Windows Server操作系统安全加固
Windows Server 2012 R2操作系统安全加固
操作系统下载链接:
https://msdn.itellyou.cn/
ed2k://|file|cn_microsoft_hyper-v_server_2012_r2_x64_dvd_2708277.iso|2144010240|3BB6E1FB513204D8D2C6991B14B35D9B|/
安全基线策略
1.启用口令复杂度策略,口令最小长度为8位;
2.配置口令定期更新策略,口令更新周期为90天;
3.配置登录失败处理策略,连续登录失败5次后锁定用户10分钟;
4.配置重要的用户行为和重要安全事件的审计策略、审计日志集中审计策略;
5.配置安全选项;
口令复杂度和口令更新周期策略
安全基线说明
1.启用口令复杂度策略,口令最小长度为8位;
2.配置口令定期更新策略,口令更新周期为90天;
3.禁用“用可还原的加密来储存密码”;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应重命名或删除默认账户,修改默认账户的默认口令;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:8
密码最短使用期限:0
密码最长使用期限:90
强制密码历史:0
用可还原的加密来储存密码:已禁用
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:0
密码最短使用期限:0
密码最长使用期限:42
强制密码历史:0
用可还原的加密来储存密码:已禁用
登录失败处理功能
安全基线说明
1.启用登录失败处理功能;
2.配置登录失败处理策略,连续登录失败5次后锁定用户10分钟;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
账户锁定时间:10分钟
账户锁定阈值:5次无效登录
重置账户锁定计数器:10分钟之后
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
账户锁定时间:不适用
账户锁定阈值:0次无效登录
重置账户锁定计数器:不适用
安全审计
安全基线说明
1.配置重要的用户行为和重要安全事件的审计策略;
2.配置审计日志集中审计策略;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:成功,失败
审核账户管理:成功,失败
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
审核:对备份和还原权限的使用进行审核:已启用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:204800–>确定
下载nxlog,选择版本windows下nxlog-ce-3.0.2272.msi
https://nxlog.co/products/nxlog-community-edition/download
安装nxlog
配置nxlog日志服务器地址
C:\Program Files\nxlog\conf\nxlog.conf
Panic Soft
#NoFreeOnExit TRUEdefine ROOT C:\Program Files\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf\nxlog.d
define LOGDIR %ROOT%\datadefine LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog
</Extension><Extension _charconv>Module xm_charconvAutodetectCharsets gbk, utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension><Extension _exec>Module xm_exec
</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule>
</Extension># Snare compatible example configuration
# Collecting event log<Input in>Module im_msvistalogExec convert_fields("AUTO", "utf-8");</Input>
#
# Converting events to Snare format and sending them out over TCP syslog<Output out>Module om_udpHost 10.0.0.1Port 514</Output>
#
# Connect input 'in' to output 'out'<Route 1>Path in => out</Route>
net start nxlog
加固确认步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核:已启用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:204800
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
审核策略更改:无审核
审核登录事件:无审核
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:无审核
审核账户管理:无审核
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
审核:对备份和还原权限的使用进行审核:已禁用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:20480–>确定
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开
net stop nxlog
wmic
product where name="NXLog-CE" call uninstall
Y
删除nxlog安装包
安全选项
安全基线说明
1.配置安全选项
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项–>关机:清除虚拟内存页面文件
安全设置–>本地策略–>安全选项–>交互式登录:不显示最后的用户名
安全设置–>本地策略–>安全选项–>交互式登录:锁定会话时显示用户信息
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项
关机:清除虚拟内存页面文件:已启用
交互式登录:不显示最后的用户名:已启用
交互式登录:锁定会话时显示用户信息:不显示用户信息
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项
关机:清除虚拟内存页面文件:已禁用
交互式登录:不显示最后的用户名:已禁用
交互式登录:锁定会话时显示用户信息:没有定义
批量操作
前置批量操作
无
加固批量操作
secpol.msc-->安全设置-->账户策略-->密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:8
密码最短使用期限:0
密码最长使用期限:90
强制密码历史:0
用可还原的加密来储存密码:已禁用secpol.msc-->安全设置-->账户策略-->账户锁定策略
账户锁定时间:10分钟
账户锁定阈值:5次无效登录
重置账户锁定计数器:10分钟之后secpol.msc-->安全设置-->本地策略-->审核策略
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:成功,失败
审核账户管理:成功,失败secpol.msc-->安全设置-->本地策略-->安全选项-->关机:清除虚拟内存页面文件:已启用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:不显示最后的用户名:已启用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:锁定会话时显示用户信息:不显示用户信息
secpol.msc-->安全设置-->本地策略-->安全选项-->审核:对备份和还原权限的使用进行审核:已启用eventvwr-->事件查看器-->Windows日志--> 安全(右键)-->属性-->日志最大大小:204800-->确定
下载并安装nxlognotepad C:\Program Files\nxlog\conf\nxlog.conf
Panic Soft
#NoFreeOnExit TRUEdefine ROOT C:\Program Files\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf\nxlog.d
define LOGDIR %ROOT%\datadefine LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog
</Extension><Extension _charconv>Module xm_charconvAutodetectCharsets gbk, utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension><Extension _exec>Module xm_exec
</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule>
</Extension># Snare compatible example configuration
# Collecting event log<Input in>Module im_msvistalogExec convert_fields("AUTO", "utf-8");</Input>
#
# Converting events to Snare format and sending them out over TCP syslog<Output out>Module om_udpHost 10.0.0.1Port 514</Output>
#
# Connect input 'in' to output 'out'<Route 1>Path in => out</Route>
net start nxlog
恢复批量操作
secpol.msc-->安全设置-->账户策略-->密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:0
密码最短使用期限:0
密码最长使用期限:42
强制密码历史:0
用可还原的加密来储存密码:已禁用secpol.msc-->安全设置-->账户策略-->账户锁定策略
账户锁定时间:不适用
账户锁定阈值:0次无效登录
重置账户锁定计数器:不适用secpol.msc-->安全设置-->本地策略-->审核策略
审核策略更改:无审核
审核登录事件:无审核
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:无审核
审核账户管理:无审核secpol.msc-->安全设置-->本地策略-->安全选项-->关机:清除虚拟内存页面文件:已禁用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:不显示最后的用户名:已禁用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:锁定会话时显示用户信息:没有定义
secpol.msc-->安全设置-->本地策略-->安全选项-->审核:对备份和还原权限的使用进行审核:已禁用eventvwr-->事件查看器-->Windows日志--> 安全(右键)-->属性-->日志最大大小:20480-->确定net stop nxlog
wmic
product where name="NXLog-CE" call uninstall
Y
参考链接:
https://help.aliyun.com/document_detail/49781.html
Windows Server 2008操作系统安全基线
操作系统下载链接:
https://msdn.itellyou.cn/
ed2k://|file|cn_windows_server_2008_datacenter_enterprise_standard_x64_dvd_x14-26746.iso|2883866624|BDCF3B6D8579B527509D036E93059803|/
安全基线策略
1.启用口令复杂度策略,口令最小长度为8位;
2.配置口令定期更新策略,口令更新周期为90天;
3.配置登录失败处理策略,连续登录失败5次后锁定用户10分钟;
4.配置重要的用户行为和重要安全事件的审计策略、审计日志集中审计策略;
5.配置安全选项;
口令复杂度和口令更新周期策略
安全基线说明
1.启用口令复杂度策略,口令最小长度为8位;
2.配置口令定期更新策略,口令更新周期为90天;
3.禁用“用可还原的加密来储存密码”;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应重命名或删除默认账户,修改默认账户的默认口令;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:8
密码最短使用期限:0
密码最长使用期限:90
强制密码历史:0
用可还原的加密来储存密码:已禁用
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:0
密码最短使用期限:0
密码最长使用期限:42
强制密码历史:0
用可还原的加密来储存密码:已禁用
登录失败处理功能
安全基线说明
1.启用登录失败处理功能;
2.配置登录失败处理策略,连续登录失败5次后锁定用户10分钟;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
账户锁定时间:10分钟
账户锁定阈值:5次无效登录
重置账户锁定计数器:10分钟之后
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>账户策略–>账户锁定策略
账户锁定时间:不适用
账户锁定阈值:0次无效登录
重置账户锁定计数器:不适用
安全审计
安全基线说明
1.配置重要的用户行为和重要安全事件的审计策略;
2.配置审计日志集中审计策略;
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:成功,失败
审核账户管理:成功,失败
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
审核:对备份和还原权限的使用进行审核:已启用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:204800–>确定
下载nxlog,选择版本windows下nxlog-ce-3.0.2272.msi
https://nxlog.co/products/nxlog-community-edition/download
安装nxlog
配置nxlog日志服务器地址
C:\Program Files\nxlog\conf\nxlog.conf
Panic Soft
#NoFreeOnExit TRUEdefine ROOT C:\Program Files\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf\nxlog.d
define LOGDIR %ROOT%\datadefine LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog
</Extension><Extension _charconv>Module xm_charconvAutodetectCharsets gbk, utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension><Extension _exec>Module xm_exec
</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule>
</Extension># Snare compatible example configuration
# Collecting event log<Input in>Module im_msvistalogExec convert_fields("AUTO", "utf-8");</Input>
#
# Converting events to Snare format and sending them out over TCP syslog<Output out>Module om_udpHost 10.0.0.1Port 514</Output>
#
# Connect input 'in' to output 'out'<Route 1>Path in => out</Route>
net start nxlog
加固确认步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核:已启用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:204800
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>审核策略
审核策略更改:无审核
审核登录事件:无审核
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:无审核
审核账户管理:无审核
安全设置–>本地策略–>安全选项–>审核:对备份和还原权限的使用进行审核
审核:对备份和还原权限的使用进行审核:已禁用
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开事件查看器
eventvwr
事件查看器–>Windows日志–> 安全(右键)–>属性–>日志最大大小:20480–>确定
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开
net stop nxlog
wmic
product where name="NXLog-CE" call uninstall
Y
删除nxlog安装包
安全选项
安全基线说明
1.配置安全选项
相关涉及标准
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;
检测操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项–>关机:清除虚拟内存页面文件
安全设置–>本地策略–>安全选项–>交互式登录:不显示最后的用户名
安全设置–>本地策略–>安全选项–>交互式登录:锁定会话时显示用户信息
前置操作步骤
无
加固操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项
关机:清除虚拟内存页面文件:已启用
交互式登录:不显示最后的用户名:已启用
交互式登录:锁定会话时显示用户信息:不显示用户信息
加固确认步骤
恢复操作步骤
通过Windows+R打开运行或在Windows Terminal、Windows PowerShell中打开本地安全策略
secpol.msc
安全设置–>本地策略–>安全选项
关机:清除虚拟内存页面文件:已禁用
交互式登录:不显示最后的用户名:已禁用
交互式登录:锁定会话时显示用户信息:没有定义
批量操作
前置批量操作
无
加固批量操作
secpol.msc-->安全设置-->账户策略-->密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:8
密码最短使用期限:0
密码最长使用期限:90
强制密码历史:0
用可还原的加密来储存密码:已禁用secpol.msc-->安全设置-->账户策略-->账户锁定策略
账户锁定时间:10分钟
账户锁定阈值:5次无效登录
重置账户锁定计数器:10分钟之后secpol.msc-->安全设置-->本地策略-->审核策略
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:成功,失败
审核账户管理:成功,失败secpol.msc-->安全设置-->本地策略-->安全选项-->关机:清除虚拟内存页面文件:已启用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:不显示最后的用户名:已启用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:锁定会话时显示用户信息:不显示用户信息
secpol.msc-->安全设置-->本地策略-->安全选项-->审核:对备份和还原权限的使用进行审核:已启用eventvwr-->事件查看器-->Windows日志--> 安全(右键)-->属性-->日志最大大小:204800-->确定
下载并安装nxlognotepad C:\Program Files\nxlog\conf\nxlog.conf
Panic Soft
#NoFreeOnExit TRUEdefine ROOT C:\Program Files\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf\nxlog.d
define LOGDIR %ROOT%\datadefine LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog
</Extension><Extension _charconv>Module xm_charconvAutodetectCharsets gbk, utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension><Extension _exec>Module xm_exec
</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule>
</Extension># Snare compatible example configuration
# Collecting event log<Input in>Module im_msvistalogExec convert_fields("AUTO", "utf-8");</Input>
#
# Converting events to Snare format and sending them out over TCP syslog<Output out>Module om_udpHost 10.0.0.1Port 514</Output>
#
# Connect input 'in' to output 'out'<Route 1>Path in => out</Route>
net start nxlog
恢复批量操作
secpol.msc-->安全设置-->账户策略-->密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:0
密码最短使用期限:0
密码最长使用期限:42
强制密码历史:0
用可还原的加密来储存密码:已禁用secpol.msc-->安全设置-->账户策略-->账户锁定策略
账户锁定时间:不适用
账户锁定阈值:0次无效登录
重置账户锁定计数器:不适用secpol.msc-->安全设置-->本地策略-->审核策略
审核策略更改:无审核
审核登录事件:无审核
审核对象访问:无审核
审核进程跟踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核账户登录事件:无审核
审核账户管理:无审核secpol.msc-->安全设置-->本地策略-->安全选项-->关机:清除虚拟内存页面文件:已禁用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:不显示最后的用户名:已禁用
secpol.msc-->安全设置-->本地策略-->安全选项-->交互式登录:锁定会话时显示用户信息:没有定义
secpol.msc-->安全设置-->本地策略-->安全选项-->审核:对备份和还原权限的使用进行审核:已禁用eventvwr-->事件查看器-->Windows日志--> 安全(右键)-->属性-->日志最大大小:20480-->确定net stop nxlog
wmic
product where name="NXLog-CE" call uninstall
Y
参考链接:
https://help.aliyun.com/document_detail/49781.html
Windows Server操作系统安全加固相关推荐
- Windows Server 2008 系统加固
账户安全 更改管理员帐号 以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户,右击Administr ...
- exsi rh2288hv5 驱动_华为RH2288H服务器引导ServiceCD安装Windows Server操作系统
安装准备 ServiceCD光盘. Windows操作系统安装光盘. 物理光驱. 使用虚拟控制台远程安装操作系统时,需要准备以下软件: ServiceCD光盘或ServiceCD ISO文件. Win ...
- 华为服务器Linux启动过程,华为RH2288H服务器引导ServiceCD安装Windows Server操作系统...
安装准备 ServiceCD光盘. Windows操作系统安装光盘. 物理光驱. 使用虚拟控制台远程安装操作系统时,需要准备以下软件: ServiceCD光盘或ServiceCD ISO文件. Win ...
- 华为服务器光盘引导,华为RH2288H服务器引导ServiceCD安装Windows Server操作系统
安装准备 ServiceCD光盘. Windows操作系统安装光盘. 物理光驱. 使用虚拟控制台远程安装操作系统时,需要准备以下软件: ServiceCD光盘或ServiceCD ISO文件. Win ...
- 华为服务器用光盘重装系统_华为RH2288H服务器引导ServiceCD安装Windows Server操作系统...
安装准备 ServiceCD光盘. Windows操作系统安装光盘. 物理光驱. 使用虚拟控制台远程安装操作系统时,需要准备以下软件: ServiceCD光盘或ServiceCD ISO文件. Win ...
- windows server操作系统一定要关闭开机磁盘自检
今天在机房装了个windows server 2008,安装成功以后,重启把所有的11块数据盘全挂上就进不去系统了,黑屏.键盘numlock键按了没反应,就好似死机,甚是蹊跷.首先想到的就是有硬盘坏了 ...
- Windows Server操作系统修改远程桌面端口
一.将新端口号添加到防火墙例外(端口号最大65536) 二.Windows 运行 regedit 打开注册表编辑器(两个位置修改的新端口号必须为同一个) 三.修改位置 位置1:HKEY_LOCAL_M ...
- windows server 服务器安全加固
目录 账户 口令 授权 审核策略 IP协议安全配置 设备其他配置操作 账户 对于管理员账号,要求更改缺省账户名称,并且禁用 guest (来宾) 账号 按照用户分配账户,根据系统要求,设定不同的账户和 ...
- windows server 系统安全加固之Windows防火墙设置
2003的防火墙配置非常的简单,默认情况下防火墙是不启用的. 打开防火墙:开始---->控制面板. 1)防火墙主要是对主机外部的数据进来的时候进行过滤,而不是对主机内部的数据向外部发送的时候进行 ...
最新文章
- laravel 的 表单请求
- linux 修改超级权限密码,linux 修改用户密码
- 网线直连Window和Ubuntu
- linux在指定目录多个文件中搜索关键字
- iptables 开启3306端口
- Windows线程同步--关键段和旋转锁
- 瞧瞧,人家这后端API接口写得,那叫一个巴适~,再看看我的,像坨屎!
- 10_10_安卓加linux命令,Linux 新手必知必会的 10 条 Linux 基本命令
- css shine_什么是Shine Enterprise Java模式?
- offer和面经分享(内含offer截图)
- 【历史上的今天】5 月 17 日:面向对象编程之父出生;国内全面接入互联网;惠普收购 Cray
- PicGo+github搭建免费图床
- css解决文字抖动问题
- 分形图(fractal pictures)
- 【408数据结构】备考常见必会算法图鉴
- 在计算机英语中 memory的中文意思是,Memory是什么意思,memory什么意思中文
- 一段仿QQ窗口抖动的代码(VC++)
- 如何做一个基于JAVA失物招领网站系统毕业设计毕设作品(springboot框架)
- 美本计算机专业,2016美国本科计算机cs专业排名
- 2022版 Tangible Software Solutions 功能齐全的源代码转换器