一、安全加固基本思路

1.1、安全基线

1. 安全基线，即系统必需达到的最低的安全标准。
2. 一般通过检查各安全配置参数是否符合标准来度量。
   

1.2、系统信息审查

• 查看系统的详细版本号

  • 命令：ver
    

• 查看系统的服务补丁包（ServicePack），1个SP版本包含了该系统一段时间系统补丁和服务更新的集合。

  • 如：windows 7 SP0、windows 7 SP1
  • 命令：wmic os get ServicePackMajorVersion
    

• 查看系统的补丁安装情况

  • 命令：wmic qfe get hotfixid,InstalledOn
    

• 查看主机名

  • 命令：hostname
    

• 查看系统信息，包括主机信息，注册ID，处理器，内存，BIOS，域，补丁，网卡等信息。

  • 命令：systeminfo
    
  • 使用dxdiag查看系统信息。

• 查看开放端口

  • 命令：netstat -ano
    

  • 端口筛选：netstat -ano | find /i "445"
    

• 查看路由表

  • 命令：route print
    

• 查看网络配置

  • 命令：ipconfig/all
    

二、Windows安全配置加固

2.1、漏洞修复——补丁安装

• 微软官方补丁管理

• 官网补丁下载网址：http://www.catalog.update.microsoft.com/home.aspx
  
  

• 以windows7SP1安装MS12-020漏洞补丁为例。

• 微软安全公告：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2012/ms12-020

• 以windows7SP1安装MS12-020漏洞补丁KB2621440为例。

• 下载并安装补丁
  
  
  

• 查看补丁安装情况。
  

• Metasploit验证确无漏洞。
  

2.2、漏洞修复——端口封禁

• 端口封禁是漏洞修复的临时解决办法。
• 漏洞能被利用，是因为漏洞所在服务依赖端口开放访问，如果将端口封禁，那么漏洞便无法成功利用。
• 如：
  • ms17-010漏洞所在服务是文件共享服务smb，依赖端口为135,139,445。
  • ms12-020漏洞所在服务是远程桌面服务RDP，依赖端口为3389。
• 封禁端口的方法：在组策略中创建IP安全策略。

2.2.1、windows高危端口加固实践——封禁135端口对外开放

1、运行gpedit.msc进入组策略配置。

2、依次点击进入计算机配置->Windows设置->安全设置->IP安全策略。
3、在空白处右键，创建IP安全策略。

4、进入IP安全策略设置向导。

5、设置IP安全策略名称。

6、去除“激活默认响应规则”。

7、点击完成，并进入编辑属性。

8、去除“使用添加向导”复选框，点击“添加”进入IP筛选列表配置。

9、去除“使用添加向导”复选框，点击“添加”进入IP筛选器配置。

10、地址选项卡，源地址选择“任何IP地址”，目标地址选择“我的IP地址”，去掉“镜像”。

11、协议选项卡，协议类型选择“TCP”，设置从任意端口，到此端口填写135，点“确定”。

	如果需要添加屏蔽端口，可再次点击添加，无需添加则点击“确定”。

12、在筛选器操作选项卡，点击“添加”，添加一个新筛选器操作“阻止”。

13、选中新建的IP筛选列表和筛选器操作，点击“应用”。

14、右键新IP安全策略，点击“分配”，指派新建的IP安全策略。

15、验证端口已被阻塞。

2.3、安全配置加固——账号口令

• 账号优化：目的是为了梳理系统中的账号以及口令，避免默认账号及弱口令的存在。

• 查看账号方式：

  • 1.开始->运行->compmgmt.msc（进入计算机管理）->本地用户和组。
    

  • 2.开始->运行->cmd->net user。
    

• 删除无用账号，如删除“Test_123”账号：net user Test_123 /del

• 锁定无用账号，如锁定“Guest”账号：net user Guest /active:no
  

• 口令策略：增强密码复杂度，防止用户长期使用同一个账号，以及账号锁定策略等，降低系统账号被暴力破解的可能性。

  • 配置方式：开始运行->运行->secpol.msc（本地安全策略）->安全设置。
    
    

• 账户策略->密码策略（建议加固值）

  • 密码必须符合复杂性要求：即密码必须是同时包含数字、字母大小写和特殊符号的组合。
  • 密码最常使用期限：防止用户长期不更换密码。
  • 设置密码最短使用期限和强制密码历史：防止更换密码时再次更换回原密码。
  • 用可还原的加密来存储密码：即密码必须是加密存储且加密算法不可逆。
  • 账户锁定阈值为5次：即5次失效登陆后，账户会锁定一段时间。
    

• 本地策略->安全选项：配置用户退出后再次登陆不会显示上次退出的用户名。

  • gpupdate/force
    

• 授权账号登陆：目的是设置允许从本地或者远程登陆的账号。

  • 配置操作：开始->运行->secpol.msc->安全设置->本地策略->用户权限分配

  • 从网络访问此计算机：设置相关账号
    

  • 允许本地登录：设置相关账号