【安全基线】Windows终端合规安全设置

  • A+
所属分类:安全闲碎

一、身份鉴别策略组检测 

密码策略

密码长度最小值大于等于8个字符
密码最短使用期限大于等于2天
密码最长使用期限小于等于90天
保留密码历史数量大于等于5个

加固方案-参考配置操作:

1.进入“控制面板->管理工具->本地安全策略

【安全基线】Windows终端合规安全设置

2. 在“账户策略->账户锁定策略”中:

【安全基线】Windows终端合规安全设置

密码长度最小值:>=8个字符
密码最短使用期限:>=2天
密码最长使用期限:<=90天,但不能为0,0代表永不过期。
强制密码历史:>=5个


账户策略

复位账户锁定计数器大于等于15分钟
账户锁定时间大于等于15分钟
账户锁定阈值小于等于10次

加固方案-参考配置操作:

1.进入“控制面板->管理工具->本地安全策略”

【安全基线】Windows终端合规安全设置

2. 在“账户策略->账户锁定策略”中:

【安全基线】Windows终端合规安全设置

账户锁定时间:>=15分钟
账户锁定阈值:<=10次无效登录,但不能为0次。
重置账户锁定计数器:>=15分钟之后



自动登录

加固方案-参考配置操作:

1. 按“WIN+R”键,输入“control userpasswords2”。
2. 在“用户账户”中:选择自动登录的账户,点击“要使用本计算机,用户必须输入用户名和密码”,并重新设置新密码。

【安全基线】Windows终端合规安全设置



二、访问控制策略组

账户检测

空密码账户
弱密码账户
禁用来宾帐户
隐藏账户

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->计算机管理”

【安全基线】Windows终端合规安全设置

2. 在“本地用户和组->用户”中:

【安全基线】Windows终端合规安全设置

空密码:账户密码为空,修改建议:右键->设置密码
弱密码:(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如“123456”、“abc123”、“Michael”等。,修改建议:右键->设置密码
来宾账户:在计算机中,Guest是指让给客人访问电脑系统的帐户。与“Administrator”和“User”不同的,通常这个帐户没有修改系统设置和进行安装程序的权限,也没有创建修改任何文档的权限,只能是读取计算机系统信息和文件。由于黑客和病毒的原因,一般情况下是不推荐使用此帐户,最好是不要开启这个帐户。修改建议:双击Guest用户->选择账户已禁用。
隐藏账户:在控制面板与开机选择中看不见的账户。它可以用输账号密码的方式进入。修改建议:右键->删除。


共享检测

默认共享
共享文件夹

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->计算机管理”

【安全基线】Windows终端合规安全设置

2. 在“共享文件夹->共享”中:

【安全基线】Windows终端合规安全设置

默认共享:删除
共享文件夹:设置共享权限或者删除掉共享



三、安全审计策略组检测 

安全审计策略

系统事件审核
登录事件审核
对象访问事件审核
特权使用事件审核
进程跟踪事件审核
策略更改事件审核
账户管理事件审核
目录服务访问事件审核
账户登录事件审核

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置

2. 在“本地策略->审核策略”中:所有项都设置为“成功”和“失败”都要审核。

【安全基线】Windows终端合规安全设置


四、剩余信息保护策略组检测 

关机检测

关机前清除虚拟内存页面

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置

2. 在“本地策略->安全选项”中:将“关机:清除虚拟内存页面文件”,双击,修改状态为“已启用”。

【安全基线】Windows终端合规安全设置

登录检测

Windows登录屏幕不显示上次登录的用户名

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置

2. 在“本地策略->安全选项”中:将“交互式登录:不显示上次登录”,双击,修改状态为“已启用”。

【安全基线】Windows终端合规安全设置




五、入侵防范检测 

Windows防火墙

开启Windows防火墙

加固方案-参考配置操作:

1. 进入“控制面板->windows防火墙”.

【安全基线】Windows终端合规安全设置

2. 在“启用或关闭防火墙/自定义设置”中:将“专用网络设置”和“公用网络设置”都开启Windows防火墙。

【安全基线】Windows终端合规安全设置

3. 检查Windows Firewall服务是否开启,如下所示:

【安全基线】Windows终端合规安全设置

4. 补充:在Windows vista 以前的旧版本系统的中,设置稍有区别

【安全基线】Windows终端合规安全设置

5. 补充:在Windows vista 以前的旧版本系统的中,windows Firewall/Internet Connection Sharing(ICS)是同一个服务,开启方式如下所示:

【安全基线】Windows终端合规安全设置

自动更新

开启自动更新

加固方案-参考配置操作:

1. 检查Windows Update服务是否开启,如下所示:

【安全基线】Windows终端合规安全设置

2. 按“WIN+R”键,输入gpedit.msc,找到“Window更新”或“Windows Update”,双击右边的“配置自动更新”选项。

【安全基线】Windows终端合规安全设置

3. 打开“配置自动更新”后,启用“配置自动更新”并选择“4-自动下载并计划安装”,并设置计划安装日期和安装时间。

【安全基线】Windows终端合规安全设置

4. 若“配置自动更新”选择“5-允许本地管理员选择设置”,则需在控制面板进行进一步设置。

【安全基线】Windows终端合规安全设置

5. 进入“控制面板->Windows Update”,PS:win10及后续高版本的系统中,控制面板无此设置项,默认开启自动更新.

【安全基线】Windows终端合规安全设置


非必须服务

Ftp服务已禁用
Telnet服务已禁用

加固方案-参考配置操作:

1. 进入“控制面板->管理工具->服务”.

【安全基线】Windows终端合规安全设置

2. 双击“Telnet”服务:服务状态改为“已停止”。

【安全基线】Windows终端合规安全设置

3. 双击“Microsoft ftpsvc”服务:服务状态改为“已停止”,操作同上。

【安全基线】Windows终端合规安全设置

【安全基线】Windows终端合规安全设置

【安全基线】Windows终端合规安全设置

【安全基线】Windows终端合规安全设置

本文始发于微信公众号(释然IT杂谈):【安全基线】Windows终端合规安全设置

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: