【安全基线】Windows终端合规安全设置

一、身份鉴别策略组检测 

密码策略

密码长度最小值大于等于8个字符

密码最短使用期限大于等于2天

密码最长使用期限小于等于90天

保留密码历史数量大于等于5个

加固方案-参考配置操作：

1.进入“控制面板->管理工具->本地安全策略”

2. 在“账户策略->账户锁定策略”中：

密码长度最小值：>=8个字符

密码最短使用期限：>=2天

密码最长使用期限：<=90天，但不能为0，0代表永不过期。

强制密码历史：>=5个

账户策略

复位账户锁定计数器大于等于15分钟

账户锁定时间大于等于15分钟

账户锁定阈值小于等于10次

加固方案-参考配置操作：

1.进入“控制面板->管理工具->本地安全策略”

2. 在“账户策略->账户锁定策略”中：

账户锁定时间：>=15分钟

账户锁定阈值：<=10次无效登录，但不能为0次。

重置账户锁定计数器：>=15分钟之后

自动登录

加固方案-参考配置操作：

1. 按“WIN+R”键，输入“control userpasswords2”。

2. 在“用户账户”中：选择自动登录的账户，点击“要使用本计算机，用户必须输入用户名和密码”，并重新设置新密码。

二、访问控制策略组

账户检测

空密码账户

弱密码账户

禁用来宾帐户

隐藏账户

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->计算机管理”

2. 在“本地用户和组->用户”中：

空密码：账户密码为空，修改建议：右键->设置密码

弱密码：（Weak passwords）即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，例如“123456”、“abc123”、“Michael”等。，修改建议：右键->设置密码

来宾账户：在计算机中，Guest是指让给客人访问电脑系统的帐户。与“Administrator”和“User”不同的，通常这个帐户没有修改系统设置和进行安装程序的权限，也没有创建修改任何文档的权限，只能是读取计算机系统信息和文件。由于黑客和病毒的原因，一般情况下是不推荐使用此帐户，最好是不要开启这个帐户。修改建议：双击Guest用户->选择账户已禁用。

隐藏账户：在控制面板与开机选择中看不见的账户。它可以用输账号密码的方式进入。修改建议：右键->删除。

共享检测

默认共享

共享文件夹

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->计算机管理”

2. 在“共享文件夹->共享”中：

默认共享：删除

共享文件夹：设置共享权限或者删除掉共享

三、安全审计策略组检测 

安全审计策略

系统事件审核

登录事件审核

对象访问事件审核

特权使用事件审核

进程跟踪事件审核

策略更改事件审核

账户管理事件审核

目录服务访问事件审核

账户登录事件审核

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->本地安全策略”.

2. 在“本地策略->审核策略”中：所有项都设置为“成功”和“失败”都要审核。

四、剩余信息保护策略组检测 

关机检测

关机前清除虚拟内存页面

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->本地安全策略”.

2. 在“本地策略->安全选项”中：将“关机：清除虚拟内存页面文件”，双击，修改状态为“已启用”。

登录检测

Windows登录屏幕不显示上次登录的用户名

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->本地安全策略”.

2. 在“本地策略->安全选项”中：将“交互式登录：不显示上次登录”，双击，修改状态为“已启用”。

五、入侵防范检测 

Windows防火墙

开启Windows防火墙

加固方案-参考配置操作：

1. 进入“控制面板->windows防火墙”.

2. 在“启用或关闭防火墙/自定义设置”中：将“专用网络设置”和“公用网络设置”都开启Windows防火墙。

3. 检查Windows Firewall服务是否开启，如下所示：

4. 补充：在Windows vista 以前的旧版本系统的中，设置稍有区别

5. 补充：在Windows vista 以前的旧版本系统的中，windows Firewall/Internet Connection Sharing(ICS)是同一个服务，开启方式如下所示：

自动更新

开启自动更新

加固方案-参考配置操作：

1. 检查Windows Update服务是否开启，如下所示：

2. 按“WIN+R”键，输入gpedit.msc,找到“Window更新”或“Windows Update”，双击右边的“配置自动更新”选项。

3. 打开“配置自动更新”后，启用“配置自动更新”并选择“4-自动下载并计划安装”，并设置计划安装日期和安装时间。

4. 若“配置自动更新”选择“5-允许本地管理员选择设置”，则需在控制面板进行进一步设置。

5. 进入“控制面板->Windows Update”，PS:win10及后续高版本的系统中，控制面板无此设置项，默认开启自动更新.

非必须服务

Ftp服务已禁用

Telnet服务已禁用

加固方案-参考配置操作：

1. 进入“控制面板->管理工具->服务”.

2. 双击“Telnet”服务：服务状态改为“已停止”。

3. 双击“Microsoft ftpsvc”服务：服务状态改为“已停止”，操作同上。

本文始发于微信公众号（释然IT杂谈）：【安全基线】Windows终端合规安全设置