一些操作系统安全设置
一、操作系统通用安全设置
- 禁用ping命令
通过创建IP安全策略,禁用ping命令。 - 屏蔽FTP默认欢迎界面
- tomcat 屏蔽manage页面
- 防火墙,关闭不对外的端口。特殊管理的数据端口仅对特定IP开放
二、网站安全设置
- 网站删除readme.txt、使用文档等内容
- 网站后台限定登陆IP
- 网站静态界面禁止执行权限
- 网站非上传目录禁止写入
- 网站上传目录禁止执行
- 禁止网站显示目录
- 设置robots文件
三、Linux安全设置
1. 规避扫描技术
鼓励管理员使用不暴露设备通信的名字,例如:如果使用Nmap-Fu或者DNS-Fu获取主机名,发现的主机名如下:
dns1.example.com
mail.example.com
domainserver
devserver
administratorspivotpoint
rogueWAP
这个信息立即给你提供了第一个想要攻击的目标。一个好的命名方法是使用令牌技术,例如:ST1意指DNS服务器,或者所有的开发服务器都以71作为名字的一部分。这样可以使入侵者难以理解,而合法的管理员却能够立刻了解每台服务器的功能。公钥私钥重命名
Port Knocking技术
管理员通常使用Port Knocking技术以避免端口扫描。这个概念非常简单,需要在连接某个管理端口前(比如SSH),首先连接一个秘密开放的端口。
Port Knocking更高级的用法是建立一个telnet服务器,如果有IP尝试连接telnet端口,则让基于主机的防火墙临时阻断对系统任何端口的访问。
入侵检测和规避系统
这些设备作为深度防护策略的一部分,需要进行正确管理、监控和更新,这样有助于解决公司面临的安全问题。
触发点
策略性地设置一些早期预警系统,当有访问的时候就发出警告,类似物理安全中的边界入侵检测。管理员可以在一个网段内设置一个预警系统,一旦有不正常的连接请求自动发送警告。
管理员避免在系统上开发尽可能多的端口。
网络上所有机器都要保持安全,不要给攻击者留下立足点。
关闭SNMP
确保管理员以安全的方式使用SNMP。应该使用最新版的SNMP并测试它的安全性,阻断和限制访问SNMP的主机。
移除默认的团体名public
四、Windows安全设置
帐户策略
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 强制密码历史| 建议此设置状态是24个或更多记住的密码| 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\强制密码历史|
| 密码最长使用期限| 此设置的建议的状态是90天或更少| 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\密码最长年龄 |
| 密码最短使用期限| 建议此设置的状态是1个或更多天| 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\密码最短年龄|
| 最小密码长度|对于企业配置,建议值是8个或更多字符。对于SSLF配置,建议值是12个或更多字符。| 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\最小密码长度 |
| 密码必须符合复杂性要求| 建议此设置状态为已启用 | 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\密码必须符合复杂性要求 |
|使用可逆的加密存储密码| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\帐户策略\密码策略\存储密码使用可逆加密|
|帐户锁定时间| 建议此设置的状态是15分钟或更长时间| 计算机配置\ Windows设置\安全设置\帐户策略\帐户锁定策略\帐户锁定时间|
|帐户锁定阈值| 对于SSLF配置,建议值为10次无效的登录尝试 对于企业配置,建议值为15无效的登录尝试 |计算机配置\ Windows设置\安全设置\帐户策略\帐户锁定策略\帐户锁定阈值|
|复位帐户锁定计数器| 建议此设置的状态是15分钟或更长时间| 计算机配置\ Windows设置\安全设置\帐户策略\帐户锁定策略\复位帐户锁定计数器之后 |
|强制用户登录限制|对于企业域控制器和SSLF域控制器配置,建议值为启用。对于企业成员的服务器和SSLF成员服务器配置的,建议值没有定义。 |计算机配置\ Windows设置\安全设置\帐户策略\ Kerberos策略\强制用户登录限制|
| 计算机时钟同步的最大容差| “对于企业域控制器和SSLF域控制器配置,建议值是5。对于企业成员的服务器和SSLF成员服务器配置的,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\帐户策略\ Kerberos策略\最大公差为计算机时钟同步|
| 服务证书的最大生存期| “对于企业域控制器和SSLF域控制器配置,建议值是600。对于企业成员服务器和SSLF成员服务器配置,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\帐户策略\ Kerberos策略\最长寿命为服务证书 |
| 服务证书续订的最大生存期| “对于企业域控制器和SSLF域控制器配置,建议值为7天。对于企业成员服务器和SSLF成员服务器配置,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\帐户策略\ Kerberos策略\最长寿命用户证书续订 |
| 用户证书最大生存期| “对于企业域控制器和SSLF域控制器配置,建议值是10。对于企业成员服务器和SSLF成员服务器配置,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\帐户策略\ Kerberos策略\最长生存期用户证书 |
|审核策略 审核帐户登录事件| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核帐户登录事件 |
| 审核帐户管理| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核帐户mementanag |
| 审核目录服务访问 |建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核目录服务访问 |
| 审核登录事件| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核登录事件 |
| 审核对象访问 |建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核对象访问 |
| 审核策略更改| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核策略更改 |
| 审核特权使用| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核特权使用 |
| 审核过程跟踪| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核过程跟踪 |
| 审核系统事件| 建议此设置的状态没有定义| 计算机配置\ Windows设置\安全设置\本地策略\审核策略\审核系统事件 |
| 审计署:立即关闭系统如果无法记录安全审计| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\审核:立即关闭系统,如果无法记录安全审核 reg query HKLM\System\CurrentControlSet\Control\Lsa /v crashonauditfail|
| 审核:强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\审核:强制审核策略子类别设置(Windows Vista或更高)替代审核策略类别设置|
详细的安全审核
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 审计策略:系统:IPsec驱动程序 | 建议此设置的状态是成功与失败| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\系统\审计IPSec驱动程序\审核策略:系统:IPsec驱动程序 |
| 审计策略:系统安全状态变化| 建议此设置的状态是成功与失败| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\系统\审核安全状态更改\审核策略:系统:安全状态变化 |
| 审计策略:系统:安全系统扩展| 建议此设置的状态是成功与失败| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\系统\审核安全系统扩展\审核策略:系统:安全系统扩展 |
| 审计策略:系统:系统完整性| 建议此设置的状态是成功与失败| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\系统\审计系统的完整性\审核策略:系统:系统完整性 |
| 审计策略:登录注销:注销| 建议此设置的状态是成功| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\登录/注销\审核注销\审核策略:登录注销:注销 |
| 审计策略:登录注销:登录| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败对于企业成员服务器和企业域控制器配置文件,推荐值是成功” | 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\登录/注销\审核策略\审核登录:登录注销:登录 |
| 审计策略:登录注销:特殊登录| 建议此设置的状态是成功| 计算机配置\ Windows设置\安全设置\先进的审计策略配置\系统审核策略 - 本地组策略对象\登录/注销\审核登录\审核策略:登录注销:特殊登录|
| 审计策略:对象访问:文件系统| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是失败的对于企业成员服务器和企业域控制器配置文件,推荐值是无审核”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\对象访问\审核策略\审核文件系统对象访问:文件系统 |
| 审计策略:对象访问:注册表| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是失败的对于企业成员服务器和企业域控制器配置文件,推荐值是无审核”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\对象访问\审核策略\审核注册表:对象访问:注册表 |
| 审计策略:特权使用:敏感特权使用| “对于企业成员服务器和企业域控制器配置文件,推荐值是“无审核”。对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功和失败。”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\特权使用\审核敏感特权使用\审核策略:特权使用:敏感特权使用|
| 审计策略:详细跟踪进程创建| 建议此设置的状态是成功| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象详细追踪\审计进程创建\审核策略:详细跟踪进程创建|
| 审计策略:政策变化:审核策略更改| 建议此设置的状态是成功与失败| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\政策变更\审计审核策略更改\审核策略:政策变化:审核策略更改 |
| 审计策略:政策变化:验证策略更改| 建议此设置的状态是成功| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\政策变更\审核认证政策变更\审核策略:政策变化:验证政策的变化 |
| 审计策略:帐户管理:计算机帐户管理| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败 对于企业成员服务器和企业域控制器配置文件,推荐值是成功”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\帐户管理\审计计算机帐户管理\审核策略:帐户管理:计算机帐户管理 |
| 审计策略:帐户管理其他帐户管理事件| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败 对于企业成员服务器和企业域控制器配置文件,推荐值是成功”| 计算机配置\ Windows设置\安全设置\先进的审计策略配置\系统审核策略 - 本地组策略对象\帐户管理其他帐户管理事件\审计\审核策略:帐户管理其他帐户管理事件 |
| 审计策略:帐户管理:安全组管理| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败 对于企业成员服务器和企业域控制器配置文件,推荐值是成功”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\帐户管理\审核安全组管理\审核策略:帐户管理:安全组管理 |
| 审计策略:帐户管理:用户帐户管理| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败 对于企业成员服务器和企业域控制器配置文件,推荐值是成功”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\帐户管理\审核用户帐户管理\审核策略:帐户管理:用户帐户管理 |
| 审计策略:DS访问:目录服务访问| “对于企业会员的服务器和SSLF成员服务器配置文件,推荐值是无审核 对于SSLF域控制器配置文件,推荐值是成功与失败 企业域控制器配置文件,建议值是成功” |计算机配置\ Windows设置\安全设置\高级审核策略配置\系统审核策略 - 本地组策略对象\ DS访问\审核目录服务访问\审核策略:DS访问:目录服务访问 |
| 审计策略:DS访问:目录服务更改| “对于企业会员的服务器和SSLF成员服务器配置文件,推荐值是无审核 对于SSLF域控制器配置文件,推荐值是成功与失败 企业域控制器配置文件,建议值是成功” |计算机配置\ Windows设置\安全设置\高级审核策略配置\ DS访问系统审核策略 - 本地组策略对象\审核目录服务更改\审核策略:DS访问:目录服务更改 |
| 审计策略:帐户登录凭据验证| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是成功与失败 对于企业成员服务器和企业域控制器配置文件,推荐值是成功”| 计算机配置\ Windows设置\安全设置\高级审核策略配置\帐户登录系统审核策略 - 本地组策略对象\审核凭证验证\审核策略:帐户登录凭据验证 |
事件日志
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 应用:最大日志大小(KB)| 建议此设置状态是32768 KB或更大 计算机配置\管理模板\ Windows组件\事件日志服务\应用程序\应用:最大日志大小(KB)| reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\Application /v MaxSize|
| 应用:保留旧事件 | 建议此设置状态为已禁用| 计算机配置\管理模板\ Windows组件\事件日志服务\应用\应用:保留旧事件| reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\Application /v Retention|
| 安全性:最大日志大小(KB) | 建议此设置状态是81920 KB或更大 | 计算机配置\管理模板\ Windows组件\事件日志服务\安全\安全性:最大日志大小(KB) reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\Security /v MaxSize|
| 安全:保留旧事件| 建议此设置状态为已禁用| 计算机配置\管理模板\ Windows组件\事件日志服务\安全\安全:保留旧事件 |reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\Security /v Retention|
| 系统:最大日志大小(KB) | 建议此设置状态是32768 KB或更大 | 计算机配置\管理模板\ Windows组件\事件日志服务\系统\系统:最大日志大小(KB)| reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\System /v MaxSize|
| 系统:保留旧事件 | 建议此设置状态为已禁用 | 计算机配置\管理模板\ Windows组件\事件日志服务\系统\系统:保留旧事件 |reg query HKLM\Software\Policies\Microsoft\Windows\EventLog\System /v Retention|
Windows防火墙
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
|Windows防火墙:允许ICMP例外(域)| 建议此设置状态为已禁用| 计算机配置\管理模板\网络\网络连接\ Windows防火墙\域配置\ Windows防火墙:允许(域)ICMP例外| reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\IcmpSettings /v AllowInboundEchoRequest,AllowInboundMaskRequest,AllowInboundRouterRequest,AllowInboundTimestampRequest,AllowOutboundDestinationUnreachable,AllowOutboundPacketTooBig,AllowOutboundParameterProblem,AllowOutboundSourceQuench,AllowOutboundTimeExceeded,AllowRedirect|
| Windows防火墙:允许ICMP例外(标准)| 建议此设置状态为已禁用 |计算机配置\管理模板\网络\网络连接\ Windows防火墙\标准配置文件\ Windows防火墙:允许(标准)ICMP例外| reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\IcmpSettings /v AllowInboundEchoRequest,AllowInboundMaskRequest,AllowInboundRouterRequest,AllowInboundTimestampRequest,AllowOutboundDestinationUnreachable,AllowOutboundPacketTooBig,AllowOutboundParameterProblem,AllowOutboundSourceQuench,AllowOutboundTimeExceeded,AllowRedirect|
| Windows防火墙:应用本地连接安全规则(域)| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是否”| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全性\ Windows防火墙属性\域配置文件“选项卡\ Windows防火墙:应用本地连接安全规则(域)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile /v AllowLocalIPsecPolicyMerge|
| Windows防火墙:将本地连接安全规则(私人) |“对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是否” |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性\专用配置文件“\ Windows防火墙:应用本地连接安全规则(私人) |reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile /v AllowLocalIPsecPolicyMerge|
| Windows防火墙:应用本地连接安全规则(公共) |建议此设置状态为否| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性“公开信息“\ Windows防火墙:应用本地连接安全规则(公开) |reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile /v AllowLocalIPsecPolicyMerge|
| Windows防火墙:应用本地防火墙规则(域)| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是否” |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全性\ Windows防火墙属性\域配置文件“选项卡\ Windows防火墙:应用本地防火墙规则(域) |reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile /v AllowLocalPolicyMerge|
| Windows防火墙:应用本地防火墙规则(私人)| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是否”| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性\专用配置文件“\ Windows防火墙:应用本地防火墙规则(私人)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile /v AllowLocalPolicyMerge|
| Windows防火墙:应用本地防火墙规则(公开)| 建议此设置状态为否 |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性“公开信息“\ Windows防火墙:应用本地防火墙规则(公开)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile /v AllowLocalPolicyMerge|
| Windows防火墙:显示通知(域)| “对于企业成员服务器和企业域控制器配置文件,建议值没有定义。 对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是Yes”| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全性\ Windows防火墙属性\域配置文件“选项卡\ Windows防火墙:显示通知(域) |reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile /v DisableNotifications|
| Windows防火墙:显示通知(私人) |“对于企业成员服务器和企业域控制器配置文件,建议值没有定义。 对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是Yes”| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性\专用配置文件“\ Windows防火墙:显示通知(私人)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile /v DisableNotifications|
| Windows防火墙:显示通知(公共) 建议此设置状态为否 |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性“公开信息“\ Windows防火墙:显示通知(公共)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile /v DisableNotifications|
| Windows防火墙:防火墙状态(域) |建议此设置状态是 On |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性“域配置文件选项卡\ Windows防火墙:防火墙状态(域)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile /v EnableFirewall|
| Windows防火墙:防火墙状态(私人)| 建议此设置状态是 On| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性\专用配置文件“\ Windows防火墙:防火墙状态(私人)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile /v EnableFirewall|
| Windows防火墙:防火墙状态(公开)| 建议此设置状态是 On |计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性“公开信息“\ Windows防火墙:防火墙状态(公共)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile /v EnableFirewall|
| Windows防火墙:入站连接(域) |建议此设置状态是阻止 |计算机配置\ Windows设置\安全设置\具有高级安全性\ Windows防火墙高级安全性\ Windows防火墙属性\域配置文件“选项卡\ Windows防火墙Windows防火墙:(域)的入站连接| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\DomainProfile /v DefaultInboundAction|
| Windows防火墙:入站连接(私人)| 建议此设置状态是阻止| 计算机配置\ Windows设置\安全设置\高级安全性的高级安全\ Windows防火墙属性\专用配置文件“\ Windows防火墙\ Windows防火墙的Windows防火墙:(私人)的入站连接|reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PrivateProfile /v DefaultInboundAction|
| Windows防火墙:入站连接(公共) |建议此设置状态是阻止| 计算机配置\ Windows设置\安全设置\ Windows防火墙具有高级安全性\ Windows防火墙高级安全\ Windows防火墙属性\配置文件“选项卡\ Windows防火墙:入站连接(公共)| reg query HKLM\Software\Policies\Microsoft\WindowsFirewall\PublicProfile /v DefaultInboundAction|
| Windows防火墙:禁止通知(域)| 建议此设置状态为已禁用| 计算机配置\管理模板\网络\网络连接\ Windows防火墙\域配置\ Windows防火墙:禁止通知(域)| reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile /v DisableNotifications|
| Windows防火墙:禁止通知(标准)| 建议此设置状态为已禁用 |计算机配置\管理模板\网络\网络连接\ Windows防火墙\标准配置文件\ Windows防火墙:禁止通知(标准) |reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile /v DisableNotifications|
| Windows防火墙:保护所有网络连接(域)| 建议此设置状态为已启用| 计算机配置\管理模板\网络\网络连接\ Windows防火墙\域配置\ Windows防火墙:保护所有网络连接(域)| reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile /v EnableFirewall|
| Windows防火墙:保护所有网络连接(标准)| 建议此设置状态为已启用| 计算机配置\管理模板\网络\网络连接\ Windows防火墙\标准配置文件\ Windows防火墙:保护所有网络连接(标准)| reg query HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile /v EnableFirewall|
Windows更新
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 配置自动更新| 状态已启用此设置的建议:3 - 自动| 计算机配置\管理模板\ Windows组件\ Windows更新\配置自动更新| reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v AUOptions|
| 不显示“安装更新并关机”关闭Windows对话框中关闭选项 |建议此设置状态为已禁用| 计算机配置\管理模板\ Windows组件\ Windows更新\不要显示“安装更新并关机”关闭Windows“对话框中选项 |reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAUShutdownOption|
| 重新计划自动更新计划的安装 |建议此设置状态为已启用| 计算机配置\管理模板\ Windows组件\ Windows更新\重新计划自动更新计划的安装| reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v RescheduleWaitTimeEnabled|
用户帐户控制
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 用户帐户控制:管理员批准模式下,内置的管理员帐户| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:管理员批准模式下内置管理员帐户| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken|
| 用户帐户控制:管理员批准模式中管理员的提升提示行为| 建议此设置的状态提示提供凭据| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:行为海拔提示为管理员在管理员批准模式| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin|
| 用户帐户控制:行为标准用户的提升提示| 此设置的状态会自动拒绝提升请求| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:标准用户的提升提示行为| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorUser|
| 用户帐户控制:检测应用程序安装并提示提升| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:检测应用程序安装并提示提升| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v EnableInstallerDetection|
| 用户帐户控制:仅提升安装在安全的地点UIAccess应用 | 建议此设置状态为已启用 | 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:仅提升安装在安全的地点UIAccess应用| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v EnableSecureUIAPaths|
| 用户帐户控制:管理员批准模式运行所有管理员| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:管理员批准模式运行所有管理员| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA|
| 用户帐户控制:提示提升时切换到安全桌面| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:切换到安全桌面时,提示标高| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop|
| 用户帐户控制:虚拟化文件和注册表写入失败到每个用户的位置 |建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:虚拟化文件和注册表写入失败,每个用户的位置| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v EnableVirtualization|
| 用户帐户控制:允许UIAccess应用程序,而无需使用安全桌面提示提升 |建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\用户帐户控制:允许UIAccess应用程序不使用安全桌面提升提示| reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableUIADesktopToggle|
用户权利
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
|从网络访问此计算机| “对于企业会员的服务器和SSLF成员服务器配置文件,推荐值是Administrators, Authenticated Users 对于企业域控制器和SSLF域控制器配置,推荐值是 Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\访问这台计算机从网络 |
| 作为操作系统的一部分 |建议此设置状态,一个都没有| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\法令作为操作系统的一部分 |
| 调整进程的内存配额 |“对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是Administrators, LOCAL SERVICE, NETWORK SERVICE 对于企业成员服务器和企业域控制器配置文件,建议值没有定义。” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\调整进程的内存配额 |
| 备份文件和目录 |“对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是Administrators 对于企业成员服务器和企业域控制器配置文件,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\备份文件和目录 |
| 跳过遍历检查| “对于企业成员服务器配置文件,推荐值是Administrators, Authenticated Users, Backup Operators, Local Service, Network Service 企业域控制器配置文件,建议值没有定义。 对于SSLF域控制器配置文件,推荐值是Authenticated Users, Local Service, Network Service 对于SSLF成员服务器配置文件,建议值是Administrators, Authenticated Users, Local Service, Network Service” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\跳过遍历检查 |
| 更改系统时间 |建议此设置状态LOCAL SERVICE, Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\更改系统时间 |
| 创建一个页面文件 |“对于服务器的企业成员,对于SSLF成员服务器和SSLF域控制器配置,推荐值 Administrators 企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\建立一个页面文件 |
| 创建令牌对象| 建议此设置状态没有一个| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\创建令牌对象 |
| 创建全局对象 |“对于企业成员服务器和企业域控制器配置,建议值没有被定义 对于SSLF成员服务器和SSLF域控制器配置,建议值Administrators, SERVICE, Local Service, Network Service”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\创建全局对象 |
| 创建永久共享对象| 建议此设置状态没有一个| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\创建永久共享对象 调试程序 “对于企业成员服务器和企业域控制器配置,建议值 Administrators 对于SSLF成员服务器和SSLF域控制器配置,推荐值是无人”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\ DEBUG方案 |
| 拒绝从网络访问这台计算机| 建议此设置状态为guests| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机 使计算机和用户帐户被信任的代表团 建议此设置状态没有一个 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\启用计算机和用户帐户被信任的团体 |
| 从远程系统强制关机 |“对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有定义” |计算机配置\ Windows设置\本地策略\用户权利指派\从远程系统强制关机 |
| 身份验证后模拟客户端| 建议此设置状态为Administrators, SERVICE, Local Service, Network Service |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\模拟客户端身份验证后 |
| 增加调度优先级 |“对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\增加调度优先级 |
| 加载和卸载设备驱动程序| 建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\加载和卸载设备驱动程序 内存中锁定页 “对于SSLF成员服务器和SSLF域控制器配置,推荐值是无人 对于企业成员服务器和企业域控制器配置,建议值没有被定义” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\内存中锁定页 |
| 管理审核和安全日志| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派“\”管理审核和安全日志 |
| 修改固件环境值| “对于服务器的企业成员,对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\修改固件环境值 |
| 执行卷维护任务| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有被定义” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\执行卷维护任务 |
| 配置单一进程| 建议此设置状态为Administrators |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\配置单一进程 |
| 配置系统性能| 建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\配置系统的性能 |
| 删除计算机从对接站| 建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\删除计算机从插接工作站中 |
| 替换进程级令牌| 建议此设置状态为LOCAL SERVICE, NETWORK SERVICE| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\替换进程级令牌 |
| 关闭系统 |建议此设置状态为Administrators |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\关闭系统 |
| 域中添加工作站 |“对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\将工作站添加到域 |
| 允许在本地登录| 建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权限分配\允许在本地登录 |
| 通过终端服务允许登录| 建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权限分配\允许通过终端服务 |
| 更改时区| 建议此设置状态为LOCAL SERVICE, Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\更改时区 |
| 创建符号链接| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是administrator 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\创建符号链接 |
| 拒绝本地登录| 建议此设置状态为Guests| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\拒绝本地登录|
| 通过终端服务拒绝登录| 建议此设置状态为Guests| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\拒绝通过终端服务登录|
| 生成安全审核| “对于服务器的企业成员,对于SSLF成员服务器和SSLF域控制器配置,推荐值是LOCAL SERVICE, NETWORK SERVICE 企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\生成安全审计 |
| 增加进程的工作集| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是Administrators, Local Service 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\增加一个进程的工作集 |
| 作为批处理作业登录| “企业域控制器,对于SSLF成员服务器和SSLF域控制器配置,推荐值是无人 对于企业成员服务器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\ LOG作为批处理作业 |
| 还原文件和目录| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是Administrators 对于企业成员服务器和企业域控制器配置,推荐值是Administrators, Backup Operators” |计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\还原文件和目录 |
| 以文件或其他对象的所有权 |建议此设置状态为Administrators| 计算机配置\ Windows设置\安全设置\本地策略\用户权利指派\以文件或其他对象所有权 |
| 作为一个值得信赖的呼叫者访问凭据管理| 建议此设置状态没有一个 |计算机配置\ Windows设置\本地策略\用户权利指派\访问凭据管理作为一个值得信赖的来电 |
| 同步目录服务数据| 建议此设置状态没有一个| 计算机配置\ Windows设置\本地策略\用户权利指派\同步目录服务数据 |
安全选项
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
|网络安全:基于NTLM SSP(包括安全RPC)服务器的最小会话安全| 建议此设置状态要求NTLMv2会话安全,要求128位加密 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络安全:基于NTLM SSP(包括安全RPC)的最小会话安全服务器 |reg query HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0 /v NTLMMinServerSec|
| 网络访问:可远程访问的注册表路径和子路径| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是:System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog 对于企业成员服务器和企业域控制器配置文件,建议值没有定义。”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:远程访问的注册表路径和子路径| reg query HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths /v Machine|
| 帐户:重命名系统管理员帐户| 建议此设置的状态系统管理员账号不为默认的 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户:重命名系统管理员帐户 |
| 帐户:重命名来宾帐户| 建议此设置的状态来宾账号不为默认的| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户:重命名来宾帐户 |
| 帐户:来宾帐户状态 |建议此设置状态为已禁用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户:来宾帐户状态 |
| 网络访问:允许匿名SID /名称转换| 建议此设置状态为已禁用 |计算机配置\ Windows设置\本地策略\安全选项\网络访问:允许匿名SID/名称转换 |
| 帐户:限制使用空白密码的本地帐户允许进行控制台登录| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\帐户:限制使用空白密码的本地帐户只允许进行控制台登录| reg query HKLM\System\CurrentControlSet\Control\Lsa /v LimitBlankPasswordUse|
| 设备:允许格式化和弹出可移动媒体 |建议此设置状态为Administrators |计算机配置\ Windows设置\安全设置\本地策略\安全选项\设备:允许格式化和弹出可移动媒体| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v AllocateDASD|
| 设备:防止用户安装打印机驱动程序| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\设备:防止用户安装打印机驱动程序| reg query HKLM\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers /v AddPrinterDrivers|
| 仅设备:限制CD - ROM的访问本地登录的用户| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动” 仅限制CD - ROM的访问本地登录的用户|计算机配置\ Windows设置\安全设置\本地策略\安全选项\设备:| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v AllocateCDRoms|
| 设备:只有本地登录的用户只能访问软盘| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\设备:限制本地登录的用户只能访问软盘| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v AllocateFloppies|
| 域成员:对安全通道数据进行数字加密或签名(总是)| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:数字加密或签名安全通道数据(总是)| reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v requiresignorseal|
| 域成员:数字加密的安全通道数据(如果可能)| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:数字加密安全通道数据(如果可能)| reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v sealsecurechannel|
| 域成员:数字签名的安全通道数据(如果可能)| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:数字签名的安全通道数据(如果可能) |reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v signsecurechannel|
| 域成员:禁用更改机器帐户密码| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:禁用计算机帐户密码更改| reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v disablepasswordchange|
| 域成员:最长机器帐户密码寿命| 所有配置文件,建议此设置状态为30天 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:最长机器帐户密码年龄| reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v maximumpasswordage|
| 域成员:需要强(Windows 2000或更高版本)会话密钥| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域成员:需要强(Windows 2000或更高)会话密钥| reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v requirestrongkey|
| 域控制器:允许服务器操作员计划任务| “对于企业域控制器和SSLF域控制器配置,推荐值是禁用 对于企业会员的服务器和SSLF成员服务器配置文件,建议值没有被定义” |计算机配置\ Windows设置\安全设置\本地策略\安全选项\域控制器:允许服务器操作员计划任务| reg query HKLM\System\CurrentControlSet\Control\Lsa /v SubmitControl|
| 域控制器:LDAP服务器签名要求 “|对于SSLF域控制器配置文件,推荐值是需要签署 企业域控制器和SSLF成员服务器配置文件,对于企业成员服务器,推荐值是没有定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\域控制器:LDAP服务器签名要求 |reg query HKLM\System\CurrentControlSet\Services\NTDS\Parameters /v ldapserverintegrity|
| 域控制器:拒绝更改机器帐户密码| “对于企业域控制器和SSLF域控制器配置,推荐值是禁用 对于企业会员的服务器和SSLF成员服务器配置文件,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\域控制器:拒绝机器帐户密码更改 |reg query HKLM\System\CurrentControlSet\Services\Netlogon\Parameters /v RefusePasswordChange|
| 交互式登录:不显示上次的用户名| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:不显示最后一个用户名 |reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DontDisplayLastUserName|
| 交互式登录:不需要按Ctrl+ Alt + Del |建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:不需要按+ Alt+ Del |reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCAD|
| 交互式登录:可被缓存的前次登录个数(在案件域控制器是不可用)| 建议此设置状态为 0 登录 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:可被缓存的前次登录个数(在域控制器的情况下不) |reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v cachedlogonscount|
| 交互式登录:在密码到期前提示用户更改密码| 建议此设置状态为 0 14天| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:密码到期前提示用户更改| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v passwordexpirywarning|
| 交互式登录:要求域控制器身份验证以解锁工作站 |建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:要求域控制器身份验证以解锁工作站 |reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v ForceUnlockLogon|
| 交互式登录:智能卡移除操作 |建议此设置状态为锁定工作站| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:智能卡移除行为| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v scremoveoption|
| 交互式登录:用户试图登录时消息文本| 建议此设置状态文本是由您的组织保佑| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:用户试图登录消息文字 |reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v LegalNoticeText|
| 交互式登录:用户试图登录时消息标题 |建议此设置状态文本是由您的组织保佑 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:用户试图登录消息标题| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v LegalNoticeCaption|
| 交互式登录:要求智能卡| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是启用 对于企业成员服务器和企业域控制器配置文件,建议值没有被定义” |计算机配置\ Windows设置\安全设置\本地策略\安全选项\交互式登录:要求智能卡 |reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v scforceoption|
| Microsoft网络客户端:数字签名的通信(总是) |建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络客户端:数字签名的通信(总是)| reg query HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters /v RequireSecuritySignature|
| Microsoft网络客户端:数字签名的通信(若服务器同意)| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络客户端:数字签名的通信(若服务器同意) |reg query HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters /v EnableSecuritySignature|
| Microsoft网络客户端:发送未加密的密码到第三方SMB服务器| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络客户端:发送未加密的密码到第三方SMB服务器 |reg query HKLM\System\CurrentControlSet\Services\LanmanWorkstation\Parameters /v EnablePlainTextPassword|
| Microsoft网络服务器:在挂起会话之前所需的空闲时间| 建议此设置状态为15分钟 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络服务器:挂起会话之前所需空闲时间| reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v autodisconnect|
| Microsoft网络服务器:数字签名的通信(总是)| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络服务器:数字签名的通信(总是)| reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v requiresecuritysignature|
| Microsoft网络服务器:数字签名的通信(若客户端同意)| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络服务器:数字签名的通信(若客户端同意)| reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v enablesecuritysignature|
| Microsoft网络服务器:断开客户端登录时间后| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ Microsoft网络服务器:断开客户端登录时间后| reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v enableforcedlogoff|
| 网络访问:不允许SAM帐户的匿名枚举 |建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:不允许SAM帐户的匿名枚举| reg query HKLM\System\CurrentControlSet\Control\Lsa /v RestrictAnonymousSAM|
| 网络访问:不允许SAM帐户和共享的匿名枚举| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:不允许SAM帐户和共享的匿名枚举 |reg query HKLM\System\CurrentControlSet\Control\Lsa /v RestrictAnonymous|
| 网络访问:不允许存储的凭据或用于网络身份验证的净护照| “对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是启用 对于企业成员服务器和企业域控制器配置文件,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:不允许为网络身份验证密码和证书存储| reg query HKLM\System\CurrentControlSet\Control\Lsa /v DisableDomainCreds|
| 网络访问:让Everyone权限应用于匿名用户| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:让Everyone权限应用于匿名用户| reg query HKLM\System\CurrentControlSet\Control\Lsa /v EveryoneIncludesAnonymous|
| 网络访问:命名管道可匿名访问的| “对于SSLF成员服务器配置文件,推荐值是browser 对于SSLF域控制器配置文件,推荐值是:netlogon lsarpc samr browser”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:可匿名访问命名管道 |reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v NullSessionPipes|
| 网络访问:可远程访问的注册表路径 |“对于企业成员服务器和企业域控制器配置文件,建议值没有被定义 对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是 System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion” |计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:可远程访问的注册表路径 |reg query HKLM\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths /v Machine|
| 网络访问:限制匿名访问命名管道和共享 |建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:限制匿名访问命名管道和共享| reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v restrictnullsessaccess|
| 网络访问:可匿名访问的共享 |建议此设置状态为空 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:可匿名访问的共享 |reg query HKLM\System\CurrentControlSet\Services\LanManServer\Parameters /v NullSessionShares|
| 网络访问:本地帐户的共享和安全模式 |建议此设置状态是经典 - 本地用户以自己的身份验证 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络访问:本地帐户的共享和安全模型| reg query HKLM\System\CurrentControlSet\Control\Lsa /v ForceGuest|
| 网络安全:不要在下次更改密码时存储LAN Manager的哈希值| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络安全:不要在下次更改密码时存储LAN Manager的哈希值 |reg query HKLM\System\CurrentControlSet\Control\Lsa /v NoLMHash|
| 网络安全:LAN Manager身份验证级别| “对于企业成员服务器和企业域控制器配置文件,推荐值是仅发送NTLMv2响应。拒绝LM 对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是仅发送NTLMv2响应。拒绝LM和NTLM”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络安全:LAN Manager身份验证级别 |reg query HKLM\System\CurrentControlSet\Control\Lsa /v LmCompatibilityLevel|
| 网络安全:LDAP客户端签名要求| 此设置的建议状态为协商签名 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络安全:LDAP客户端签名要求| reg query HKLM\System\CurrentControlSet\Services\LDAP /v LDAPClientIntegrity|
| 网络安全:基于NTLM SSP(包括安全RPC)客户的最小会话安全| 此设置建议状态要求NTLMv2会话安全,要求128位加密| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\网络安全:基于NTLM SSP(包括安全RPC)的最小会话安全客户端| reg query HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0 /v NTLMMinClientSec|
| 故障恢复控制台:允许自动系统管理级登录| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\故障恢复控制台:允许自动系统管理登录| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole /v securitylevel|
| 故障恢复控制台:允许所有驱动器和文件夹进行软盘复制和访问| “对于SSLF成员的服务器和SSLF域控制器配置,推荐值是禁用 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\故障恢复控制台:允许对所有驱动器软盘复制和访问和所有文件夹 |reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole /v setcommand|
| 关机:清除虚拟内存页面文件| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\关机:清除虚拟内存页面文件| reg query HKLM\System\CurrentControlSet\Control\Session Manager\Memory Management /v ClearPageFileAtShutdown|
| 关机:允许系统被关闭,而无需登录| 建议此设置状态为已禁用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\关机:允许系统被关闭,而无需登录| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v ShutdownWithoutLogon|
| 系统对象:要求的情况下对非Windows子系统不敏感| 建议此设置状态为已启用 |计算机配置\ Windows设置\安全设置\本地策略\安全选项\系统对象需要的情况下对非Windows子系统不敏感| reg query HKLM\System\CurrentControlSet\Control\Session Manager\Kernel /v ObCaseInsensitive|
| 系统对象:增强内部系统对象的默认权限(例如Symbolic Links)| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\系统对象:增强内部系统对象的默认权限(例如Symbolic链接)| reg query HKLM\System\CurrentControlSet\Control\Session Manager /v ProtectionMode|
| 系统加密:存储在计算机上的用户密钥强制强密钥保护 |“对于SSLF成员服务器和SSLF域控制器配置,推荐值是用户必须输入密码每次使用密钥 对于企业成员服务器和企业域控制器配置,推荐值是用户的关键是第一次使用时提示”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\系统加密:力强的重点保护存储在计算机上的用户密钥| reg query HKLM\Software\Policies\Microsoft\Cryptography /v ForceKeyProtection|
| 系统设置:可选子系统| 建议此设置状态为空| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\系统设置:可选子系统| reg query HKLM\System\CurrentControlSet\Control\Session Manager\SubSystems /v optional|
| 系统设置:为软件限制策略对Windows可执行文件使用证书规则| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是启用 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\系统设置:使用软件限制策略对Windows可执行文件使用证书规则| reg query HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers /v AuthenticodeEnabled|
| MSS:(AutoAdminLogon)启用自动登录(不推荐) |建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(AutoAdminLogon)启用自动登录(不推荐)| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v AutoAdminLogon|
| MSS:(DisableIPSourceRouting)IP源路由保护级别(防止数据包欺骗)| 建议此设置状态是最高的保护,源路由是完全禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(DisableIPSourceRouting)IP源路由保护级别(防止数据包欺骗)| reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v DisableIPSourceRouting|
| MSS:(EnableICMPRedirect)允许ICMP重定向来覆盖OSPF生成的路由| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(EnableICMPRedirect)允许ICMP重定向到重写OSPF生成的路由 |reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v EnableICMPRedirect|
| MSS:(KeepAliveTime)以毫秒为单位发送keep - alive包多久| “对于SSLF成员服务器和SSLF域控制器配置,推荐值是5分钟 对于企业成员服务器和企业域控制器配置,建议值没有被定义”| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(KeepAliveTime)多久keep - alive包发送毫秒| reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v KeepAliveTime|
| MSS:(NoDefaultExempt)配置IPSec豁免各类网络流量| 建议此设置状态,只有ISAKMP excempt(Windows Server 2003的建议)| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\“MSS:(NoDefaultExempt)配置为各类网络流量的IPSec豁免| reg query HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt /v NoDefaultExempt|
| MSS:(NoNameReleaseOnDemand)允许计算机忽略除来自WINS服务器以外的NetBIOS名称发布请求| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(NoNameReleaseOnDemand)允许计算机忽略从WINSNetBIOS名称发布请求除服务器 |reg query HKLM\System\CurrentControlSet\Services\Netbt\Parameters /v NoNameReleaseOnDemand|
| MSS:(NtfsDisable8dot3NameCreation)使计算机停止生成8.3风格的文件名(推荐)| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(NtfsDisable8dot3NameCreation)使计算机停止生成8.3风格的文件(推荐)| reg query HKLM\System\CurrentControlSet\Control\FileSystem /v NtfsDisable8dot3NameCreation|
| MSS:(PerformRouterDiscovery)允许IRDP探测并配置默认网关地址(可导致DoS)| 建议此设置状态为已禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(PerformRouterDiscovery)允许IRDP探测和配置默认网关地址(可导致DoS)| reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v PerformRouterDiscovery|
| MSS:(SafeDllSearchMode)启用安全DLL搜索模式(推荐)| 建议此设置状态为已启用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(SafeDllSearchMode)启用安全DLL搜索模式(推荐) |reg query HKLM\SYSTEM\CurrentControlSet\Control\Session Manager /v SafeDllSearchMode|
| MSS:(ScreenSaverGracePeriod)屏幕保护程序宽限期过期前以秒的时间(建议0)| 建议此设置状态为 0| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\“MSS:(ScreenSaverGracePeriod)在几秒钟时间屏幕保护程序宽限期到期前(建议0)| reg query HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon /v ScreenSaverGracePeriod|
| MSS:(TcpMaxDataRetransmissions的)多少次未确认数据的重传(3建议,5是默认)| 建议此设置状态为 3| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(TcpMaxDataRetransmissions的)多少次未确认数据重传(3建议,5是默认)| reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v TcpMaxDataRetransmissions|
| MSS:(WarningLevel)安全事件日志百分比阈值,系统会产生一个警告 |此设置建议状态是90%或更低| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(WarningLevel)安全事件日志百分比阈值时系统会产生一个警告| reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security /v WarningLevel|
| MSS:(DisableIPSourceRouting IPv6)的IP源路由保护级别(防止数据包欺骗)| 建议此设置状态是最高的保护,源路由是完全禁用| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(DisableIPSourceRouting IPv6)的IP源路由保护级别(防止数据包欺骗)| reg query HKLM\System\CurrentControlSet\Services\Tcpip6\Parameters /v DisableIPSourceRouting|
| MSS:(TcpMaxDataRetransmissions的)IPv6的未确认数据是多少次重传(3建议,5是默认)| 建议此设置状态为 3| 计算机配置\ Windows设置\安全设置\本地策略\安全选项\ MSS:(TcpMaxDataRetransmissions的)的IPv6多少次未确认的数据重传(3建议,5是默认) |reg query HKLM\System\CurrentControlSet\Services\Tcpip6\Parameters /v TcpMaxDataRetransmissions|
|终端服务 总是提示客户端连接时的密码 |建议此设置状态为已启用| 计算机配置\管理模板\ Windows组件\远程桌面服务\远程桌面会话主机\安全\总是提示客户端连接时密码| reg query HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services /v fPromptForPassword|
| 设置客户端连接加密级别 |建议此设置状态为已启用:高级 |计算机配置\管理模板\ Windows组件\远程桌面服务\远程桌面会话主机\安全\设置客户端连接加密级别| reg query HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services /v MinEncryptionLevel|
| 不要让驱动器重定向 |“对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动”| 计算机配置\管理模板\ Windows组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不要让驱动器重定向| reg query HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services /v fDisableCdm|
| 不允许密码进行保存| 建议此设置状态为已启用 |计算机配置\管理模板\ Windows组件\远程桌面服务\远程桌面连接客户端\不要让密码保存| reg query HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services /v DisablePasswordSaving|
互联网通信
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
| 关闭通过HTTP下载打印驱动程序 |建议此设置状态为已启用| 计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭通过HTTP下载打印驱动程序 |reg query HKLM\Software\Policies\Microsoft\Windows NT\Printers /v DisableWebPnPDownload|
| 关闭“发布到网站的“任务的文件和文件夹| 建议此设置状态为已启用 |计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭“发布到Web”任务文件和文件夹|reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoPublishingWizard|
| 关闭互联网下载Web发布和联机订购向导| 建议此设置状态为已启用 |计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭Web发布互联网下载和在线订购向导 |reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoWebServices|
| 关闭通过HTTP打印 |建议此设置状态为已启用 |计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭通过HTTP打印 |reg query HKLM\Software\Policies\Microsoft\Windows NT\Printers /v DisableHTTPPrinting|
| 关闭搜索助理内容文件更新 |建议此设置状态为已启用| 计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭搜索助理内容文件更新| reg query HKLM\Software\Policies\Microsoft\SearchCompanion /v DisableContentFileUpdates|
| 关闭Windows Messenger的客户体验改善计划| 建议此设置状态为已启用| 计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭Windows Messenger的客户体验改善计划| reg query HKLM\Software\Policies\Microsoft\Messenger\Client /v CEIP|
| 关闭Windows Update设备驱动程序搜索| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动” |计算机配置\管理模板\系统\ Internet通信管理\ Internet通信设置\关闭Windows Update设备驱动程序搜索| reg query HKLM\Software\Policies\Microsoft\Windows\DriverSearching /v DontSearchWindowsUpdate|
其他安全设置
| 安全项 |安全建议 |GPO组策略对象修改方法| 注册表修改方法|
|—|---|-----|
|不处理旧的运行列表| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动”| 计算机配置\管理模板\系统\登录\不处理旧的运行列表| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v DisableLocalMachineRun|
| 不处理只运行一次列表| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动”| 计算机配置\管理模板\系统\登录\不处理运行一次列表| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v DisableLocalMachineRunOnce|
| 注册表策略处理| “对于企业会员的服务器和SSLF成员服务器配置文件,推荐值是启用(进程即使组策略对象没有改变)。 对于企业域控制器和SSLF域控制器配置,推荐值没有定义。”| 计算机配置\管理模板\系统\组策略\注册表策略处理| reg query HKLM\Software\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2} /v NoGPOListChanges,NoBackgroundPolicy|
| 提供远程协助| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是禁用的” |计算机配置\管理模板\系统\远程协助\发远程协助 |reg query HKLM\Software\policies\Microsoft\Windows NT\Terminal Services /v fAllowUnsolicited|
| 请求的远程协助| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是禁用的”| 计算机配置\管理模板\系统\远程协助\请求远程协助| reg query HKLM\Software\policies\Microsoft\Windows NT\Terminal Services /v fAllowToGetHelp|
| 未经验证的RPC客户端的限制 |“对于SSLF会员的服务器和SSLF域控制器配置文件,推荐值是启用身份验证。 对于企业成员服务器和企业域控制器配置文件,建议值没有定义。” |计算机配置\管理模板\系统\远端程序呼叫\未经验证的RPC客户限制| reg query HKLM\Software\Policies\Microsoft\Windows NT\Rpc /v RestrictRemoteClients|
| RPC终结点映射程序客户端身份验证| “对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是启动”| 计算机配置\管理模板\系统\远端程序呼叫\ RPC终结点映射程序客户端验证| reg query HKLM\Software\Policies\Microsoft\Windows NT\Rpc /v EnableAuthEpResolution|
| 关闭自动播放 |建议此设置状态为已启用:所有驱动器| 计算机配置\管理模板\ Windows组件\自动播放策略\关闭自动播放| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun|
| 高度枚举管理员帐户 |“对于企业成员服务器和企业域控制器配置文件,推荐值是没有配置。 对于SSLF会员的服务器和SSLF域控制器配置文件,建议值是禁用的” 计|算机配置\管理模板\ Windows组件\凭据用户界面\上海拔枚举管理员帐户| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\CredUI /v EnumerateAdministrators|
| 需要输入凭证的受信任的路径 |建议此设置状态为已启用| 计算机配置\管理模板\ Windows组件\凭据用户界面\需要输入凭证受信任的路径| reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\CredUI /v EnableSecureCredentialPrompting|
| 禁用远程桌面共享| 建议此设置状态为已启用 |计算机配置\管理模板\ Windows组件\ NetMeeting的\禁用远程桌面共享| reg query HKLM\Software\Policies\Microsoft\Conferencing /v NoRDS|
|关闭$admin 远程协助|
禁用服务
- 禁用服务 DHCP
- 禁用服务 Win2003 WinHTTP Web Proxy Auto-Discovery Service。
- 双击右下角的时间,在“Internet时间”选项卡中将“自动与 Internet 时间服务器同步”选项去掉。 "
- Remote Registry 服务的启动类型从 自动启动 更改为 已禁用。
- SQL Full-text Filter Daemon Launcher (MSSQLSERVER) 服务的启动类型从 按需启动 更改为 已禁用。
- SQL Server Reporting Services (MSSQLSERVER) 服务的启动类型从 自动启动 更改为 已禁用。
IIS设置
- 更改日志默认位置
- 权限设置管理员
一些操作系统安全设置相关推荐
- 服务器操作系统文件共享设置,服务器操作系统文件共享设置
服务器操作系统文件共享设置 内容精选 换一换 在SAP HANA系统中,Shared卷和Backup卷由SFS Turbo提供时,需要创建一个SFS Turbo,提供共享路径给SAP HANA节点. ...
- 服务器操作系统锁定设置,服务器操作系统锁定设置
服务器操作系统锁定设置 内容精选 换一换 本文介绍如何在裸金属服务器操作系统内部修改登录密码.建议优先在控制台上重置密码,如果不可以,再尝试在操作系统内部修改登录密码.此处以CentOS 7.5版本为 ...
- 服务器系统共享文件,服务器操作系统文件共享设置
服务器操作系统文件共享设置 内容精选 换一换 本节操作介绍如何在Windows操作系统的本地主机上使用FTP上传文件到云服务器.已在待上传文件的云服务器中搭建 FTP 服务.如果您的云服务器为 Win ...
- xp系统怎么启动任务计划服务器,windowsXP操作系统如何设置计划任务
windowsXP操作系统如何设置计划任务 相信大部分人都了解WinXP系统的计划任务,电脑中的'计划任务可以帮助用户做很多事情,定时关机,磁盘整理,杀毒等,非常的方便,但还是有部分人并不了解计划任务 ...
- Windows 服务器操作系统安全设置加固方法
1. 账户管理和认证授权 1.1 账户 默认账户安全禁用Guest账户.禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 打开 控制面板 > 管理工具 > ...
- window挂载到linux服务器上,在windows 7操作系统下设置挂载Linux服务器
在Windows 7操作系统下增加了很多有用的功能,只是默认没有开启而已,今天简述下一个Windows 7下的NFS功能,通过这个功能,可以让Windows 7共享Linux下面的磁盘分区或者目录数据 ...
- 局域网共享设置软件_一铭操作系统(国产操作系统)设置打印机局域网共享
一铭操作系统自动开启cups功能,不需要下载安装. 首先,需要将打印机正确安装,保证可以使用. 点击应用->系统管理->打印设置 在这里可以看到自己添加的打印机,然后点击菜单栏的服务器,再 ...
- 服务器操作系统字符集,设置服务器字符集
设置服务器字符集 内容精选 换一换 创建或删除指定资源的标签.每个伸缩组最多添加10个标签.您可以在API Explorer中调试该接口.POST /autoscaling-api/v1/{proje ...
- centos8操作系统初始化设置
0.1:配置centos系统静态ip 0.2:更改yum源为阿里云 1.编写本机host映射 vi /etc/hosts 2.设置时间同步 #查看chronyd状态 systemctl status ...
最新文章
- 李彦宏称AI可让人们获得永生
- 【深度学习入门到精通系列】医疗影像分割
- python属性使用教程_Python对象的属性访问过程详解
- 【问链-Eos公开课】第四课 EOS 的钱包创建、导入私钥
- JAVA传入一个字符串,返回一个字符串中的大写字母
- 通用的启动参数获取getopt
- ML.NET机器学习、API容器化与Azure DevOps实践(三):RESTful API
- 查看进程占用,并kill掉
- Jaccard文本相似度计算 Java程序
- Linux系统资源控制
- 从零开始学习python编程-从0开始的Python学习014面向对象编程(推荐)
- 【codevs2144】砝码称重 2(折半搜索)
- 【记】微信支付服务器证书更换通知的验证流程
- Selectsort Tournamentsort Heapsort
- 2.5.PHP7.1 狐教程-【数据类型】
- Maven实战读书笔记
- 全国多省市实现电子营业执照和电子印章同步发放
- 原来String、StringBuffer、StringBuilder底层是这么回事
- 75 ----平面二次曲线方程的化简: 移轴变换、转轴变换、伸缩变换
- postgresql导出表结构以及数据到mysql