Windows系统安全基线
文章目录[*]前言
[*]一、安全基线概述
[*] * 1.操作系统安全基线
[*]二、系统账户安全
[*] * 1.控制密码安全
[*]2.密码策略
[*]3.账户锁定策略
[*]例:密码策略应用
[*]例:账户锁定策略应用
[*]三、本地策略
[*] * 1.审核策略
[*]2.用户权限分配
[*]3.安全选项设置
[*]例:考核策略应用
[*]例:用户权限设置应用
[*]例:安全选项设置应用
[*]四、系统账户安全加固
[*] * 1.Windows账户管理
[*]2.共享安全加固
[*]例:查看账户信息
[*]例:关闭默认共享
[*]例:系统服务加固
前言
系统安全基线
一、安全基线概述
1.操作系统安全基线
服务器安全基线是为了满足安全规范要求,服务器必须要达到的安全(最低)标准
[*] 重要有以下作用
1)设置口令复杂度策略,防止暴力破解密码;
2)控制用户或文件权限,淘汰被攻击后的影响;
3)最小化安装操作系统,防止不必要的服务带来的安全题目。
[*] 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛
[*] 通常包含:操作系统、网络设备、数据库等
[*] Windows系统安全设置
1)用户管理
2)密码策略管理
3)共享管理
4)文件权限管理
5)用户权限管理
6)日记考核管理
7)远程管理
8)其他安全选项
二、系统账户安全
1.控制密码安全
本地安全策略:指的是为保护本计算机资源而设置的规则
本地安全策略工具:开始→管理工具→本地安全策略
https://i-blog.csdnimg.cn/blog_migrate/e24eae82585c0a06c612e443747a7d2d.png
[*] 账户策略:控制用户账户如何与计算机交互
密码策略:确定密码的设置,如密码复杂性和密码长度等
账户锁定策略:确定账户锁定的条件和时间
https://i-blog.csdnimg.cn/blog_migrate/2ee46b3924bcda896770397b043d9a0f.png
[*] 本地策略:考核策略、用户权限分配、安全选项
2.密码策略
1)密码必须符合复杂性要求
[*]不能包含用户的账户名
[*]包含以下四类字符中的三类字符:大写字母(A到Z),小写字母(a到z),数字(0到9),非字母字符(比方!、$、#、%)等
https://i-blog.csdnimg.cn/blog_migrate/0204f2f18ba9df4a4baa71c6f137eed4.png
2)密码长度最小值
3)密码最长利用限期(默认42天)
4)密码最短利用限期
5)强制密码汗青
3.账户锁定策略
设置账户锁定策略,防止暴力破解攻击
https://i-blog.csdnimg.cn/blog_migrate/65b015348f5f4fa2aa1b89842bb0e667.png
[*]账户锁定时间(在自动解锁之前保持锁定的分钟数)
[*]账户锁定阈值(登岸尝试失败的次数)
[*]重置账户锁定计数器(多长时间内累加失败次数)
例:密码策略应用
本案例要求在WinSvr2016中设置密码策略,以实现账户安全的要求,相干阐明如下:
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中密码策略,密码必须符合复杂性要求:启用
3)设置密码长度最小值:8个
4)验证密码策略
[*] 步调一:以管理员登录,打开“本地安全策略”
以administrator登录电脑,依次单击“开始”–>“Windows管理工具”–>“本地安全策略”
https://i-blog.csdnimg.cn/blog_migrate/0e7cebfee7b4028132fe6c729fb406fe.png
打开“本地安全策略”窗口
https://i-blog.csdnimg.cn/blog_migrate/4cfdff48f4d4030d432d0bc426b12805.png
[*] 步调二:设置账户策略中密码策略
1)依次展开“账户策略”–>“密码策略”
https://i-blog.csdnimg.cn/blog_migrate/d813964bf09515d31566d17f29ed9d06.png
2)双击窗口右侧“密码必须符合复杂性要求”,设置为“开启”
https://i-blog.csdnimg.cn/blog_migrate/36066807b4a4714922462537c82625c7.png
3)双击窗口右侧“密码长度最小值”,设置为“8个”
https://i-blog.csdnimg.cn/blog_migrate/7ec0af5972d2b7e51088952c74c8aca8.png
4)终极“密码策略”设置结果
https://i-blog.csdnimg.cn/blog_migrate/f9a739caff5aea6380a56ad9791af579.png
[*] 步调三:验证密码策略、
1)验证密码策略,打开“本地用和组”管理窗口,修改用户“guojing”的密码
https://i-blog.csdnimg.cn/blog_migrate/231f4f70d8ac19ebf2120db77ebeadfd.png
输入简单的密码“123456”,弹出对话框显示“密码不满足密码策略的要求”
https://i-blog.csdnimg.cn/blog_migrate/802ef7872d08f0edfe6b1686c373e8d1.png
输入复杂的密码“Aa123456”,弹出对话框显示“密码已设置”
https://i-blog.csdnimg.cn/blog_migrate/9c893d14bb05a4f83f7a2baabd9595a9.png
例:账户锁定策略应用
本案例要求在WinSvr2016中设置账户锁定策略,以实现账户安全的要求,相干阐明如下。
1)以管理员登录,打开“本地安全策略”
2)设置账户策略中账户锁定策略,账户锁定阈值:3
3)账户锁定时间:10分钟
4)验证账户锁定策略
[*] 步调一:设置账户策略中账户锁定策略
1)依次展开“账户策略”–>“账户锁定策略”
https://i-blog.csdnimg.cn/blog_migrate/19369537e80b1cb68b44805781df4956.png
2)双击窗口右侧“账户锁定阈值”,修改为“3次无效登录”锁定账户
https://i-blog.csdnimg.cn/blog_migrate/434e7e61248c01a364ffcf03807d332b.png
3)双击窗口右侧“账户锁定时间”,修改为“10分钟“
https://i-blog.csdnimg.cn/blog_migrate/1a8fd067622a7a454b721221877c980e.png
4)终极“账户锁定策略”设置结果
https://i-blog.csdnimg.cn/blog_migrate/da6a3701e8ce13f85ea61a926cdcece3.png
[*] 步调二:验证账户锁定策略
1)验证“账户锁定策略”,切换账户利用“guojing”登录,先输入3次错误的密码,当输入第4次时,显示“引用的账户当前已锁定,且大概无法登录
https://i-blog.csdnimg.cn/blog_migrate/4dbbdeec6c006a8e913e28c981ca8c20.png
需要等待10分钟后账户“guojing”自动解锁,或利用管理员登录后到“本地用和组”管理窗口中“手动解锁”
https://i-blog.csdnimg.cn/blog_migrate/617fce121b0a1a79327e3f702a9e657e.png
三、本地策略
本地策略实用于计算机,包罗以下策略:
[*]考核策略:设置计算机上的安全日记中的日记记录
[*]用户权限分配:设置用户和组的权限
[*]安全选项:为计算机指定安全设置
https://i-blog.csdnimg.cn/blog_migrate/4b0a7bbdf4b49ed0fb4ef09d5968e9b6.png
1.考核策略
设置以安全日记的方式记录安全相干事件
[*]考核策略更改,记录对策略的修改事件
[*]考核登岸事件,记任命户登岸成功或失败事件
[*]考核账户管理,记任命户添加/删除/重定名/禁用/启用等事件
[*]检察对象访问,记录对非目录(Active Directory)访问的事件
[*]考核进程跟踪,记录与进程相干的事件
[*]考核目录服务访问,记录对目录(Active Directory)访问的事件
[*]考核权限利用,记任命户权限利用的事件
[*]考核系统事件,记录对OS进行以下设置的事件(更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于考核系统失败而导致已考核事件丢失、安全日记巨细凌驾可设置的警告或阈值级别)
[*]考核账户登岸事件,记录每次验证账户凭证时的事件
https://i-blog.csdnimg.cn/blog_migrate/8dd45342df3acf38c48667a083eb4c17.png
2.用户权限分配
设置用户和组的权限
[*]答应通过远程桌面服务登岸
[*]答应本地登岸
[*]拒绝本地登岸
[*]更改系统时间
[*]备份文件和目录
https://i-blog.csdnimg.cn/blog_migrate/9845f421b9c1f71408e146e06950f9ab.png
https://i-blog.csdnimg.cn/blog_migrate/6594112a8382c6fd1926ca52acf8cc00.png
3.安全选项设置
[*]交互式登岸:无需按Ctrl+Alt+Del,默认禁用
[*]交互式登岸:提示用户在密码过期之前更改密码,默认5天
[*]交互式登岸:不显示末了的用户名,默认禁用
[*]关机:答应系统在未登录的情况下关闭,默认禁用
[*]…
https://i-blog.csdnimg.cn/blog_migrate/1e5a3b11866a4457331b388afbf708de.png
例:考核策略应用
本案例要求在WinSvr2016中设置考核策略,以实现本地计算机安全的要求,相干阐明如下。
1)以管理员登录,打开“本地安全策略”
2)设置考核策略,设置考核账户管理:成功、失败
3)分别验证设置本地策略的效果
[*]步调一:设置考核策略
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“考核策略”
https://i-blog.csdnimg.cn/blog_migrate/1f4cd584526ec21e7eacefecfd6fc3c6.png
2)在窗口右侧,双击“考核账户管理”,在“考核账户管理属性”对话框中,勾选“成功”和“失败”
https://i-blog.csdnimg.cn/blog_migrate/fb9dfea3e1fcc405ab0a96420e5288af.png
3)验证考核策略效果,重定名guojing帐户名为jinggege,在控制面板中,双击“管理工具-事件查看器-Windows日记-
安全”,双击“用户账户管理事件”在弹出的对话框中,查看账户管理事件
https://i-blog.csdnimg.cn/blog_migrate/4fbaf177ccf20be251148e1e351902e2.png
例:用户权限设置应用
本案例要求在WinSvr2016中设置用户权限策略,以实现本地计算机安全的要求,相干阐明如下:
1)以管理员登录,打开“本地安全策略”设置用户权限分配
2)设置拒绝本地登录:huangrong
3)设置本地关机:只有管理员用户可以本地关系统操作系统
4)验证设用户权限分配效果
[*]步调一:设置用户权限分配
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“用户权限分配”
https://i-blog.csdnimg.cn/blog_migrate/87adc4af1738520d6844607468285ab0.png
2)在窗口右侧双击“拒绝本地登录”,在“拒绝本地登录属性”对话框,添加“huangrong”用户
https://i-blog.csdnimg.cn/blog_migrate/0746a32e5c5e58d4fa6849ebbd5e69a1.png
3)在窗口右侧双击“关闭系统”,在“关闭系统属性”对话框,删除其他用户及组仅保留Administrators组
https://i-blog.csdnimg.cn/blog_migrate/33212a74f622495738a2fec254d9269f.png
4)验证用户权限分配,注销登录系统输入用户名huangrong和精确的密码,显示“不答应利用你正在尝试的登录方式,……”
https://i-blog.csdnimg.cn/blog_migrate/6d794be3f05ee4df8f85ee05b4040653.png
例:安全选项设置应用
本案例要求在WinSvr2016中设置安全选项策略,以实现本地计算机安全的要求,相干阐明如下:
1)设置安全选项,交互式登录: 不显示末了的用户名:启用
2)设置安全选项, 交互式登录: 无需按 Ctrl+Alt+Del:启用
3)验证安全选项策略的效果
[*]步调一:设置安全选项
1)打开“本地安全策略”窗口,依次展开“本地策略”–>“安全选项”
https://i-blog.csdnimg.cn/blog_migrate/2945582d3d161653b9a6b0ccf42bac36.png
2)在窗口右侧双击“交互式登录:不显示末了的用户名”,在其属性对话框,选中“已启用”
https://i-blog.csdnimg.cn/blog_migrate/c0162ea9e28d51542ef14b8688178d55.png
3)在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”,在其属性对话框,选中“已启用”
https://i-blog.csdnimg.cn/blog_migrate/c0c6ff06922b4c56aa9ac52c5bdd6fbd.png
4)终极“安全选项”设置结果
https://i-blog.csdnimg.cn/blog_migrate/04af10f0208685dad03a1800dbd8786f.png
[*]步调二:验证设置本地策略的效果
1)验证“安全选项”,切换到用户登录界面,发现“无需按Ctrl+Alt+Del” ,而且不显示“末了的登录名”
https://i-blog.csdnimg.cn/blog_migrate/c11efce77a23a295f6f15b319f2a9ed3.png
2)输入用户名huangrong和精确的密码,显示“不答应利用你正在尝试的登录方式,……”
https://i-blog.csdnimg.cn/blog_migrate/30b477039362e3456ba68ea104dc52d6.png
四、系统账户安全加固
1.Windows账户管理
[*] 多用户系统
Windows不应只有一个管理员用户,应根据业务需求,设定不同的用户和用户组,如管理员用户、web用户、数据库用户
[*] 定期检查用户,删除无用、过期的账户
应包管所有效户均为有效且在用
[*] 禁用Guest用户
系统应禁用Guest账户,Guest账户默认不开启
[*] 账户管理
更改默认管理员账户(应更改默认管理员administrator的名称,防止暴力破解等题目)
不显示末了得到用户名(用户登岸出后,下次登岸时,不应显示上次登岸用户的名称)
[*] 检测方法
控制面板-系统和安全-管理工具-计算机管理
控制面板-系统和安全-管理工具-本地安全策略
[*] 查看当前系统账户
1)打开cmd查看当前系统账户
2)开始→控制面板→管理工具→计算机管理,进入本地用户和组,查看用户
3)打开注册表,查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
https://i-blog.csdnimg.cn/blog_migrate/1567f021ef618a72cfc3d76d451506ec.png
2.共享安全加固
[*] 关闭默认共享
关闭Windows默认共享
比方:Admin$,C $,D $等
[*] 检测方法
打开cmd,输入net share查看目前的共享
控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享
[*] 删除本机默认共享
1)利用net下令删除(本方法制止共享,立即见效,但是重启系统后,默认共享会自动规复)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share c$ /delete
net share c$ /delete
2)关闭磁盘与Admin默认共享
①在注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
②双击右侧窗口的“AutoShareServer”项将键值由1改为0,“AutoShareSks”项将键值由1改为0
③如果没有“AutoShareServer”项或“AutoShareSks”项,可新建一个再改键值
④重启后见效,以后重启也不会再出现共享
https://i-blog.csdnimg.cn/blog_migrate/662360afaa934e4e682a4900e65b832f.png
[*] 制止共享服务
1)打开服务管理器
2)共享服务对应的名称时“Server”(在进程中的名称为services)
3)双击“Server”,在“通例”标签中把“启动类型”更改为“已禁用”
4)单击下面“服务状态”的“制止”按钮,再确认就可以
例:查看账户信息
本案例要求在Windows系统中查看用户信息,相干阐明如下。
1)以管理员登录,进入下令提示环境查看用户
2)打开注册表查看用户
[*] 步调一:以管理员登录,运行“下令提示环境”,查看用户信息
以administrator登录电脑,运行–>“cmd”–>“打开下令提示环境”,输入net user下令查看系统用户信息
https://i-blog.csdnimg.cn/blog_migrate/6d38fb9d23109cd71b844be54dd0c681.png
[*] 步调二:打开注册表查看用户信息
1)运行“regedit”打开注册表
https://i-blog.csdnimg.cn/blog_migrate/d48ee85fdb68b1e4710420ffe8473841.png
2)依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限,添加Administrator用户勾选完全控制权限
https://i-blog.csdnimg.cn/blog_migrate/ff680d8422abc96987bbec10711522fd.png
3)查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名
https://i-blog.csdnimg.cn/blog_migrate/695c249c8938f8fb3aac4540cfce8142.png
4)用户名键值下的值,对应的Users下的键
https://i-blog.csdnimg.cn/blog_migrate/7debba35694b9df0b016289ccfc2c71b.png
5)Users下的F键值,为权限设置信息
https://i-blog.csdnimg.cn/blog_migrate/3e4e659066a379e9824f81fe3ca0f79a.png
例:关闭默认共享
本案例要求在Windows系统中关闭默认共享,提高系统安全,相干阐明如下。
1)在注册表编辑器,找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
2)“ AutoShareSks”项关闭磁盘默认共享
3)“AutoShareServer”项关闭Admin默认共享
[*]步调一:打开注册表找到parameters"项,编辑注册表关闭默认共享
1)进入Windows下令提示环境,输入net share已查看默认共享有C $、Admin $
https://i-blog.csdnimg.cn/blog_migrate/3856c331da7e094e41e0760c606a441b.png
2)以管理员登录,打开“注册表”,查
找"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
https://i-blog.csdnimg.cn/blog_migrate/a27b7364692c34c35717bc97e5e3ec25.png
3)“parameter”项右侧窗口中查找“AutoShareSks”项,如果没有
“AutoShareSks”项,可本身新建一个键值DWORD(32位)值(D),双击“AutoShareSks”项将键值由1改为0
https://i-blog.csdnimg.cn/blog_migrate/06597de3f0a9e8e1ab534de54f6b40b1.png
4)“parameter”项右侧窗口中查找"AutoShareServer"项,如果没有
“AutoShareServer”项,可本身新建一个键值DWORD(32位)值(D),双击“AutoShareServer”项将键值由1改为0
https://i-blog.csdnimg.cn/blog_migrate/162bb05c2e37d9db4acf114336f09b73.png
5)重启系统运行下令提示环境,输入net share已查看不到磁盘与Admin共享
https://i-blog.csdnimg.cn/blog_migrate/680c642b3fb1193f5b6b7e3c6ae1c22d.png
例:系统服务加固
本例要求为Windows系统服务加固,禁用以下服务:
1)IP Helper、Base Filtering Engine、Print Spooler
2)Security Center、Server、SSDP Discovery
Top
3)TCP/IP NetBIOS Helper
4)Windows Defender Service
[*]步调一:打开服务管理器
1)右击“此电脑”–>“管理”–>“服务”,大概,运行 services.msc 都可以打开服务控制台
https://i-blog.csdnimg.cn/blog_migrate/7c435cdc735ee5c308b33b51af377a01.png
2)双击需要关闭的系统服务(比如IP
Helper),将启动类型设为“禁用”,如果需要立即禁用此服务,可以单击“制止”按钮,其他需要制止的有务参照此方法完成。
https://i-blog.csdnimg.cn/blog_migrate/ee8deb3156cb738260c7aa32a69b5b98.png
学习筹划安排
https://i-blog.csdnimg.cn/blog_migrate/43e696fa65cf4002ebcb5c24b01da2c1.png
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零底子入门到进阶资料包,需要的小同伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里
页:
[1]