藍隊防護基礎

各機關應通過在伺服器上部署防毒軟體，關閉不必要的系統服務、删除或禁用不必要的系統使用者、修改密碼為 8 位以上符合複雜度要求的密碼等手段加強主機伺服器安全性，及時更新更新檔， 避免伺服器被非法攻擊利用。

端口掃描scanport，端口設定可以為1-65535

配置https

Windows 配置項清單

重命名管理者和來賓賬戶
沒什麼辦法，家庭版從來都不支援組政策。是以就嘗試在其他的地方進行運作下gpedit.msc
windows 設定-----安全設定------本地政策------安全選項--最後兩個改一下，分别是guest和administrator
禁用guest賬戶
右鍵計算機點選管理--系統工具” /“本地使用者群組” /“使用者“
更改預設遠端3389
regedit下的HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp改十進制換端口
如果系統自帶防火牆處于開啟狀态，則需把修改後的遠端端口設定允許入站，否則将無法連接配接遠端桌面。
禁用不必要的作業系統賬号和服務
檢查系統是否有未安裝的安全更新檔
控制台-Windows Update-檢查更新
删除系統預設的檔案共享
net share c$ /del
net share ipc$ /del
net share admin$ /del
右鍵檔案夾進行關閉、或者net share 檔案進行關閉、計算機管理檔案共享進行關閉服務的server，進而禁用
開啟密碼複雜性要求及賬号鎖定政策
 gpedit.msc--計算機配置\windows 設定\安全設定\賬戶政策\進行密碼的鎖定及更改日期
啟用不顯示計算機配置最後登入的使用者名
\windows 設定\安全設定\本地政策\安全選項、找到互動式登入：登入時不顯示使用者名，并設定為啟用。
開啟作業系統稽核政策
計算機配置
\windows 設定\安全設定\本地政策\稽核政策、右側全部設定為稽核成功和失敗
      

linux安全政策

更改ssh預設端口
/etc/ssh/sshd_config更改端口
禁用root使用者遠端登入
/etc/ssh/sshd_config  修改PermitRootLogin 為no
禁用不必要的服務或賬号
因不同業務依賴的系統服務不同，禁用服務前需确認系統或業務應用是否依賴該服務
檢視系統服務清單（chkconfig --list）  停止不必要的服務（例如： service telnet stop）
禁止不必要的服務開啟啟動（例如: chkconfig telnet off） 
檢視系統賬号清單（ cat /etc/passwd）
鎖定不必要的賬戶
userdel telnet 或 usermod -L telnet ）
      

設定賬号密碼安全政策

修改系統配置檔案
/etc/login.defs
将 PASS_MIN_LEN 的值修改為 8（密碼最小長度 8 位）
将 PASS_MAX_DAYS 的值修改為 90, （密碼最長使用期限）
将 PASS_WARN_AGE 的值修改為 7， (設定過期提前警告天數)
儲存并退出編輯
      

設定賬戶登入錯誤鎖定政策

/etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300
      

debian的

vi /etc/pam.d/system-auth或vi /etc/pam.d/password-auth

添加以下：

auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300

account required pam_tally2.so
      

設定系統會話逾時自動斷開

/etc/profile
 修改會增加 TMOUT=180 配置項（ 3 分鐘無操作自動退出）
 儲存退出
 重新加載  profile 檔案（ source /etc/profile）
      

ps：這些僅僅是一些可以加強的，對于不同的版本也有差異性，就像win10家庭版和win 7的差異、kali和ubuntu的差距，win10家庭版無gpedit.msc，kali的debian沒有所謂的system-auth檔案，但還是有檔案要更改的，就是名字不一樣

别人都在不停的努力，自己又怎麼會停