环境:本文我们以Windows Server 2012 R2为例,进行加固
Windows 不论什么版本,进行安全配置均包含以下两个常用维度
1、账户策略
①密码策略
强制密码历史,建议设置为24个
密码最长使用期限,建议设置60天
密码最短使用期限,建议设置为1天或更多
重点理解选项--密码最短使用期限
解释:密码最短使用期限,表示用户更改密码后,多少天内能再次更改密码此项设置主要是配合强
制密码历史使用。如果没有设置密码最短使用期限用户则可以循环选择密码,直到获得期望的旧密
码。
密码长度最小值,建议设置为14
密码必需符合复杂性要求,建议设置为启用
用可还原的加密码来存储密码,建议设置为禁用
②账户锁定策略
账户锁定阈值,建议设置为10次或更少
账户锁定时间,建议设置为15分钟或更多
重置账户锁定计数器,建议设置为15分钟或更多
2、本地策略
①审计策略
②用户权限策略
③安全选项
3、防火墙策略
①域配置文件
②私有网络配置文件
4、高级审计策略
①账户登录
②账户管理
③详细跟踪
④登录/注销
⑤对象访问
⑥策略更改
通常在Windows安全配置中有两类对象
一类是Windows Server,如win server 2012、win server 2016、winserver2019等
一类是Windows Client,如win7、win8、win 10等
在Windows安全配置中,如果组织有条件,对WindowsClient的安全配置 我们可以借助微软的活动
目录来实现自动化。
而对Windows Server 通常为保障服务器稳定运行,我们倾向于的是手动配置。
Windows安全配置方法
通常我们使用组策略对windows进行安全配置
组策略中的安全配置与注册表也可以对应,但注册表可读性较差。组策略有详细的说明,所以我们
通常使用组策略
在windows客户端系统中,HOME版本是没有组策略的的功能。
窗运行打开组策略的方法是
右键开始-->运行-->gpedit.msc
WIN+R -->gpedit.msc
用户权限分配
可在控制面板中搜索组策略或者在计算机配置—Windows 设置—安全设置—本地策略
①作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
②域控设置
安全设置—本地策略—用户权限分配
作为受信任的呼叫方访问凭据管理器,建议设置为空。
默认为空从网络访问此计算机,建议设置为Administrator,AuthenticatedUSerS,ENTERPRISE
DOMAIN CONTROLLERS(域控设置)
以操作系统方式执行,建议设置为空,默认为空
将工作站添加到域,建议设置为Administrators为进程调整内存配额,建议设置为Administrators,
LOCALSERVICENETWORK SERVICE
允许本地登录,建议设置为Administrators
允许通过远程桌面服务登录,建议设置为Administrators,Remote
备份文件和目录,建议设置为Administrators
更改系统时间,建议设置为Administrators,LOCALSERVICE
更改时区,建议设置为Administrators,LOCAL SERVICE
创建页面文件,建议设置为Administrators
创建一个信息对象,建议设置为空
创建全局对象,建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE
创建永久共享对象,建议设置为空
创建符号链接,建议设置为Administrators
设置账户:
设置审核:
设置设备:
设置交互式登录:
设置Microsoft网络客户端:
设置Microsoft网络服务器:
设置网络访问:
设置网络安全:
设置用户账户控制:
高级防火墙配置:
设置改机审核策略配置
1、账户策略
2、本地策略
3、防火墙策略
4、高级审计策略
Windows安全配置方法
