必要的組以外�,不讓其他用戶執(zhí)行以下特殊命令:
cmd.exe、regsvr32.exe��、tftp.exe�、ftp.exe、telnet.exe�����、net.exe����、net1.exe�、cscript.exe����、wscript.exeregedit.exe、regedt32.exe��、cacls.exe��、command.com����、at.exe *檢查與加固方法 第一步����,打開 我的電腦-c:/windows/system32文件夾找到
cmd.exe、regsvr32.exe�、tftp.exe、ftp.exe����、telnet.exe、net.exe����、net1.exe����、cscript.exe���、wscript.exeregedit.exe���、regedt32.exe、cacls.exe���、command.com��、at.exe
第二步��,點(diǎn)擊屬性-安全���,查看哪些用戶擁有執(zhí)行權(quán)限。
如果有其他無關(guān)組��,請(qǐng)刪除�����。
八��、日志審核
1.增強(qiáng)日志
在這里設(shè)置增大日志量的大小,避免因?yàn)槿萘刻《罩居涗浻涗洸蝗?�,發(fā)生緊急事情時(shí)無法找到對(duì)應(yīng)日志���。 *檢查與加固方法 第一步�����,點(diǎn)擊 開始-運(yùn)行��,在運(yùn)行輸入框處輸入eventvwr.msc 命令�����,打開 事件查看器。相關(guān)命令(運(yùn)行窗口)
第二步����,分別查看“應(yīng)用程序”、“安全”����、“系統(tǒng)”的屬性
第三步,根據(jù)需要設(shè)置日志大小上限
2.增強(qiáng)審核
對(duì)系統(tǒng)事件進(jìn)行審核�,在日后出現(xiàn)故障時(shí)用于排查故障
*檢查與加固
第一步���,點(diǎn)擊 開始-運(yùn)行,在運(yùn)行輸入框中輸入secpol.msc命令�,打開本地安全設(shè)置。
第二步�����,以此點(diǎn) 安全設(shè)置-本地策略-審核策略�����,在右邊設(shè)置如下
審核策略更改:成功���,失敗 審核對(duì)象訪問:成功��,失敗 審核系統(tǒng)事件:成功�,失敗 審核帳戶登錄事件:成功���,失敗 審核帳戶管理:成功����,失敗 審核登錄事件:成功�,失敗 審核過程跟蹤:成功�,失敗 審核目錄服務(wù)訪問:成功��,失敗 審核特權(quán)使用:成功���,失敗
第三步�,在cmd命令行界面中輸入gpupdate /force命令�����,使設(shè)置立即生效�。
|
