windows 本地安全设置 灰色_整改教程 | Windows基线及加固

0x01 前言

大家都知道等级保护除了测评最重要的一步就是整改,需要如何去改?到底要改成什么样子才符合标准?这些问题一直是大家最烦恼的事情!

今天我们以Windows server 2008为例,带大家一起看看三级等级保护中Windows的安全基线以及加固方法!

0x02 身份鉴别

1、密码复杂性要求

安全基线项说明:启用密码必须符合复杂性要求,密码最小长度8位,密码42天定期进行更换。

配置方法:

进入控制面板->管理工具->本地安全策略->帐户策略->密码策略->启用启用密码必须符合复杂性要求->配置密码长度最小值8字符、密码最长使用期限42天。

192767c0e5c09e66f483c0ad37b6b50a.png

进入控制面板->管理工具->本地安全策略->安全选项:

交互式登陆:提示用户密码到期前更改密码-> 14天

7cdcece1e1aa1b6c0a34972318c26a20.png

2、登录失败处理

安全基线项说明:开启账户锁定策略,5次无效登录,账户锁定30分钟。

配置方法:进入控制面板->管理工具->本地安全策略->帐户策略->账号锁定策略->设置账户锁定阈值5次无效登录、账号锁定时间为30分钟。

1295711df1b328cbd606bc467e512ce8.png

3、连接超时

安全基线项说明:配置访问服务器操作系统终端空闲会话超时时间,时间不高于15分钟。

配置方法:

1、在运行中输入gpedit.msc打开“组策略”,再依次打开“本地计算机策略”->“用户配置”->“管理模板”->“控制面板-”>“个性化”。

启用“密码保护屏幕保护程序”、启用“屏幕保护程序超时”,并将“启用屏幕保护程序之前等待的秒数”设置为“900”秒,应用后确定。

e02fa6e0a2b92d1f60dda4eae147e7cd.png

2、在管理模板-Windows组件-远程桌面服务-远程桌面会话主机-会话时间限制中,查看是否设置“活动但空闲的远程桌面服务会话时间的限制”。

3ce23eb4dee191e57c972f9261075e9c.png

0x03 访问控制

1、分配账户与权限

安全基线项说明:按照三权分立的原则分配账户与权限,配置系统管理员、审计管理员(若为数据库服务器还需配置数据库管理员),并合理配置权限。

配置方法:进入控制面板->计算机管理->本地用户和组->新增用户->增加系统管理员、审计管理员,若为数据库服务器还需配置数据库管理员

ac85bcd2e37a243daa0cbc5ca428029d.png

c6a1872468d597efa6f6339d621825e9.png

右键账户名->属性->隶属于->系统管理员隶属于Users、审计管理员隶属于Event Log Readers

a0a39c0c5255314ca31d4e678a39632e.png

78acc647e0176805efd67ebdacf15209.png

本地策略->用户权利指派->管理审核和安全日志,除审计员、administrators外其他用户无权限管理和审核日志

cd90d455e3748743845f2cd43f9b582d.png

2、禁用Guest账户

安全基线项说明:禁用guest(来宾)帐号

配置方法:进入控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户->Guest帐号->属性->勾选账户已禁用

8ff94f0c3ca589c7b2f4336671ddc224.png

0x04 安全审计

1、启用安全审计功能

安全基线项说明:审计覆盖到每个用户,对用户的重要安全事件、重要操作进行审计。

配置方法:控制面板->管理工具->本地安全策略->本地策略->审核策略->每项都设置->“成功”和“失败”都要审核需要配置的策略

24d11f022f7d88fbb5573149123ab4ee.png

0x05 入侵防范

1、关闭不需要的系统服务、默认共享和高危端口

安全基线项说明:关闭不需要的系统服务、默认共享和高危端口。

配置方法:控制面板->管理工具->服务->server服务->右键属性->禁用

71e1d96a2add2869f9a465927d86eb6a.png

9bc5317c8f52dd8dda9c07773eef45e8.png

控制面板->管理工具->本地安全策略->IP安全策略->新增筛选器,屏蔽445、137、139等高危端口

3af283d3cb94cf7556b3452c47f27f02.png

1192babbbedd0e452e405cbff802eacd.png

0x06 恶意代码防范

1、安装杀毒软件

安全基线项说明:采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

配置方法:安装360天擎、亚信杀毒等企业版杀毒软件

0x07  剩余信息保护

1、 不显示上次的用户名

安全基线项说明:检查是否启用不显示上次的用户名

配置方法:进入控制面板->管理工具->本地安全策略->安全选项->启用不显示上次的用户名

f3ddbf61bd6f65f7c657a9bee65705ad.png

2、 关机前清除虚拟内存页面

安全基线项说明:关闭服务器前,应清除虚拟内存页面,保护暂存在在缓存中的数据。

检测操作步骤:进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:选中“关机前清除虚拟内存页面”

710535bb382becc9ab7305aa9a953595.png

注:Windows不同版本加固方法大同小异,当进行运维终端Windows 10加固时,Windows 10家庭版不存在本地安全策略,需要自行安装,安装方法如下:

将下面代码保存为bat,以管理员身份运行自动安装

@echo offpushd "%~dp0"dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txtdir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txtfor /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"pause

5ddc95e2669e3cc0e4ec6e6338764f1a.png

0x08  后记

Windows的可加固项还有很多,可结合网上资料对windows服务器进行全面加固,本次鉴于时间原因就不再展开讨论。