windows server 安全基线加固指引（全） – 作者:moyuanxin

1、开启密码复杂度策略

路径：cmd命令运行gpedit.msc—>安全设置—>账户策略—>密码策略。

标准：密码必须符合复杂性要求—启用；密码长度最小值—8个字符；密码最短使用期限—1天；密码最长使用期限—90天；强制密码历史—0个记住的密码；用于还原的加密来存储密码—已禁用。

加固如截图所示：

2、开启账户锁定策略

路径：cmd命令运行gpedit.msc—>安全设置—>账户策略—>账户锁定策略。

标准：账户锁定阈值—5次。

加固如截图所示：

3、开启审核策略

路径：cmd命令运行gpedit.msc—>安全设置—>本地策略—>审核策略。

标准：开启所有审核策略。

加固截图如下所示：

4、用户权限分配

4.1关闭系统权限

路径：cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>关闭系统。

标准：仅允许administrator账户。

加固截图如下：

4.2拒绝从网络访问这台计算机

路径：路径：cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>拒绝从网络访问这台计算机。

标准：拒绝除administrator组外的所有组。

加固截图如下：

5、安全选项

路径： cmd命令运行gpedit.msc—>安全设置—>本地策略—>安全选项。

1、启用登录时间过期后断开与客户端的链接

2、设置暂停会话所需的空闲时间数量

3、启用清除虚拟内存页面文件

4、启用不显示最后的用户名

5、启用不显示用户信息

6、启用提示密码过期

7、禁用：无须按ctrl+alt+del

8、启用域环境：域控制器身份验证以解锁工作站

9、设置域环境：设置登录到缓存的次数

10、重命名系统管理员账户

11、关闭自动播放

路径：cmd命令运行gpedit.msc，window组件—>自动播放策略—>关闭自动播放

12、关闭多余服务

路径：cmd命令运行serverces.msc,

标准：禁用Application Management、Background Intelligent Transfer Service、RemoteRegistry、Print Spooler

13、关闭默认共享服务

路径：cmd运行net share命令查看默认共享文件，cmd运行servers.msc进入系统服务。

标准：关闭所有默认共享文件夹：C$/IPS$/admin$,共享服务对应的名称是 “Server”（在进程中的名称为services），在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，

6、启用安全传输协议

路径：cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>安全—>远程（RDP）连接要求使用指定的安全层。

标准：启用   SSL（TLS1.0）

截图所示：

7、远程会话连接超时设置

路径：cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>会话时间设置—>设置活动但空闲的远程桌面服务会话的时间限制·。

标准：启用15分钟

截图如下：

8、会话连接数设置

路径：cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>链接—>限制连接的数量

标准：启用，最大连接数为20

截图如下：

9、系统防火墙设置

9.1开启系统防火墙

路径：cmd运行firewall.cpl。

标准：开启系统防火墙，使用推荐设置。

截图如下：

9.2禁用高危端口

路径：cmd运行firewall.cpl->高级设置->入站规则。

标准：创建入站规则，新建规则，禁用135，137，138，139，445端口。

截图所示：

10、正确配置日志情况

路径：cmd运行eventvwr.msc打开事件管理器—>window日志。

标准：应用程序，安全，setup，系统日志属性修改为：日志大小为102400，不覆盖事件。

截图：

11、安全防护

1、启用并正确配置SYN攻击保护

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

SynAttackProtect=1

TcpMaxPortsExhausted=5

TcpMaxHalfOpen=500

TcpMaxHalfOpenRetried=400

2、启用ICMP攻击保护

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

EnableICMPRedirect=0

备注：有效值：0（禁用），1（启用）

3、启用碎片攻击保护

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

EnablePMTUDiscovery=0

4、禁止windows自动登录

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

标准：创建以下项并赋予值类型为DWORD：

AutoAdminLogon=0

备注:AutoAdminLogon值1为自动登录

5、启用源路由攻击保护

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

DisableIPSourceRouting=2

备注：此数据的有效值为0-2，0为表示所有数据包，1表示不转发源路由数据包，2表示丢弃所有传入源路由的数据包。

6、禁用失效网关检测

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

EnableDeadGWDetect=0

备注：此数据的有效值0-1，0为禁用，1启用。

7、TCP连接存活时间设置

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

KeepAliveTime=3000(5分钟)

8、重传单独数据片段次数设置

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

TcpMaxDataRetransmissions=65535

备注：此数据的有效值为0-65535.

9、禁用路由发现功能

路径：cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准：创建以下项并赋予值类型为DWORD：

PerformRouterDiscovery=0

备注：此数据的有效值0-1，0为禁用，1启用。

12、配置系统时间同步（NET）

路径：

控制面板->日期和时间->Internet时间->更改设置，勾选“与Internet时间服务器“，服务器框里填入：自定义服务器源时间。

截图如下：

13、数据执行保护（DEP）

路径：控制面板->系统，在高级选项选项卡的“性能“下的设置，选择数据执行保护选项卡，选择“仅为基本window操作系统程序和服务启用DEP“。

截图：

14、开启屏幕保护程序

路径：控制面板->外观->更改屏幕保护程序。

标准：启用并设置等待时间为10分钟

截图：

15、安装杀毒软件

标准：安装可信杀毒软件且病毒库特征库版本为最新。

截图：

16、远程管理地址限制

路径：cmd运行firewall.cpl->高级设置->入站规则->Windows防火墙高级设置->远程桌面（TCP-In）。

标准：仅允许自定义IP远程管理访问主机。

截图:

来源：freebuf.com 2021-07-09 15:44:47 by: moyuanxin