1.账号管理与授权

1.1删除或锁定可能无用的账户

描述
删除或锁定无用的账户，定期清理无用账户，防国企用户非法登录

检查方法
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
审核不必要的用户和组，审核账户隶属的组权限，审核组用户

操作步骤
根据系统的要求和实际业务情况，设定不通过账户和账户组，如管理员用户、数据库用户、来宾用户等。

1.2删除或锁定与设备运行、维护等与工作无关的账户。

操作风险
需要确认账户用途
按照用户角色分配不通权限的账号
配置项描述
按照用户角色分配不通权限的账号，保证用户权限最小化
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
检查方法
审核用户和组，审核账户隶属的组权限，审核组用户
操作步骤
根据系统的要求和实际业务情况，设定不同的账户和账户组，如管理员用户、审计用户、来宾用户等。

1.3口令设置安全策略

描述
口令策略设置相关设置
检查方法
进入“控制面板->管理工具->本地安全策略”，在“账户策略”中：
检查是否符合操作步骤中提到的各标准
操作步骤
将不符合检查内容项进行加固，安全标准配置如下：

安全策略：密码必须符合复杂性要求已启用
密码长度最小值 12个字符
密码最短使用期限 1天
密码最长使用期限 90天
强制密码历史 5个记住的密码
用可还原的加密来储存密码已禁用
账户锁定策略：账户锁定时间 5分钟
账户锁定阈值 6次无效登录
重置账户锁定计时器 5分钟之后

操作风险
低

1.4不使用系统默认用户名

描述
administrator、guest等默认账户使用默认用户名，当攻击者发起穷举攻击，使用默认用户大大降低攻击者的攻击难度
检查方法
进入“控制面板->管理工具->计算机管理->系统工具-> 本地用户和组”
检查administrator、guest是否存在
操作步骤
administrator、guest重命名

1.5关闭系统的权限设置

描述
将关闭系统仅指派给administrator组，避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”中：检查管理系统设置
操作步骤
设置“关闭系统”删除除administrators以外其他xiang
操作风险
可能导致某些系统功能异常或应用非正常运行

1.6远端系统强制关机的权限设置

描述
将从远端系统强制关机仅指派给administrators组，避免普通用户拥有额外的系统控制权限
检查方法
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”中：检查从远程系统强制关机设置。
操作
设置”从远程系统强制关机“删除除administrators以外其他项。

1.7将本地登录设置为指定授权用户

描述
将本地登录设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”中：检查“允许本地登录’设置
操作步骤
设置”允许本地登录“组织保留授权用户，删除其他项

1.8 将从网络访问设置为指定授权用户

描述
将从网络访问设置为指定授权用户
检查方法
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限分配”中：检查“从网络访问此计算机’设置

2.日志配置要求

2.1 审核策略设置中成功失败都要审核

描述
记录系统的所有审核信息，审核策略设置中成功失败都要审核
检查方法
进入”孔子面板->管理工具->本地安全策略“，在”本地策略->审核策略“中：检查是否符合操作不走中提到的各标准。
操作步骤
将不符合检查内容项进行加固，安全标准配置如下：

审核策略更改：成功和失败
审核登录事件：成功和失败
审核对象访问：成功和失败
审核过程跟踪：失败审核
目录服务访问：成功和失败
审核特权使用：成功和失败

2.2 日志大小设置

描述
将应用、系统、安全日志查看器大小设置为至少20480KB
检查方法
进入”控制面板->管理工具->事件查看器“，在”事件查看器（本地）“中：（在应用程序日志、全日志和系统日志上点击右键，看属性中的日志大小上限设置，单位为KB。）检查是否符合操作步骤中提到的各标准。
操作步骤
将不符合检查内容项进行加固，安全标准配置如下：

应用日志的容量为20480KB
安全日志的容量为20480KB
系统日志的容量为20480KB
设置当达到最大的日志大小时，”按需要覆盖事件“。并且用户有流程定期转存日志。

 **风险**较低

2.3 高级安全审核-账户登录

描述
高级安全审核-账户登录
检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->账户登录“中：
检查是否符合操作步骤提到的各标准。
操作步骤

将不符合检查内容项进行加固，安全标准配置如下：
审核凭据验证成功和失败

2.4 高级安全审核-账户管理

描述
高级安全审核-账户管理

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->账户管理“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下
审核计算机账户管理成功和失败
审核其他账户管理事件成功和失败
审核安全组管理成功和失败
审核用户账户管理成功和失败
风险
低

2.5 高级安全审核-详细跟踪

描述
高级安全审核-详细跟踪

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->详细跟踪“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核进程创建成功

风险
低

2.6 高级安全审核-DS访问

描述
高级安全审核策略-DS访问，DS访问安全审核策略设置提供详细的审核耿总的尝试访问和修改对象在Active Directory域服务（ADDS）。仅在域控制器记录事件这些审核

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->DS访问“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核目录服务访问成功和失败
盛和目录服务更改成功和失败

风险
低

2.7 高级安全审核-登录/注销

描述
高级安全审核-登录/注销

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->登录/注销“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核注销成功
审核登录成功和失败
审核特殊登录成功

风险
低

2.8 高级安全审核策略-对象访问

描述
高级安全审核策略-对象访问

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->对象访问“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准如下：
审核文件系统失败
审核注册表失败

风险
低

2.9 高级安全审核-策略更改

描述
高级安全审核-策略更改

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->策略更改“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核策略更改成功和失败
审核身份验证策略更改成功

风险
低

2.10 高级安全审核策略-特权使用

描述
高级安全审核策略-特权使用

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->特权使用“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核敏感特权使用成功和失败

风险
低

2.11 高级安全审核策略-系统

描述
高级安全审核策略-系统

检查方法
打开”运行“输入”gpedit.msc“,在”本地组策略编辑器->计算机配置->windows设置->安全设置->高级安全审核策略配置->系统审核策略->本地组策略对象->系统“中：
检查是否符合操作步骤提到的各标准。

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
审核IPsec驱动程序成功和失败
审核安全状态更改成功和失败
审核安全系统扩展成功和失败
审核系统完整性成功和失败

风险
低

3 安全选项配置

3.1 Microsoft网络服务器

描述
安全选项-Microsoft网络服务器

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->Microsoft网络中“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
登录时间过期后断开与客户端的连接已启动
暂停会话前所需的空闲时间数量 15分钟

3.2 关机

描述
安全选项-关机
检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->关机“：
检查是否符合操作步骤中提到各标准
操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
清楚虚拟内存页面文件已禁用
允许系统在为登录的情况下关闭已禁用

3.3恢复控制台

描述
安全选项-恢复控制台

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->恢复控制台“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
允许自动管理登录已禁用

风险
中

3.4 交互式登录

描述
安全选项-交互登录

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->交互式登录“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容进行加固，安全标准配置如下：
不显示最后的用户名已启用
提示用户在过期之前更改密码 30天
无须按Ctrl+Alt+Del 已禁用
需要智能卡已禁用
之前登录到缓存的次数（域控制器不可用时） 0次
智能卡移除操作锁定工作站

风险
中

3.5 设备

描述
安全选项-设备

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->设备“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
防止用户安装打印机驱动程序已启用
将CD-ROM的访问权限仅限于本地登录的用户已启用
将软盘驱动器的访问权限仅限于本地登录的用户已启用
允许对可移动媒体进行格式化并弹出 administrators

风险
中

3.6 审核

描述
安全选项-审计

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->审核“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
强制审核策略子类别设备（Windows Vista或更高版本）替代审核策略类别设置已启用
如果无法记录安全审核则立即关闭系统已禁用

风险
中

3.7 网络安全

描述
安全选项-网络安全

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->网络安全“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
LAN 管理器身份验证级别仅发送NTLMv2响应\拒绝LM；
基于NTLM SSP （包括安全RPC）服务器的最小绘画安全要求NTMV2会话安全，要求128位加密
基于NTLM SSP （包括安全RPC）客户端的最小绘画安全要求NTMV2会话安全，要求128位加密
不要再下次更改密码时存储LAN manager的哈希值已启用

风险
中

3.8 网络访问

描述
安全选项-网络访问

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->网络访问“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
本地账户的共享和安全模式经典
不允许SAM账户的匿名枚举已启用
不允许SAM账户和共享的匿名枚举已启用
不允许存储网络身份验证发密码换日凭据已启用
将Everyone权限应用域匿名用户已禁用
可匿名访问的共享无定义
可匿名访问的命名管道无定义
可匿名的注册表路径无定义
可远程访问的注册表路径和子路无定义
限制对命名管道和共享的匿名访问已启动
允许匿名SID/名称转换已禁用

3.9 系统对象

描述
安全选项-系统对象

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->系统对象“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
非windows子系统不要求区分大小写已启用
加强内不系统对象的默认权限已启用

风险
中

3.10系统加密

描述
安全选项-系统加密

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->系统加密“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
为计算机上存储的用户密钥强制使用强密钥保护用户没次使用密钥时必须键入密码

风险
中

3.11系统设置

描述
安全选项-系统设置

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->系统设置“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
可选子系统无

3.12 用户账户控制

描述
安全选项-用户账户控制

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->用户账户控制“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
标准用户的提升提升行为自动提升请求
管理员批准模式中管理员的提升权限提示的行为提示凭据
检测应用程序安全并提示提升已启用
将文件和注册表写入错误虚拟化到每用户位置已启用
仅提升安装再安全位置的UIAccess应用程序已启用
提示提升时切换到安全桌面已启用
以管理员批准模式运行所有管理员已启用
用域内置管理员账户的管理员批准模式已启用

风险
中

3.13 账户

描述
安全选项-账户

检查方法
打开”开始->控制面板->管理工具“，在”本地安全策略->本地策略->安全选项->账户“：
检查是否符合操作步骤中提到各标准

操作步骤
将不符合检查内容项进行加固，安全标准配置如下：
来宾账户状态已禁用
使用空白密码的本地账户只允许进行控制台登录已启用
重命名来宾账户不包含“guets”字段

4 服务配置要求

4.1 启用NTP服务

描述
启用NTP服务，配置统一服务器时钟，应开启NTP服务向网络内指定的NTPserver同步时钟

检查方法
对于已加入域的服务器，系统将自动与域控服务器同步时钟
对于未加入域的服务器，需按以下步骤配置。

操作步骤
点击桌面右下角时钟，开启“更改日期和时钟设置”->“Internet时间”
开启“自动域internet 时间服务器同步”选型，在服务器栏中填写NTP server的IP地址，然后点击“立即更新”

4.2 关闭自动播放功能

描述
关闭自动播放功能，避免执行未经扫描或确认的文件，从而引入木马或病毒

检查方法
点击开始->运行->输入gpedit.msc，打开组策略编辑器，管理模板->windows组件，检查“关闭自动播放”项设置

操作方法
设置“关闭自动播放”已启用

4.3 删除HOST文件下的可疑条目

描述
删除HOST文件下的可疑条目

检查方法
查看是否符合操作中提到的标准，检查C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容跟正常

操作步骤
将不符合内容项进行加固，确保C:\windows\system32\drivers\etc目录下的用于静态DNS解析的HOSTS文件内容跟正常，对于未知条目可以与管理员追查

4.4关闭默认共享

描述
关闭默认共享，未经确认的共享操作，尤其是对everyone的共享，会对信息安全造成危害
检查方法
net share或计算机管理-共享

4.5 关闭远程注册表

描述
关闭远程注册次奥，防止用户远程修改或查看系统注册表

检查方法
进入“控制面板->管理工具->计算机管理”，进入”服务和应用程序":
检查“Remote Registry”

操作步骤
设置“Remote Registy”已停用

5 其他配置要求

5.1 安装防毒软件

描述
安装防病毒软件和防病毒软件并及时升级

检查方法
检查杀毒软件的安装和升级情况

操作步骤
安装杀毒软件并升级到最新版本

5.2 设置带密码的屏幕保护

描述
设置带密码的屏幕保护，并将时间设定为5分钟，防止合法用户未及时退出登录

检查方法
进入“控制面板->显示->屏幕保护程序”：
查看是否符合操作中提到的标准

操作步骤
将不符合评估内容项进行加固，查看是否启用屏幕保护程序，设置等待时间为为“5分钟后”恢复时5使用密码保护

5.3启用防火墙

描述
启用Windows自带防火墙，且根据业务需要限定允许访问网络的应用程序，和允许远程登录该用户的IP地址

检查方法
进入“控制面板->网路连接->本地连接”，在高级选项的设置中，查看是否启用windows防火墙，查看是否在“例外”中配置允许业务所需的程序接入网络。查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。

操作步骤
将不符合评估内容项进行加固，启用windows自带防火墙。根据业务需要限定允许远程登录该设备的IP地址范围

windows基线加固相关推荐

Windows 基线加固/等保整改
1 按用户类型分配账号目的:根据系统要求,设定不同账户和组.管理员.数据库sa.审计用户.来宾用户等 1)lursmgr.msc 根据用户要求将账户加入功能组右击账户->属性->更改隶 ...
服务器基线加固脚本_安全服务之安全基线及加固（一）Windows篇
一个热爱分享的公众号和一群热爱这个行业的作者们. 此文章为连载文章 0x01 前言安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊.应急响应嘛.....实际上正式一点的企业对 ...
Windows学习总结（22）——Windows基线检查加固脚本
Windows的批处理脚本(一键加固:根据自身要求修改) echo 现在开始Windows安全加固,确认请按任意键 pause echo [version] >account.inf REM帐 ...
linux 安全基线加固
现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全.但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可 ...
服务器基线加固脚本_一种基于WebLogic的安全基线加固方法与流程
本发明涉及一种安全基线加固方法,尤其涉及一种基于weblogic的安全基线加固方法. 背景技术: weblogic是一个基于javaee架构的中间件,用于开发.集成.部署和管理大型分布式web应用.网 ...
Windows服务器加固
Windows服务器加固一. 账户安全要求二. 权限安全要求三. 通用安全管理四. 日志审计安全五.网络协议安全一. 账户安全要求 1. 账户错误登录锁定次数(8) 开始->运行- ...
Windows安全加固系列-----口令策略
2019/6/13 - 此文章是关于Windows安全加固中增强口令的复杂度及锁定策略,还有一个关于暴力破解的实验. 脆弱的口令少于8个字符单一的字符类型.例如只用小写字母.或只用数字用户名与口 ...
常见安全服务(基线加固、风险评估、应急响应、渗透测试、代码审计、重保)介绍
常见安全服务(基线加固.风险评估.应急响应.渗透测试.代码审计.重保)介绍前言一.安全服务的意义二.常见安全服务 1.基线加固 2.风险评估 3.渗透测试 4.应急演练/应急响应 5.代码审计 ...
windows基线检测
按照Windows基线检查模板检查设置windows安全机制: *windows基线检查选项及风险等级* 编号检查选项风险等级适用类型 1 系统已安装最新的service pack Ⅰ 2 系统 ...
windows服务器主机加固
title: windows服务器主机加固 tags: 安全加固 categories: 渗透测试 1.禁用Guest账户和无关账户 Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以 ...

windows基线加固

1.账号管理与授权

1.1删除或锁定可能无用的账户

1.2删除或锁定与设备运行、维护等与工作无关的账户。

1.3口令设置安全策略

1.4不使用系统默认用户名

1.5关闭系统的权限设置

1.6远端系统强制关机的权限设置

1.7将本地登录设置为指定授权用户

1.8 将从网络访问设置为指定授权用户

2.日志配置要求

2.1 审核策略设置中成功失败都要审核

2.2 日志大小设置

2.3 高级安全审核-账户登录

2.4 高级安全审核-账户管理

2.5 高级安全审核-详细跟踪

2.6 高级安全审核-DS访问

2.7 高级安全审核-登录/注销

2.8 高级安全审核策略-对象访问

2.9 高级安全审核-策略更改

2.10 高级安全审核策略-特权使用

2.11 高级安全审核策略-系统

3 安全选项配置

3.1 Microsoft网络服务器

3.2 关机

3.3恢复控制台

3.4 交互式登录

3.5 设备

3.6 审核

3.7 网络安全

3.8 网络访问

3.9 系统对象

3.10系统加密

3.11系统设置

3.12 用户账户控制

3.13 账户

4 服务配置要求

4.1 启用NTP服务

4.2 关闭自动播放功能

4.3 删除HOST文件下的可疑条目

4.4关闭默认共享

4.5 关闭远程注册表

5 其他配置要求

5.1 安装防毒软件

5.2 设置带密码的屏幕保护

5.3启用防火墙

windows基线加固相关推荐

最新文章

热门文章