29、Windows安全配置

一、Windows安全配置简介

通常在Windows安全配置中有两类对象：

• 一类是Windows Server，如Win server 2012、Win server 2016等；
• 一类是Windows Client，如Win7、Win8、win10等。

在windows安全配置中，对windows client的安全配置，可以借助微软的活动目录来实现自动化；而对windows server 通常为保证服务器稳定运行，倾向于手动配置。

这里以windows server 2012 r2为例，进行加固讲解。
通常，我们使用组策略对windows进行安全配置。组策略中的安全配置与注册表是可以对应的，但注册表可读性较差，而组策略有详细的说明，故通常使用组策略。

在windows客户端系统中，HOME版本是没有组策略功能的。

打开组策略的方法：

windows不论什么版本，进行安全配置会包含以下常用维度：

• 账户策略
  • 密码策略
  • 账户锁定策略
• 本地策略
  • 审计策略
  • 用户权限策略
  • 安全选项
• 防火墙策略
  • 域配置文件
  • 私有网络配置文件
• 高级审计策略
  • 账户登录
  • 账户管理
  • 详细跟踪
  • 登录/注销
  • 对象访问
  • 策略更改

二、账户策略

2.1 密码策略

• 强制密码历史，建议设置为24个
• 密码最长使用期限，建议设置60天
• 密码最短使用期限，建议设置1天或更多
• 密码长度最小值，建议设置为14
• 密码必须符合复杂性要求，建议设置为启用
• 用可还原的加密码来存储密码，建议设置为禁用

密码最短使用期限：表示用户更改密码后，多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。

2.2 账户锁定策略

• 账户锁定阈值，建议设置为10次或更少
• 账户锁定时间，建议设置为15分钟或更多
• 重置账户锁定计数器，建议设置为15分钟或更多

三、本地策略

3.1 用户权限分配

• 作为受信任的呼叫方访问凭据管理器，建议设置为空。默认为空
• 从网络访问此计算机，建议设置为Administrator，Authenticated Users，ENTERPRISE DOMAIN CONTROLLERS(域控设置)
• 以操作系统方式执行，建议设置为空，默认为空
• 将工作站添加到域，建议设置为Administrators
• 为进程调整内存配额，建议设置为Administrators，LOCAL SERVICE，NETWORK SERVICE
• 允许本地登录，建议设置为Administrators
• 允许通过远程桌面服务登录，建议设置为Administrators，Remote Desktop Users(客户端设置)
• 备份文件和目录，建议设置为Administrators
• 更改系统时间，建议设置为Administrators，LOCAL SERVICE
• 更改时区，建议设置为Administrators，LOCAL SERVICE
• 创建页面文件，建议设置为Administrators
• 创建一个信息对象，建议设置为空
• 创建全局对象，建议设置为Administrators，LOCAL SERVICE，NETWORK SERVICE，SERVICE
• 创建永久共享对象，建议设置为空
• 创建符号链接，建议设置为Administrators
• 调试程序，建议设置为Administrators
• 拒绝从网络访问这台计算机，建议设置为Guests，本地的administrators中的其它用
  户或组。
• 拒绝作为批处理作业登录，建议设置为Guest
• 拒绝以服务身份登录，建议设置为Guest
• 拒绝本地登录，建议设置为Guest
• 拒绝通过远程桌面服务登录，建议设置为Guest和需要的本地用户
• 信任计算机和用户账户可以执行委派，建议设置为空，域控设置为Administrators
• 从远程系统强制关机，建议设置为Administrators
• 生成安全审核，建议设置为LOCAL SERVICE，NETWORK SERVICE
• 身份验证后模拟客户端，建议设置为Administrators，LOCAL SERVICE，NETWORK SERVICE，SERVICE
• 提高计划优先级，建议设置为Administrators
• 加载和卸载设备驱动程序，建议设置为Administrators
• 锁定内存页，建议设置为空
• 管理审核和安全日志，建议设置为Administrators，默认符合
• 修改固件环境值，建议设置为Administrators，默认符合
• 执行卷维护任务，建议设置为Administrators，默认符合
• 配置文件单一进程，建议设置为Administrators，默认符合
• 还原文件和目录，建议设置为Administrators
• 关闭系统，建议设置为Administrators
• 取得文件或其他对象所有权，建议设置为Administrators，默认设置

四、安全设置

4.1 账户

4.2 审核

4.3 设备

4.4交互式登录

4.5 网络访问

4.6 网络安全

4.7 用户账户控制

4.8 防火墙配置

五、高级审核策略设置

5.1 账户登录

5.2 账户管理

5.3 对象访问

5.4 策略更改

5.5 特权使用

5.6 系统