Windows-安全加固安全基线（非常详细）零基础入门到精通，收藏这一篇就够了 ...

安全基线/安全加固第二期，本期以Windows体系为例，重要以2012及2016的版本为主，2012从前的版本由于安全性题目，日常利用率较少，以是这里并未进行编写。安全基线合集发布不一定按这次序，全看缘分，欢迎转发收藏。
此外，加固前请对体系业务运行的服务、端口等信息进行摸查及评估，并在测试机先行测试，加固不规范，老板扔炸弹。
《Redis-安全加固/安全基线》
《MongoDB-安全加固/安全基线》
《Oracle-安全加固/安全基线》
《MySQL-安全加固/安全基线》
《Sql-Server-安全加固/安全基线》
《IIS-安全加固/安全基线》
《Tomcat-安全加固/安全基线》
《Nginx-安全加固/安全基线》
《Centos6.x-安全加固/安全基线》
《Centos7.x-安全加固/安全基线》
《Windows-安全加固/安全基线》

01
—
开启密码复杂度
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将密码必须符合复杂性要求设置为：已启用
体系密码复杂性分析：
不能包罗用户的账户名，不能包罗用户姓名中凌驾两个一连字符的部门
至少有六个字符长
包罗以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(比方 !、$、#、%)
在更改或创建密码时执行复杂性要求。
02
—
密码长度最小值
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将密码长度最小值设置为：8个字符
03
—
密码最短利用天数
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将密码最短利用限期为：1天
04
—
密码最长利用限期
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将密码最长利用限期设置为：90天
05
—
强制密码历史
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将强制密码历史设置为：5个记着的密码
06
—
禁用可还原加密
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户策略-密码策略：将用可还原的加密来存储密码设置为：已禁用
07
—
账户锁定策略
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->账户锁定策略：将账户锁定时间设置为：30分钟，将账户锁定阈值设置为：5次无效登录，将重置账户锁定计数器设置为：5分钟之后
08
—
屏幕保护策略
Server2012以下体系，运行“control /name Microsoft.Display”选择更改屏幕保护程序：勾选“在规复时显示登录屏幕”并设置等待3分钟。
Server2016-右键选择个性化->锁屏界面->屏幕保护程序设置-勾选“在规复时显示登录屏幕”并设置等待3分钟。
09
—
是否存在多余管理员账号
服务器管理-工具-计算机管理-本地用户和组-组-administrators中查察是否存在多余用户
10
—
是否存在潜伏账号
服务器管理-工具-计算机管理-本地用户和组-用户-查察是否存在后缀带$的用户（用 net user 是看不出来潜伏用户的）
11
—
停用Guest用户
服务器管理-工具-计算机管理-本地用户和组-用户-查察并禁用Guest用户
12
—
修改默认管理员名称
利用默认用户容易遭到爆破，更改默认管理员名称增加爆破难度
13
—
不答应匿名摆列SAM账号与共享的匿名摆列；
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->本地策略->安全选项，将“网络访问：不答应SAM账户和共享的匿名摆列”设置为：已启用
14
—
禁用自动播放功能
运行“gpedit.msc”在计算机设置->管理模板->Windows组件->自动播放策略->启用“关闭自动播放
15
—
默认共享和高危端口
删除默认磁盘共享C 、 I P C 、IPC 、IPC、admin$,设置防火墙入站规则克制伤害端口135、139、445访问
16
—
禁用Everyone用于匿名用户
运行“gpedit.msc”在本地计算机策略\计算机设置\Windows设置\安全设置\本地策略\安全选项\网络访问: 将 Everyone 权限应用于匿名用户`策略设置为：已禁用
17
—
防病毒软件安装
检查是否安装有杀毒软件（火绒、360等）
检查病毒库版本
18
—
日志存放模式设置
事件查察器-Windows日志，安整日志、应用日志、体系日志三个类型，选择属性，选择-日志满时将其存档，不覆盖事件
19
—
设置审核策略
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->本地策略->审核策略：将开启如下策略：
审核策略更改:乐成，失败
审核登录事件:乐成，失败
审核对象访问:乐成，失败
审核进程跟踪:乐成，失败
审核特权利用:乐成，失败
审核体系事件:乐成，失败
审核账户登录事件:乐成，失败
审核帐户管理:乐成，失败
20
—
不显示上次登录名
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->本地策略->安全选项，启用“不显示上次登录用户名”选项
21
—
关机前扫除假造内存页面
运行“gpedit.msc”在计算机设置->Windows设置->安全设置->本地策略->安全选项，启用“关机扫除假造内存页面文件”
22
—
关闭不需要的体系服务
关闭多余服务，如Print spooler、蓝牙相关、Fax及其他未提供业务利用的服务（关闭前请确认服务是否在利用）
23
—
开启防火墙
检查防火墙状态是否开启（需确认业务端口开放情况，先放开了端口，再开启）
24
—
操纵体系补丁更新
实时更新微软推送的体系补丁，每月更新、专项漏洞修复更新
25
—
修改默认的RDP端口
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
重启Remote Desktop Services 服务
26
—
禁用多余的任务筹划程序
关闭多余的筹划任务，记录非常的任务筹划程序，打开“运行” taskschd.msc进行查察
末了

从期间发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门水平而已，本事越强机遇才越多。
因为入门学习阶段知识点比较杂，以是我讲得比较笼统，各人如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。
干货重要有：
①1000+CTF历届题库（主流和经典的应该都有了）
②CTF技术文档（最全中文版）
③项目源码（四五十个风趣且经典的练手项目及源码）
④ CTF大赛、web安全、渗出测试方面的视频（适合小白学习）
⑤ 网络安全学习门路图（告别不入流的学习）
⑥ CTF/渗出测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣，那么你需要的话可以点击这里