21-系統(tǒng)安全01-操作系統(tǒng)安全01-Windows安全配置

Windows安全配置理解windows安全配置維度掌握Windows安全配置的方法教學目標Windows安全配置簡介Windows賬戶配置Windows本地配置Windows防火墻配置Windows高級審核策略配置目錄通常在Windows安全配置中有兩類對象一類是WindowsServer，如winserver2012、winserver2016、winserver2019等一類是WindowsClient，如win7、win8、win10等在Windows安全配置中，如果組織有條件，對WindowsClient的安全配置

我們可以借助微軟的活動目錄來實現(xiàn)自動化。而對WindowsServer通常為保障服務器穩(wěn)定運行，我們傾向于的是手動配置。本文我們以WindowsServer2012

R2為例，進行加固講解Windows安全配置簡介Windows安全配置方法通常我們使用組策略對windows進行安全配置組策略中的安全配置與注冊表也可以對應，但注冊表可讀性較差。組策略有詳細的說明，所以我們通常使用組策略在windows客戶端系統(tǒng)中，HOME版本是沒有組策略的的功能。打開組策略的方法是右鍵開始-->運行-->gpedit.mscWIN+R-->gpedit.mscWindows安全配置簡介Windows不論什么版本，進行安全配置均包含以下兩個常用維度賬戶策略密碼策略賬戶鎖定策略本地策略審計策略用戶權限策略安全選項Windows安全配置簡介除了上述常用的配置，還會包含以下兩個維度防火墻策略域配置文件私有網(wǎng)絡配置文件高級審計策略賬戶登錄賬戶管理詳細跟蹤登錄/注銷對象訪問策略更改Windows安全配置簡介密碼策略強制密碼歷史，建議設置為24個密碼最長使用期限，建議設置60天密碼最短使用期限，建議設置為1天或更多密碼長度最小值，建議設置為14密碼必需符合復雜性要求，建議設置為啟用用可還原的加密碼來存儲密碼，建議設置為禁用Windows安全配置-賬戶策略密碼策略配置Windows安全配置-賬戶策略密碼策略配置重點理解選項--密碼最短使用期限密碼最短使用期限，表示用戶更改密碼后，多少天內能再次更改密碼。此項設置主要是配合強制密碼歷史使用。如果沒有設置密碼最短使用期限，用戶則可以循環(huán)選擇密碼，直到獲得期望的舊密碼。Windows安全配置-賬戶策略賬戶鎖定策略賬戶鎖定閾值，建議設置為10次或更少賬戶鎖定時間，建議設置為15分鐘或更多重置賬戶鎖定計數(shù)器，建議設置為15分鐘或更多Windows安全配置-賬戶策略用戶權限分配作為受信任的呼叫方訪問憑據(jù)管理器，建議設置為空。默認為空從網(wǎng)絡訪問此計算機，建議設置為Administrator,AuthenticatedUsers,ENTERPRISEDOMAINCONTROLLERS（域控設置）以操作系統(tǒng)方式執(zhí)行，建議設置為空，默認為空將工作站添加到域，建議設置為Administrators為進程調整內存配額，建議設置為Administrators,LOCALSERVICE,NETWORKSERVICE允許本地登錄，建議設置為Administrators允許通過遠程桌面服務登錄，建議設置為Administrators,RemoteDesktopUsers(客戶端設置)Windows安全配置-本地策略用戶權限分配備份文件和目錄，建議設置為Administrators更改系統(tǒng)時間，建議設置為Administrators,LOCALSERVICE更改時區(qū)，建議設置為Administrators,LOCALSERVICE創(chuàng)建頁面文件，建議設置為Administrators創(chuàng)建一個信息對象，建議設置為空創(chuàng)建全局對象，建議設置為Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE創(chuàng)建永久共享對象，建議設置為空創(chuàng)建符號鏈接，建議設置為AdministratorsWindows安全配置-本地策略用戶權限分配調試程序，建議設置為Administrators拒絕從網(wǎng)絡訪問這臺計算機，建議設置為Guests,本地的administrators中的其它用戶或組。拒絕作為批處理作業(yè)登錄，建議設置為Guest拒絕以服務身份登錄，建議設置為Guest拒絕本地登錄，建議設置為Guest拒絕通過遠程桌面服務登錄，建議設置為Guest和需要的本地用戶信任計算機和用戶賬戶可以執(zhí)行委派，建議設置為空，域控設置為Administrators從遠程系統(tǒng)強制關機，建議設置為AdministratorsWindows安全配置-本地策略用戶權限分配生成安全審核，建議設置為LOCALSERVICE,NETWORKSERVICE身份驗證后模擬客戶端，建議設置為Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE提高計劃優(yōu)先級，建議設置為Administrators加載和卸載設備驅動程序，建議設置為Administrators鎖定內存頁，建議設置為空管理審核和安全日志，建議設置為Administrators，默認符合修改固件環(huán)境值，建議設置為Administrators，默認符合執(zhí)行卷維護任務，建議設置為Administrators，默認符合配置文件單一進程，建議設置為Administrators，默認符合Windows安全配置-本地策略用戶權限分配還原文件和目錄，建議設置為Administrators關閉系統(tǒng)，建議設置為Administrators取得文件或其他對象所有權，建議設置為Administrators，默認設置Windows安全配置-本地策略賬戶：賬戶：管理員賬戶狀態(tài)，建議設置為禁用賬戶：阻止Microsoft賬戶，建議設置為用戶不能添加Microsoft賬戶或使用該賬戶登錄賬戶：來賓賬戶狀態(tài)，建議設置為已禁用，默認設置賬戶：使用空密碼的本地賬戶只通話進行控制臺登錄，建議設置為啟用，默認設置賬戶：重命令系統(tǒng)管理員賬戶，建議重命名為非administrator賬戶：重命名來賓賬戶，建議重命名為非GuestWindows安全配置-安全設置Windows安全配置-安全設置審核：審核：如果無法記錄安全審計則立即關閉系統(tǒng)，建議設置為禁用，默認設置審核：強制審核策略子類別設置，建議設置為啟用Windows安全配置-安全設置設備：設備：允許對可移動媒體進行格式化并彈出，建議設置為Administrators設備：防止用戶安裝打印機驅動程序，建議設置為已啟用，默認設置Windows安全配置-安全設置交互式登錄交互式登錄：不顯示最后的用戶名，建議設置已啟用交互式登錄：無須按Ctrl+Alt+Del，建議設置已禁用，默認設置交互式登錄：計算機不活動限制，建議設置為900，不要設成0?？梢岳斫鉃殒i屏。交互式登錄：試圖登錄的用戶的消息文本，不要表現(xiàn)出任何信息，可以為空交互式登錄：試圖登錄的用戶的消息標題，不要表現(xiàn)出任何信息，可以為空交互式登錄：之前登錄到緩存的次數(shù)，建議設為4或更少交互式登錄：提示用戶在過期之前更改密碼，建議5到14天交互式登錄：需要域控制器身份驗證以對工作站進行解鎖，建議設置為啟用Windows安全配置-安全設置Windows安全配置-安全設置交互式登錄Microsoft網(wǎng)絡客戶端Microsoft網(wǎng)絡客戶端:對通信進行數(shù)字簽名（始終），建議設置為已啟用Microsoft網(wǎng)絡客戶端:對通信進行數(shù)字簽名（如果服務器允許），建議設置為已啟用，默認設置Microsoft網(wǎng)絡客戶端:將未加密的密碼發(fā)送到第三方SMB服務器，建議設置為已禁用，默認設置Windows安全配置-安全設置Microsoft網(wǎng)絡服務器Microsoft網(wǎng)絡服務器：暫停會話前所需空間的時間數(shù)量，建議設置15或更少Microsoft網(wǎng)絡服務器：對通信進行數(shù)字簽名（始終），建議設置為已啟用Microsoft網(wǎng)絡服務器：對通信進行數(shù)字簽名（如果客戶端允許），建議設置為已啟用Microsoft網(wǎng)絡服務器：登錄時間過期后斷開與客戶端的連接，建議設置為已啟用，默認設置Microsoft網(wǎng)絡服務器：服務器SPN目標名稱驗證級別，建議設置為由客戶端提供時接受或更高Windows安全配置-安全設置網(wǎng)絡訪問：網(wǎng)絡訪問：不允許SAM和共享的匿名枚舉，建議設置為已啟用網(wǎng)絡訪問：不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)，建議設置為已啟用網(wǎng)絡訪問：可匿名訪問的共享，建議根據(jù)實際情況設置網(wǎng)絡訪問：可遠程訪問的注冊表路徑，建議設置為System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全設置網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑，建議設置為System\CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\Services\EventlogSoftware\Microsoft\OLAPServerSoftware\Microsoft\WindowsNT\CurrentVersion\PrintSoftware\Microsoft\WindowsNT\CurrentVersion\WindowsSystem\CurrentControlSet\Control\ContentIndexSystem\CurrentControlSet\Control\TerminalServerSystem\CurrentControlSet\Control\TerminalServer\UserConfigSystem\CurrentControlSet\Control\TerminalServer\DefaultUserConfigurationSoftware\Microsoft\WindowsNT\CurrentVersion\PerflibSystem\CurrentControlSet\Services\SysmonLogWindows安全配置-安全設置網(wǎng)絡訪問：網(wǎng)絡訪問：網(wǎng)絡訪問：不允許SAM和共享的匿名枚舉，建議設置為已啟用網(wǎng)絡訪問：不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù)，建議設置為已啟用網(wǎng)絡訪問：可匿名訪問的共享，建議根據(jù)實際情況設置網(wǎng)絡訪問：可遠程訪問的注冊表路徑，建議設置為System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全設置網(wǎng)絡安全網(wǎng)絡安全：允許本地系統(tǒng)將計算機標識用于NTLM，建議設置為已啟用網(wǎng)絡安全：允許LocalSystemNULL會話回退，建議設置為已禁用網(wǎng)絡安全：允許對此計算機的PKU2U身份驗證請求使用聯(lián)機標識，建議設置為已禁用網(wǎng)絡安全：配置Kerberos允許的加密類型，建議設置AES128_HMAC_SHA1,AES256_HMAC_SHA1,將來的加密類型網(wǎng)絡安全：在超過登錄時間后強制注銷，建議設置為已啟用網(wǎng)絡安全：LNA管理器身份驗證級別，建議設置為僅發(fā)送NTLMv2響應，拒絕LM和NTLMWindows安全配置-安全設置用戶賬戶控制用戶賬戶控制：用于內置管理員賬戶的管理員批準模式，建議設置已啟用用戶賬戶控制：管理員批準模式中管理員的提升權限提示的行為，建議設置為在安全桌面上提示憑據(jù)用戶賬戶控制：標準用戶的提升提示行為，建議設置為，自動拒絕提升請求用戶賬戶控制：允許UIAccess應用程序在不使用安全桌面的情況下提升權限，建議設置為已啟用Windows安全配置-安全設置用戶賬戶控制Windows安全配置-安全設置高級防火墻配置