一、Windows加固
1、配置简介
通常在Windows安全配置中有两类对象
一类是Windows Server,如win server 2012 、win server 2016、win server 2019 等
一类是Windows Client,如win 7、 win 8 、win 10等
在Windows安全配置中,如果组织有条件,对Windows Client的安全配置我们可以借助微软的活动目录来实现自动化。
而对Windows Server 通常为保障服务器稳定运行,我们倾向于的是手动配置。
以Windows Server 2012 R2为例,进行加固讲解
Windows安全配置方法
通常我们使用组策略对windows进行安全配置
组策略中的安全配置与注册表也可以对应,但注册表可读性较差。组策略 有详细的说明,所以我们通常使用组策略
在windows客户端系统中,HOME版本是没有组策略的的功能。
打开组策略的方法是
右键开始–>运行–>gpedit.msc
WIN+R –>gpedit.msc
1
2
Windows 不论什么版本,进行安全配置均包含以下两个常用维度
账户策略
密码策略
账户锁定策略
本地策略
审计策略
用户权限策略
安全选项
除了上述常用的配置,还会包含以下两个维度
防火墙策略
域配置文件
私有网络配置文件
高级审计策略
账户登录
账户管理
详细跟踪
登录/注销
对象访问
策略更改
2、账户配置
密码策略
强制密码历史,建议设置为24个
密码最长使用期限,建议设置60天
密码最短使用期限,建议设置为1天或更多
密码长度最小值,建议设置为14
密码必需符合复杂性要求,建议设置为启用
用可还原的加密码来存储密码,建议设置为禁用
账户锁定策略
账户锁定阈值,建议设置为10次或更少
账户锁定时间,建议设置为15分钟或更多
重置账户锁定计数器,建议设置为15分钟或更多
3、本地配置
用户权限分配
作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
从网络访问此计算机,建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS(域控设置)
以操作系统方式执行,建议设置为空,默认为空
将工作站添加到域,建议设置为Administrators
为进程调整内存配额,建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE
允许本地登录,建议设置为Administrators
允许通过远程桌面服务登录,建议设置为Administrators, Remote Desktop Users(客户端设置)
备份文件和目录,建议设置为Administrators
更改系统时间,建议设置为Administrators, LOCAL SERVICE
更改时区,建议设置为Administrators, LOCAL SERVICE
创建页面文件,建议设置为Administrators
创建一个信息对象,建议设置为空
创建全局对象,建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE,SERVICE
创建永久共享对象,建议设置为空
创建符号链接,建议设置为Administrators
调试程序,建议设置为Administrators
拒绝从网络访问这台计算机,建议设置为Guests, 本地的administrators中的其它用户或组。
拒绝作为批处理作业登录,建议设置为Guest
拒绝以服务身份登录,建议设置为Guest
拒绝本地登录,建议设置为Guest
拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户
信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators
从远程系统强制关机,建议设置为Administrators
生成安全审核,建议设置为LOCAL SERVICE, NETWORK SERVICE
身份验证后模拟客户端,建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
提高计划优先级,建议设置为Administrators
加载和卸载设备驱动程序,建议设置为Administrators
锁定内存页,建议设置为空
管理审核和安全日志,建议设置为Administrators,默认符合
修改固件环境值,建议设置为Administrators,默认符合
执行卷维护任务,建议设置为Administrators,默认符合
配置文件单一进程,建议设置为Administrators,默认符合
还原文件和目录,建议设置为Administrators
关闭系统,建议设置为Administrators
取得文件或其他对象所有权,建议设置为Administrators,默认设置
4、安全设置
1、账户
账户:管理员账户状态,建议设置为禁用
账户:阻止Microsoft账户,建议设置为用户不能添加Microsoft账户或使用 该账户登录
账户:来宾账户状态,建议设置为已禁用,默认设置
账户:使用空密码的本地账户只通话进行控制台登录,建议设置为启用,默认 设置
账户:重命令系统管理员账户,建议重命名为非administrator
账户:重命名来宾账户,建议重命名为非Guest
2、审核
审核:如果无法记录安全审计则立即关闭系统,建议设置为禁用,默认设置
审核:强制审核策略子类别设置,建议设置为启用
3、设备
设备:允许对可移动媒体进行格式化并弹出,建议设置为Administrators
设备:防止用户安装打印机驱动程序,建议设置为已启用,默认设置
4、交互式登录
交互式登录:不显示最后的用户名,建议设置已启用
交互式登录:无须按Ctrl+Alt+Del,建议设置已禁用,默认设置
交互式登录:计算机不活动限制,建议设置为900,不要设成0。可以理解为 锁屏。
交互式登录:试图登录的用户的消息文本,不要表现出任何信息,可以为空
交互式登录:试图登录的用户的消息标题,不要表现出任何信息,可以为空
交互式登录:之前登录到缓存的次数,建议设为4或更少
交互式登录:提示用户在过期之前更改密码,建议5到14天
交互式登录:需要域控制器身份验证以对工作站进行解锁,建议设置为启用
5、Microsoft网络客户端
Microsoft网络客户端:对通信进行数字签名(始终),建议设置为已启用
Microsoft网络客户端:对通信进行数字签名(如果服务器允许),建议设置为已启用,默认设置
Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器,建议设置为已禁用,默认设置
6、Microsoft网络服务器
Microsoft网络服务器:暂停会话前所需空间的时间数量,建议设置15或更少
Microsoft网络服务器:对通信进行数字签名(始终),建议设置为已启用
Microsoft网络服务器:对通信进行数字签名(如果客户端允许),建议设置 为已启用
Microsoft网络服务器:登录时间过期后断开与客户端的连接,建议设置为已 启用,默认设置
Microsoft网络服务器:服务器SPN目标名称验证级别,建议设置为由客户端 提供时接受或更高
7、网络访问
网络访问:不允许SAM和共享的匿名枚举,建议设置为已启用
网络访问:不允许存储网络身份验证的密码和凭据,建议设置为已启用
网络访问:可匿名访问的共享,建议根据实际情况设置
网络访问:可远程访问的注册表路径,建议设置为
SystemCurrentControlSetControlProductOptions SystemCurrentControlSetControlServer Applications
SoftwareMicrosoftWindows NTCurrentVersion
1
2
网络访问: 网络访问:可远程访问的注册表路径和子路径,建议设置为
SystemCurrentControlSetControlPrintPrinters SystemCurrentControlSetServicesEventlog SoftwareMicrosoftOLAPServer SoftwareMicrosoftWindows NTCurrentVersionPrint SoftwareMicrosoftWindows NTCurrentVersionWindows SystemCurrentControlSetControlContentIndex
1
8、网络安全
网络安全:允许本地系统将计算机标识用于NTLM,建议设置为已启用
网络安全:允许LocalSystem NULL会话回退,建议设置为已禁用
网络安全:允许对此计算机的PKU2U身份验证请求使用联机标识,建议设置为已禁用
网络安全:配置Kerberos允许的加密类型,建议设置
AES128_HMAC_SHA1, AES256_HMAC_SHA1, 将来的加密类型
网络安全:在超过登录时间后强制注销,建议设置为已启用
网络安全:LNA管理器身份验证级别,建议设置为仅发送NTLMv2响应,拒绝LM和NTLM
9、用户账户控制
用户账户控制:用于内置管理员账户的管理员批准模式,建议设置已启用
用户账户控制:管理员批准模式中管理员的提升权限提示的行为,建议设置为 在安全桌面上提示凭据
用户账户控制:标准用户的提升提示行为,建议设置为,自动拒绝提升请求
用户账户控制:允许UIAccess应用程序在不使用安全桌面的情况下提升权限, 建议设置为已启用
10、高级防火墙配置
11、高级审核策略配置–账户登录
审核凭据验证,建议设置成功和失败
配置为:
12、高级审核策略配置–账户管理
审核应用程序组管理,建议审核成功和失败
审核安全组管理,建议审核成功
审核用户账户管理,建议审核成功和失败
13、高级审核策略配置–详细跟踪
审核进程创建,建议审核成功
14、高级审核策略配置–登录/注销
审核账户锁定,建议设置失败
审核注销,建议设置成功
审核登录,建议成功和失败
审核其他登录/注销失败,建议成功和失败
审核特殊登录,建议成功
15、高级审核策略配置–对象访问
审核详细的文件共享,建议失败
审核文件共享,建议成功和失败
审核其他对象访问事件,建议成功和失败
审核可移动存储,建议成功和失败
16、高级审核策略配置–策略更改
17、高级审核策略配置–特权使用
18、高级审核策略配置–系统
原创文章,作者:修行,如若转载,请注明作者昵称:修行及出处:https://www.fjsqywlkj.top/computer/windows/4778.html