Windows安全基础-基线配置
目录
身份鉴别
更改缺省(默认)账户
检查Guest用户是否禁用
密码复杂性要求
密码长度要求
账户口令的生存期
口令重复次数
口令认证失败次数
账号锁定时间
账号锁定计数器
口令到期提示
限制匿名用户的连接
域成员禁用更改机器账户密码
共享账户检查
本地关机
文件权限指派
授权账户登录
授权账户从网络访问
默认共享
关闭默认共享
共享文件夹授权访问
NTP服务
安全审计
用户登录日志记录
系统日志完备性检查
登录超时管理
远程登录超时配置
剩余信息保护
不显示上次的用户名
关机前清除虚拟内存页面
不启用可还原的加密来存储密码
入侵防范
数据执行保护
启用SYN攻击保护
系统信息、运行命令
身份鉴别
SAM文件
文件路径:%SystemRoot%\system32\config\sam
所有用户的登录名及口令等相关信息都会保存在这个文件中
更改缺省(默认)账户
安全基线项说明
对于管理员账号,要求更改缺省Administrator账户名称
配置方法:进入控制面板->管理工具->系统工具->本地用户和组->重命名Administrator
检查Guest用户是否禁用
安全基线项说明
禁用guest(来宾)账号
配置方法
进入控制面板->管理工具->计算机管理->系统工具->本地计算机用户和组->用户->Guest账号->属性->设置已停用
密码复杂性要求
安全基线项说明
启用密码必须符合复杂性要求
如果启用此策略,密码必须符合下列最低要求:
不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->密码策略->密码必须符合复杂性要求->属性:启用密码必须符合复杂性要求
密码长度要求
最小密码长度不能小于8位
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->密码策略->密码长度最小值:设置最小密码长度
账户口令的生存期
安全基线项说明
静态口令认证,账户口令的生存期不长于90天
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->密码策略:设置密码最长使用期限
口令重复次数
安全基线项说明
静态口令认证,不能重复使用最近5次内(建议最少5次)已使用的口令
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->密码策略:设置强制密码历史为5个密码
口令认证失败次数
安全基线项说明
静态口令认证失败次数不超过6次
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->账户锁定阈值:设置账户锁定标准为小于等于6次,设置为0将永远不会锁定账户
账号锁定时间
安全基线项说明
设置账号锁定时间不小于1分钟
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->账户锁定时间:设置账号锁定时间为大于等于1分钟,设置为0表示永远不会被锁定
账号锁定计数器
安全基线项说明
确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。
如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->重置账户锁定计数器:设置重置账号锁定计数器为标准值
口令到期提示
安全基线项说明
密码到期前2个周提示更换密码
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->安全选项->交互式登录:提示用户在过期之前更改密码
限制匿名用户的连接
安全基线项说明
检查是否限制匿名用户连接权限,防止远程枚举本地账号和共享
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->安全选项->网络访问:不允许枚举SAM账号和共享的枚举
域成员禁用更改机器账户密码
安全基线项说明
域成员禁止更改机器账号密码
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->安全选项->域成员:禁用更改机器账户密码
访问控制
共享账户检查
安全基线项说明
检查是否存在共享账号
配置方法
进入控制面板->管理工具->服务器(计算机)管理->配置->本地用户和组
远程关机授权
安全基线项说明
在本地安全审核制中从远端系统强制关机只指派给Administrator组
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配:从远程系统强制关机->设置为“只指派给Administrator组”
本地关机
安全基线项说明
在本地安全设置中关闭系统仅指派给Administrator组
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->关闭系统
Windows文件权限特性
权限的有限顺序:
每种权限都有允许和拒绝两种设置方法
权限的来源有直接设置和继承两种
如果权限的设置出现矛盾,系统按下面的优先顺序确定权限:
直接设置的拒绝->直接设置的允许->继承的拒绝->继承的允许
移动、复制对权限继承性的影响:
1.在同一分区内移动文件或文件夹,权限保持不变。在同一分区间移动文件或文件夹,权限继承新位置的权限
2.复制文件或文件夹,权限会继承新位置的权限
3.把文件或文件夹移动或复制到FAT分区时权限会丢失
文件权限指派
安全基线项说明
在本地安全设置中取得文件或其它对象的所有权指仅派给Administrator组
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->取得文件或其它对象的所有权
授权账户登录
安全基线项说明
在本地安全设置中配置指定授权用户允许本地登录此计算机
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->允许本地登录
授权账户从网络访问
安全基线项说明
在组策略中只允许授权账号从网路访问(包括网络共享等,但不包括终端服务)此计算机
配置方法
进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机
共享与CMD命令
net share:功能:文件或目录共享相关设置
默认共享
关闭默认共享
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$
配置方法
进入“开始”->运行->"regedit",进入注册表编辑器,查看在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AuToSHareServer键,值为0
共享文件夹授权访问
安全基线项说明
查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹
配置方法
进入控制面板->管理工具->计算机管理->系统工具->共享文件夹:查看每个共享文件夹的共享权限,直降权限授予指定账户
NTP服务
NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。时间按NTP服务器的等级传播。按照离外部UTC源的远近把所有服务器归入不同的Stratum(层)中。
安全基线项说明
Windows Time服务设为已启动
配置方法
控制面板->管理工具->服务->开启时间服务
安全审计
用户登录日志记录
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的ip地址
配置方法
进入控制面板->管理工具->本地安全策略->审核策->审核登录事件:查看是否设置为成功和失败都审核
系统日志完备性检查
注意:审核是一种很占计算机资源的操作,尤其是审核的对象很多时,可能会降低系统性能;保存审核日志是需要硬盘空间的,如果审核的对象非常多而对象的变动也很频繁的话,短时间内肯会占用大量的硬盘资源;因此日志需要经常查看和清理
配置方法
进入控制面板->管理工具->本地安全策略->审核策略:选择性设置成功和失败都审核的策略
资源控制
关闭不必要的服务
登录超时管理
安全基线项说明
超过规定的登录时间后强制注销用户
配置方法
进入控制面板->管理工具->本地安全策略->安全选项->网络安全:在超过登录时间后强制注销
远程登录超时配置
安全基线项说明
检查对于远程登录的账号,设置不活动断连时间
配置方法
进入控制面板->管理工具->本地安全策略->安全选项->Microsoft网络服务器:启用时间过期后断开与客户端的连接与设置暂停会话前所需的空闲时间数量
剩余信息保护
不显示上次的用户名
安全基线项说明
检查是否启用不显示上次的用户名
配置方法
进入控制面板->管理工具->本地安全策略->安全选项->启用不显示上次的用户名
关机前清除虚拟内存页面
安全基线项说明
关闭服务器前,应清除虚拟内存页面,以保护暂存在缓存中的数据
配置方法
进入控制面板->管理工具->本地安全策略->安全选项->关机:清除虚拟内存页面文件
不启用可还原的加密来存储密码
安全基线项说明
不启用可还原的加密来存储密码,防止能够获取明文密码
配置方法
进入控制面板->管理工具->本地安全策略->账户策略->密码策略->用可还原的加密来存储密码
入侵防范
修复漏洞:及时打补丁
数据执行保护
安全基线项说明
对于Windows xp sp2 及Windows 2003 Server对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码
配置方法
控制面板->系统->高级系统设置->性能->数据执行保护
启用SYN攻击保护
安全基线项说明
启用SYN攻击保护;指定触发SYN洪水攻击保护锁必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阀值为500;指定处于至少已发送一次重传的SYN_RCVD状态的TCP连接数的阀值为400
配置方法
在“开始”->“运行”->输入"regedit"查看注册表项
系统信息、运行命令
