windows server 安全基线加固指引(全) – 作者:moyuanxin

1、开启密码复杂度策略

路径:cmd命令运行gpedit.msc—>安全设置—>账户策略—>密码策略。

标准:密码必须符合复杂性要求—启用;密码长度最小值—8个字符;密码最短使用期限—1天;密码最长使用期限—90天;强制密码历史—0个记住的密码;用于还原的加密来存储密码—已禁用。

加固如截图所示:

图片[1]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

2、开启账户锁定策略

路径:cmd命令运行gpedit.msc—>安全设置—>账户策略—>账户锁定策略。

标准:账户锁定阈值—5次。

加固如截图所示:

图片[2]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

3、开启审核策略

路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>审核策略。

标准:开启所有审核策略。

加固截图如下所示:

图片[3]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

4、用户权限分配

4.1关闭系统权限

路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>关闭系统。

标准:仅允许administrator账户。

加固截图如下:

图片[4]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

4.2拒绝从网络访问这台计算机

路径:路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>拒绝从网络访问这台计算机。

标准:拒绝除administrator组外的所有组。

加固截图如下:

图片[5]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

5、安全选项

路径: cmd命令运行gpedit.msc—>安全设置—>本地策略—>安全选项。

1、启用登录时间过期后断开与客户端的链接

图片[6]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

2、设置暂停会话所需的空闲时间数量

图片[7]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

3、启用清除虚拟内存页面文件

图片[8]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

4、启用不显示最后的用户名

图片[9]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

5、启用不显示用户信息

图片[10]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

6、启用提示密码过期

图片[11]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

7、禁用:无须按ctrl+alt+del

图片[12]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

8、启用域环境:域控制器身份验证以解锁工作站

图片[13]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

9、设置域环境:设置登录到缓存的次数

图片[14]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

10、重命名系统管理员账户

图片[15]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

11、关闭自动播放

路径:cmd命令运行gpedit.msc,window组件—>自动播放策略—>关闭自动播放

图片[16]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

12、关闭多余服务

路径:cmd命令运行serverces.msc,

标准:禁用Application Management、Background Intelligent Transfer Service、RemoteRegistry、Print Spooler

图片[17]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

13、关闭默认共享服务

路径:cmd运行net share命令查看默认共享文件,cmd运行servers.msc进入系统服务。

标准:关闭所有默认共享文件夹:C$/IPS$/admin$,共享服务对应的名称是 “Server”(在进程中的名称为services),在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,

图片[18]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

6、启用安全传输协议

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>安全—>远程(RDP)连接要求使用指定的安全层。

标准:启用   SSL(TLS1.0)

截图所示:

图片[19]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

7、远程会话连接超时设置

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>会话时间设置—>设置活动但空闲的远程桌面服务会话的时间限制·。

标准:启用15分钟

截图如下:

图片[20]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

8、会话连接数设置

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>链接—>限制连接的数量

标准:启用,最大连接数为20

截图如下:

图片[21]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

9、系统防火墙设置

9.1开启系统防火墙

路径:cmd运行firewall.cpl。

标准:开启系统防火墙,使用推荐设置。

截图如下:

图片[22]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

9.2禁用高危端口

路径:cmd运行firewall.cpl->高级设置->入站规则。

标准:创建入站规则,新建规则,禁用135,137,138,139,445端口。

截图所示:

图片[23]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

10、正确配置日志情况

路径:cmd运行eventvwr.msc打开事件管理器—>window日志。

标准:应用程序,安全,setup,系统日志属性修改为:日志大小为102400,不覆盖事件。

截图:

图片[24]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

11、安全防护

1、启用并正确配置SYN攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

SynAttackProtect=1

TcpMaxPortsExhausted=5

TcpMaxHalfOpen=500

TcpMaxHalfOpenRetried=400

2、启用ICMP攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnableICMPRedirect=0

备注:有效值:0(禁用),1(启用)

3、启用碎片攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnablePMTUDiscovery=0

4、禁止windows自动登录

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

标准:创建以下项并赋予值类型为DWORD:

AutoAdminLogon=0

备注:AutoAdminLogon值1为自动登录

5、启用源路由攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

DisableIPSourceRouting=2

备注:此数据的有效值为0-2,0为表示所有数据包,1表示不转发源路由数据包,2表示丢弃所有传入源路由的数据包。

6、禁用失效网关检测

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnableDeadGWDetect=0

备注:此数据的有效值0-1,0为禁用,1启用。

7、TCP连接存活时间设置

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

KeepAliveTime=3000(5分钟)

8、重传单独数据片段次数设置

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

TcpMaxDataRetransmissions=65535

备注:此数据的有效值为0-65535.

9、禁用路由发现功能

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

PerformRouterDiscovery=0

备注:此数据的有效值0-1,0为禁用,1启用。

12、配置系统时间同步(NET)

路径:

控制面板->日期和时间->Internet时间->更改设置,勾选“与Internet时间服务器“,服务器框里填入:自定义服务器源时间。

截图如下:

图片[25]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

13、数据执行保护(DEP)

路径:控制面板->系统,在高级选项选项卡的“性能“下的设置,选择数据执行保护选项卡,选择“仅为基本window操作系统程序和服务启用DEP“。

截图:

图片[26]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

14、开启屏幕保护程序

路径:控制面板->外观->更改屏幕保护程序。

标准:启用并设置等待时间为10分钟

截图:

图片[27]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

15、安装杀毒软件

标准:安装可信杀毒软件且病毒库特征库版本为最新。

截图:

图片[28]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

16、远程管理地址限制

路径:cmd运行firewall.cpl->高级设置->入站规则->Windows防火墙高级设置->远程桌面(TCP-In)。

标准:仅允许自定义IP远程管理访问主机。

截图:

图片[29]-windows server 安全基线加固指引(全) – 作者:moyuanxin-安全小百科

来源:freebuf.com 2021-07-09 15:44:47 by: moyuanxin

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论