操作系统安全优化

Windows操作系统优化加固

net命令

net user 创建用户名 eg: net user alice P@ssW0rd /add

net localgroup 查看本地组并将用户添加到组 eg: net localgroup administrators alice /add

net use 查看连接情况

net share 操作系统加固的一个内容,删除默认共享 eg: net share C$ /del 重启后共享回来了,解决:.bat批处理文件 gpedit.msc组策略

nslookup命令

查询DNS记录情况

  1. 强密码设置:大写+小写+数字+符号

    打开控制面板,点击用户账户下的更改账户类型

    选择要更改的用户

    点击更改密码

    更改密码为强密码

  2. 陷阱账户: ->修改Administrator账户为Guestadmin,设置强密码并禁用账户 ->新建用户Testadmin,设置强密码并隶属管理员组,用于日常使用 ->新建用户Administrator,设置强密码并隶属Guests组,作为陷阱账户

    Windows管理工具->计算机管理->本地用户和组->用户->右键Administrator重命名为Guestadmin,设置强密码,双击勾选禁用账户

    右键新用户Testadmin,设置强密码,双击Testadmin,修改隶属于Administrators

    右键新用户Administrator,设置强密码,双击Administrator,修改隶属于Guests

  3. 账户策略设置(密码策略和账户锁定策略)

    Windows管理工具->本地安全策略->账户策略->密码策略和账户锁定策略进行相应修改

  4. 账户审核策略设置

    Windows管理工具->本地安全策略->本地策略->审核策略进行相应修改

  5. 软件限制策略

    Windows管理工具->本地安全策略->软件限制策略->右键创建软件限制策略->其他规则右键新建哈希规则->浏览选择应用,安全级别设为不允许,应用

  6. 默认共享删除

    新建kill.txt文件,内容为net share C$ /del,修改后缀为.bat->Win+R,输入gpedit.msc->Windows设置->脚本(启动/关机)->启动->显示文件->将kill.bat添加到该文件夹->回到启动脚本,添加,浏览,选择kill.bat

  7. EFS加密 EFS是针对于NTFS文件格式中的文件夹和文件进行加密的操作,可以直接被操作系统加密保存,很大程度上提高了数据的安全性 ->EFS加密过程(加密内容以便保护数据) ->EFS证书导出(直接输入Certmgr.msc导出证书)

    加密文件:E盘新建test文件夹,右键选择属性->高级->勾选加密内容以便保护数据->确定->应用->勾选将更改应用于此文件夹、子文件夹和文件->确定->三键+切换用户->查看test文件夹中的文件

    导出证书:Win+R,输入Certmgr.msc->个人->证书->右键,所有任务,导出->下一步->选择是,导出私钥->下一步->下一步->设置密码->设置路径:Desktop/efs.pfx,剪切至E盘根目录

    导入证书:双击打开efs文件->下一步->下一步->输入密码,下一步->下一步直至导入成功->再访问文件时成功

  8. 组策略设置(gpedit.msc)

    隐藏桌面所有图标:Win+R,输入gpedit.msc->用户配置->管理模板->桌面->隐藏和禁用桌面上的所有项目->启用

    三键配置:Win+R,输入gpedit.msc->用户配置->管理模板->系统->Ctrl+Alt+Del选项->进行相关配置

  9. 最小化系统服务

    Windows管理工具->服务->将不必要的服务停止

  10. 远程桌面端口修改(默认是3389) 通过注册表修改Portnumber参数的值

    1. 使用alice用户实现远程桌面连接操作

    在计算机管理本地用户和组的用户目录下,右键选择新用户

    在对话框中输入新用户的用户名和密码,点击创建

    选中刚创建的新用户,右键选择属性

    点击隶属于,将Users删除,再点击添加

    在弹出框中点击高级

    在弹出框中点击立即查找,在搜索结果中找到Remote Desktop Users并选中,再点击确定

    打开控制面板,点击系统和安全,点击系统,点击远程设置,选择允许远程连接到计算机

    打开cmd窗口,输入ipconfig查看IP地址

    在物理机中打开远程桌面连接,输入虚拟机的IP地址(此时为默认端口),用户名,点击连接

    输入密码,点击确定

    在弹出框中选择是

    连接成功

    1. 修改端口号为2222,并实现远程桌面连接操作

    Win+R,输入regedit.exe进入注册表

    按下快捷键Ctrl+F,在弹出框中输入PortNumber并查找

    将查找到的所有端口号为3389的PortNumber改为2222,重新启动系统

    在物理机中打开远程桌面连接,输入虚拟机的IP地址和端口号2222,用户名,点击连接

    连接成功

  11. Windows自带防火墙设置

    控制面板->系统和安全->Windows Defender 防火墙->进行相应设置包括开启/关闭防火墙,允许应用或功能通过Windows Defender防火墙,高级设置:入站/出站规则(新建规则,放行端口等),连接安全规则

  12. 杀毒软件的安装设置

    ->定期升级病毒库 ->定期进行病毒查杀

Linux操作系统优化加固

Linux系统是一个免费的多用户、多任务的操作系统,其运行方式,功能和UNIX系统很相似,但Linux系统更加的稳定,更加的安全,其源代码是完全公开的。该系统一般是由内核、shell、文件系统和应用程序这四个部分组成。Linux系统的版本主要是指Linux的内核版本和发行版本:RedHat发行版本,CentOS发行版本,Debian发行版本,Ubuntu发行版本。目前Linux的应用领域越来越广泛,主要涉及到的场景有应用服务器、嵌入式领域、软件开发和桌面应用这四个方面

Linux简单命令介绍

  • ifconfig 查看网络情况

  • whoami 查看当前有效用户名

  • uname 显示计算机及其操作系统的相关信息,eg: uname -s 显示操作系统名称 uname -r 显示操作系统内核版本信息 uname -n 显示当前计算机主机名

  • hostname 显示计算机主机名 hostname test 将计算机主机名改为test

  • ls 列举当前目录下所有子目录、文件 ls -al 出现的区域-rwxr-xr-x drwxr-xr-x主要是进行相关权限分配、权限属性查看;-表示文件,d表示目录;r表示读,w表示写,x表示可执行;r: 4,w: 2,x: 1;--rwxr-xr-x中有三个区域,rwx表示所有者,r-x表示所在组,r-x表示其他用户

  • pwd 显示绝对路径的相关位置

  • cd home 切换到home目录下

  • mkdir 创建目录 mkdir /home/a mkdir -p /home/b/c/d/e

  • touch abc 创建文件abc vi abc 打开文件abc i 插入模式 Esc 退出插入 :wq 保存文件并退出 cat abc 查看文件abc的内容

  • cp 复制文件 cp abc /home/def 将abc文件复制到home目录中名为def

  • which 查看给定命令的绝对路径

  • cat 显示文件 more 显示文件 两者区别是:cat会一次性全部显示,more分页显示

  • useradd alice 添加用户alice id alice 查看alice的id passwd alice 为alice用户设置密码 userdel -rf alice 强制删除用户alice

  • su 切换用户 useradd zhangsan 添加用户zhangsan id zhangsan 查看zhangsan的id su - zhangsan 切换到zhangsan用户

  • reboot 重启系统

  1. 新建管理员账号,配置适当的权限用于日常管理

    su 切换到root用户

    useradd Chelsea 添加用户Chelsea

    passwd Chelsea 为Chelsea设置密码

    su - Chelsea 切换到Chelsea用户

    sudo useradd user1 尝试添加用户user1,失败

    su 切回root用户

    visudo 进入sudo配置文档

    i 切换到插入模式

    Chelsea ALL=(ALL) ALL 为Chelsea用户设置权限

    Esc 退出插入模式

    :wq 保存并退出sudo配置文档

    su - Chelsea 切换到Chelsea用户

    sudo useradd user1 再次尝试添加用户user1,成功

    id user1 查看用户user1

    sudo userdel -rf user1 强制删除用户user1,成功

    id user1 查看用户user1

  2. 将yum地址从国外的yum源地址转换成国内地址

  3. 关闭Linux自带安全措施SeLinux

    vi /etc/selinux/config 进入selinux配置文档

    i 切换到插入模式

    SELINUX=disabled 设置selinux为disabled

    Esc 退出插入模式

    :wq 保存并退出selinux配置文档

    reboot 重启系统

  4. 根据实际需求设置运行级别

    7个运行级别:

    • 1 单用户模式--用于root密码破解

    • 3 命令行模式--常用模式

    • 5 图形界面模式--常用模式

    图形界面切换到命令行界面:

    • su 切换至root用户

    • cd /etc 切换至etc目录

    • cp inittab inittabback 备份inittab

    • vi inittab 查看inittab文件

    • 按下i键切换至插入模式

    • 将id改为3

    • 按下Esc键,:wq保存退出

    • reboot

    破解root密码:

    • 重启

    • 在这个页面按下e键

    • 在这个页面按下e键

    • 选择第二个选项,按下e键

    • 在这个页面输入' single'

    • 在这个页面按下b键

    • 进入了单用户模式,默认为root用户,可以直接使用passwd修改密码,再次reboot重启

  5. 启动运行最小服务

  6. 修改ssh相关配置信息

    putty远程连接:

    • 打开putty.exe,输入虚拟机的IP地址,如下图

    • 点击open,然后输入用户名,密码

    SSH端口修改:

    上述远程连接过程中,端口号默认为22

    ssh_config 客户端配置文件

    sshd_config 服务器端配置文件

    • cd /etc/ssh

    • cp sshd_config sshd_configback

    • vi sshd_config

    • 按下i键切换至插入模式

    • 将Port改为2222并取消注释

    • 按下Esc键,:wq保存退出

    • service sshd restart

    • cd /etc/sysconfig

    • vi iptables

    • 按下i键切换至插入模式

    • 将dport改为2222

    • 按下Esc键,:wq保存退出

    • service iptables restart

    • 使用putty重新连接,端口号为2222

  7. 通过权限配置更好的进行权限管理

    useradd zhangsan

    passwd zhangsan

    su - zhangsan

    whoami

    useradd lisi 没有权限

    su - root

    which useradd 结果为/usr/sbin/useradd

    visudo

    在root下方一行添加zhangsan ALL=(ALL) /usr/sbin/useradd

    按下Esc键,:wq保存退出

    su - zhangsan

    sudo useradd lisi 成功添加新用户

    id lisi

    cd /home

    ls 可以看到lisi目录

  8. 设置服务器时间同步

  9. 将文件描述符扩展到最大

  10. 在Linux中加载各类磁盘系统

任务6

Linux综合练习--命令操作部分

  1. 还原快照,设置网卡为VMNET1,查看IP地址,并将相关信息保存到/home目录下ip.rtf。

    ifconfig > /home/ip.rtf

  2. 切换运行级别为命令行模式,重启系统,修改计算机名为ks,并重新注销(ctrl+d),查看修改情况。

    cd /etc

    cp inittab inittabback

    vi inittab

    i

    id:3

    Esc

    :wq

    reboot

    hostname ks

  3. 查看当前有效登录用户名,查看内核版本信息,使用命令切换到/usr目录,并使用长文件格式显示目录中的相关信息,保存到/home目录下命名为usr.rtf,查看该文件内容。

    whoami

    uname -r

    cd /usr

    ls -al > /home/usr.rtf

    cat /home/usr.rtf

  4. 在普通用户家目录中创建目录ks1/ks2/ks3,在ks3下创建空文件为a1,修改文件内容为 www.baidu.com

    mkdir -p ks1/ks2/ks3

    cd ks1

    cd ks2

    cd ks3

    touch a1

    vi a1

    i

    www.baidu.com

    Esc

    :wq

  5. 创建用户user1,设置密码为123456,切换到该用户,尝试创建user2。设置sudo权限模式再次创建user2用户,查看该用户信息,完成后删除该用户包括家目录中内容。

    useradd user1

    passwd user1

    su - user1

    useradd user2

    su - root

    visudo

    i

    user1 ALL=(ALL) /usr/sbin/useradd,/usr/sbin/userdel

    Esc

    :wq

    su - user1

    sudo useradd user2

    id user2

    sudo userdel -rf user2

  6. 复制/etc/inittab到/home目录下命名为3.rtf,关闭系统的selinux策略。

    cp /etc/inittab /home/3.rtf

    vi /etc/selinux/config

    i

    SELINUX=disabled

    Esc

    :wq

    reboot

  7. 限制终端命令历史记录为6个,设置口令保护策略,对新账户强制要求口令为10位,至少20天修改一次密码,将操作日志文件通过winscp软件导出保存到考生文件夹中。

    su - root

    vi /etc/profile

    i

    HISTSIZE=6

    Esc

    :wq

    vi /etc/login.defs

    i

    PASS_MIN_LEN 10

    PASS_MAX_DAYS 20

    Esc

    :wq

posted @   南嘉lu  阅读(304)  评论(0编辑  收藏  举报
相关博文:
· 计算机病毒案例分析
· 防火墙应用安全配置
· Linux系统基础优化及常用命令
· 16、Linux安全加固
· Linux 系统的安全加固
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· SQL Server 2025 AI相关能力初探
· 单线程的Redis速度为什么快?
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
点击右上角即可分享
微信分享提示
AI IDE Trae