29、Windows安全配置

文章目录

  • 一、Windows安全配置简介
  • 二、账户策略
    • 2.1 密码策略
    • 2.2 账户锁定策略
  • 三、本地策略
    • 3.1 用户权限分配
  • 四、安全设置
    • 4.1 账户
    • 4.2 审核
    • 4.3 设备
    • 4.4交互式登录
    • 4.5 网络访问
    • 4.6 网络安全
    • 4.7 用户账户控制
    • 4.8 防火墙配置
  • 五、高级审核策略设置
    • 5.1 账户登录
    • 5.2 账户管理
    • 5.3 对象访问
    • 5.4 策略更改
    • 5.5 特权使用
    • 5.6 系统

一、Windows安全配置简介

通常在Windows安全配置中有两类对象:

  • 一类是Windows Server,如Win server 2012、Win server 2016等;
  • 一类是Windows Client,如Win7、Win8、win10等。

在windows安全配置中,对windows client的安全配置,可以借助微软的活动目录来实现自动化;而对windows server 通常为保证服务器稳定运行,倾向于手动配置。

这里以windows server 2012 r2为例,进行加固讲解。
通常,我们使用组策略对windows进行安全配置。组策略中的安全配置与注册表是可以对应的,但注册表可读性较差,而组策略有详细的说明,故通常使用组策略。

在windows客户端系统中,HOME版本是没有组策略功能的。

打开组策略的方法:
29、Windows安全配置_第1张图片

windows不论什么版本,进行安全配置会包含以下常用维度:

  • 账户策略
    • 密码策略
    • 账户锁定策略
  • 本地策略
    • 审计策略
    • 用户权限策略
    • 安全选项
  • 防火墙策略
    • 域配置文件
    • 私有网络配置文件
  • 高级审计策略
    • 账户登录
    • 账户管理
    • 详细跟踪
    • 登录/注销
    • 对象访问
    • 策略更改

二、账户策略

2.1 密码策略

  • 强制密码历史,建议设置为24个
  • 密码最长使用期限,建议设置60天
  • 密码最短使用期限,建议设置1天或更多
  • 密码长度最小值,建议设置为14
  • 密码必须符合复杂性要求,建议设置为启用
  • 用可还原的加密码来存储密码,建议设置为禁用

29、Windows安全配置_第2张图片

密码最短使用期限:表示用户更改密码后,多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。

2.2 账户锁定策略

  • 账户锁定阈值,建议设置为10次或更少
  • 账户锁定时间,建议设置为15分钟或更多
  • 重置账户锁定计数器,建议设置为15分钟或更多

29、Windows安全配置_第3张图片

三、本地策略

3.1 用户权限分配

  • 作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
  • 从网络访问此计算机,建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS(域控设置)
  • 以操作系统方式执行,建议设置为空,默认为空
  • 将工作站添加到域,建议设置为Administrators
  • 为进程调整内存配额,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE
  • 允许本地登录,建议设置为Administrators
  • 允许通过远程桌面服务登录,建议设置为Administrators,Remote Desktop Users(客户端设置)
  • 备份文件和目录,建议设置为Administrators
  • 更改系统时间,建议设置为Administrators,LOCAL SERVICE
  • 更改时区,建议设置为Administrators,LOCAL SERVICE
  • 创建页面文件,建议设置为Administrators
  • 创建一个信息对象,建议设置为空
  • 创建全局对象,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 创建永久共享对象,建议设置为空
  • 创建符号链接,建议设置为Administrators
  • 调试程序,建议设置为Administrators
  • 拒绝从网络访问这台计算机,建议设置为Guests,本地的administrators中的其它用
    户或组。
  • 拒绝作为批处理作业登录,建议设置为Guest
  • 拒绝以服务身份登录,建议设置为Guest
  • 拒绝本地登录,建议设置为Guest
  • 拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户
  • 信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators
  • 从远程系统强制关机,建议设置为Administrators
  • 生成安全审核,建议设置为LOCAL SERVICE,NETWORK SERVICE
  • 身份验证后模拟客户端,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 提高计划优先级,建议设置为Administrators
  • 加载和卸载设备驱动程序,建议设置为Administrators
  • 锁定内存页,建议设置为空
  • 管理审核和安全日志,建议设置为Administrators,默认符合
  • 修改固件环境值,建议设置为Administrators,默认符合
  • 执行卷维护任务,建议设置为Administrators,默认符合
  • 配置文件单一进程,建议设置为Administrators,默认符合
  • 还原文件和目录,建议设置为Administrators
  • 关闭系统,建议设置为Administrators
  • 取得文件或其他对象所有权,建议设置为Administrators,默认设置

四、安全设置

4.1 账户

29、Windows安全配置_第4张图片
29、Windows安全配置_第5张图片

4.2 审核

29、Windows安全配置_第6张图片

4.3 设备

29、Windows安全配置_第7张图片

4.4交互式登录

29、Windows安全配置_第8张图片
29、Windows安全配置_第9张图片

4.5 网络访问

29、Windows安全配置_第10张图片
29、Windows安全配置_第11张图片
29、Windows安全配置_第12张图片

4.6 网络安全

29、Windows安全配置_第13张图片

4.7 用户账户控制

29、Windows安全配置_第14张图片
29、Windows安全配置_第15张图片

4.8 防火墙配置

29、Windows安全配置_第16张图片
29、Windows安全配置_第17张图片
29、Windows安全配置_第18张图片

五、高级审核策略设置

5.1 账户登录

29、Windows安全配置_第19张图片

5.2 账户管理

29、Windows安全配置_第20张图片
29、Windows安全配置_第21张图片

5.3 对象访问

29、Windows安全配置_第22张图片

5.4 策略更改

29、Windows安全配置_第23张图片

5.5 特权使用

29、Windows安全配置_第24张图片

5.6 系统

29、Windows安全配置_第25张图片

你可能感兴趣的:(深信服SCSA-S认证,windows,安全)