Windows系统安全基线

文章目录

• 前言
  
• 一、安全基线概述
  
• 1. * 1.操作系统安全基线

  复制代码
• 二、系统账户安全
  
• 1. * 1.控制密码安全

  复制代码
  
  
  • 2.密码策略
    
  • 3.账户锁定策略
    
  • 例：密码策略应用
    
  • 例：账户锁定策略应用
    
  
  
• 三、本地策略
  
• 1. * 1.审核策略

  复制代码
  
  
  • 2.用户权限分配
    
  • 3.安全选项设置
    
  • 例：考核策略应用
    
  • 例：用户权限设置应用
    
  • 例：安全选项设置应用
    
  
  
• 四、系统账户安全加固
  
• 1. * 1.Windows账户管理

  复制代码
  
  
  • 2.共享安全加固
    
  • 例：查看账户信息
    
  • 例：关闭默认共享
    
  • 例：系统服务加固
    
  
  

---

前言

系统安全基线

---

一、安全基线概述

1.操作系统安全基线

服务器安全基线是为了满足安全规范要求，服务器必须要达到的安全（最低）标准

• 重要有以下作用
  1）设置口令复杂度策略，防止暴力破解密码；
  2）控制用户或文件权限，淘汰被攻击后的影响；
  3）最小化安装操作系统，防止不必要的服务带来的安全题目。
  
• 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛
  
• 通常包含：操作系统、网络设备、数据库等
  
• Windows系统安全设置
  1）用户管理
  2）密码策略管理
  3）共享管理
  4）文件权限管理
  5）用户权限管理
  6）日记考核管理
  7）远程管理
  8）其他安全选项
  

二、系统账户安全

1.控制密码安全

本地安全策略：指的是为保护本计算机资源而设置的规则
本地安全策略工具：开始→管理工具→本地安全策略

• 账户策略：控制用户账户如何与计算机交互
  密码策略：确定密码的设置，如密码复杂性和密码长度等
  账户锁定策略：确定账户锁定的条件和时间
  
  
  
  
• 本地策略：考核策略、用户权限分配、安全选项
  

2.密码策略

1）密码必须符合复杂性要求

• 不能包含用户的账户名
  
• 包含以下四类字符中的三类字符：大写字母（A到Z），小写字母（a到z），数字（0到9），非字母字符（比方!、$、#、%）等
  
  
  
  

2）密码长度最小值
3）密码最长利用限期（默认42天）
4）密码最短利用限期
5）强制密码汗青
3.账户锁定策略

设置账户锁定策略，防止暴力破解攻击

• 账户锁定时间（在自动解锁之前保持锁定的分钟数）
  
• 账户锁定阈值（登岸尝试失败的次数）
  
• 重置账户锁定计数器（多长时间内累加失败次数）
  

例：密码策略应用

本案例要求在WinSvr2016中设置密码策略，以实现账户安全的要求，相干阐明如下：
1）以管理员登录，打开“本地安全策略”
2）设置账户策略中密码策略，密码必须符合复杂性要求：启用
3）设置密码长度最小值：8个
4）验证密码策略

• 步调一：以管理员登录，打开“本地安全策略”
  以administrator登录电脑，依次单击“开始”–>“Windows管理工具”–>“本地安全策略”
  
  
  
  打开“本地安全策略”窗口
  
  
  
  
• 步调二：设置账户策略中密码策略
  1）依次展开“账户策略”–>“密码策略”
  
  
  
  2）双击窗口右侧“密码必须符合复杂性要求”，设置为“开启”
  
  
  
  3）双击窗口右侧“密码长度最小值”，设置为“8个”
  
  
  
  4）终极“密码策略”设置结果
  
  
  
  
• 步调三：验证密码策略、
  1）验证密码策略，打开“本地用和组”管理窗口，修改用户“guojing”的密码
  
  
  
  输入简单的密码“123456”，弹出对话框显示“密码不满足密码策略的要求”
  
  
  
  输入复杂的密码“Aa123456”，弹出对话框显示“密码已设置”
  
  
  
  

例：账户锁定策略应用

本案例要求在WinSvr2016中设置账户锁定策略，以实现账户安全的要求，相干阐明如下。
1）以管理员登录，打开“本地安全策略”
2）设置账户策略中账户锁定策略，账户锁定阈值：3
3）账户锁定时间：10分钟
4）验证账户锁定策略

• 步调一：设置账户策略中账户锁定策略
  1）依次展开“账户策略”–>“账户锁定策略”
  
  
  
  2）双击窗口右侧“账户锁定阈值”，修改为“3次无效登录”锁定账户
  
  
  
  3）双击窗口右侧“账户锁定时间”，修改为“10分钟“
  
  
  
  4）终极“账户锁定策略”设置结果
  
  
  
  
• 步调二：验证账户锁定策略
  1）验证“账户锁定策略”，切换账户利用“guojing”登录，先输入3次错误的密码，当输入第4次时，显示“引用的账户当前已锁定，且大概无法登录
  
  
  
  需要等待10分钟后账户“guojing”自动解锁，或利用管理员登录后到“本地用和组”管理窗口中“手动解锁”
  
  
  
  

三、本地策略

本地策略实用于计算机，包罗以下策略：

• 考核策略：设置计算机上的安全日记中的日记记录
  
• 用户权限分配：设置用户和组的权限
  
• 安全选项：为计算机指定安全设置
  
  
  
  

1.考核策略

设置以安全日记的方式记录安全相干事件

• 考核策略更改，记录对策略的修改事件
  
• 考核登岸事件，记任命户登岸成功或失败事件
  
• 考核账户管理，记任命户添加/删除/重定名/禁用/启用等事件
  
• 检察对象访问，记录对非目录（Active Directory）访问的事件
  
• 考核进程跟踪，记录与进程相干的事件
  
• 考核目录服务访问，记录对目录（Active Directory）访问的事件
  
• 考核权限利用，记任命户权限利用的事件
  
• 考核系统事件，记录对OS进行以下设置的事件（更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于考核系统失败而导致已考核事件丢失、安全日记巨细凌驾可设置的警告或阈值级别）
  
• 考核账户登岸事件，记录每次验证账户凭证时的事件
  
  
  
  

2.用户权限分配

设置用户和组的权限

• 答应通过远程桌面服务登岸
  
• 答应本地登岸
  
• 拒绝本地登岸
  
• 更改系统时间
  
• 备份文件和目录
  
  
  
  
  
  
  

3.安全选项设置

• 交互式登岸：无需按Ctrl+Alt+Del，默认禁用
  
• 交互式登岸：提示用户在密码过期之前更改密码，默认5天
  
• 交互式登岸：不显示末了的用户名，默认禁用
  
• 关机：答应系统在未登录的情况下关闭，默认禁用
  
• …
  
  
  
  

例：考核策略应用

本案例要求在WinSvr2016中设置考核策略，以实现本地计算机安全的要求，相干阐明如下。
1）以管理员登录，打开“本地安全策略”
2）设置考核策略，设置考核账户管理：成功、失败
3）分别验证设置本地策略的效果

• 步调一：设置考核策略
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“考核策略”
  
  
  
  2）在窗口右侧，双击“考核账户管理”，在“考核账户管理属性”对话框中，勾选“成功”和“失败”
  
  
  
  3）验证考核策略效果，重定名guojing帐户名为jinggege，在控制面板中，双击“管理工具-事件查看器-Windows日记-
  安全”，双击“用户账户管理事件”在弹出的对话框中，查看账户管理事件
  
  
  
  

例：用户权限设置应用

本案例要求在WinSvr2016中设置用户权限策略，以实现本地计算机安全的要求，相干阐明如下：
1）以管理员登录，打开“本地安全策略”设置用户权限分配
2）设置拒绝本地登录：huangrong
3）设置本地关机：只有管理员用户可以本地关系统操作系统
4）验证设用户权限分配效果

• 步调一：设置用户权限分配
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“用户权限分配”
  
  
  
  2）在窗口右侧双击“拒绝本地登录”，在“拒绝本地登录属性”对话框，添加“huangrong”用户
  
  
  
  3）在窗口右侧双击“关闭系统”，在“关闭系统属性”对话框，删除其他用户及组仅保留Administrators组
  
  
  
  4）验证用户权限分配，注销登录系统输入用户名huangrong和精确的密码，显示“不答应利用你正在尝试的登录方式，……”
  
  
  
  

例：安全选项设置应用

本案例要求在WinSvr2016中设置安全选项策略，以实现本地计算机安全的要求，相干阐明如下：
1）设置安全选项，交互式登录: 不显示末了的用户名：启用
2）设置安全选项， 交互式登录: 无需按 Ctrl+Alt+Del：启用
3）验证安全选项策略的效果

• 步调一：设置安全选项
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“安全选项”
  
  
  
  2）在窗口右侧双击“交互式登录:不显示末了的用户名”，在其属性对话框，选中“已启用”
  
  
  
  

3）在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”，在其属性对话框，选中“已启用”

4）终极“安全选项”设置结果

• 步调二：验证设置本地策略的效果
  1）验证“安全选项”，切换到用户登录界面，发现“无需按Ctrl+Alt+Del” ，而且不显示“末了的登录名”
  
  
  
  2）输入用户名huangrong和精确的密码，显示“不答应利用你正在尝试的登录方式，……”
  
  
  
  

四、系统账户安全加固

1.Windows账户管理

• 多用户系统
  Windows不应只有一个管理员用户，应根据业务需求，设定不同的用户和用户组，如管理员用户、web用户、数据库用户
  
• 定期检查用户，删除无用、过期的账户
  应包管所有效户均为有效且在用
  
• 禁用Guest用户
  系统应禁用Guest账户，Guest账户默认不开启
  
• 账户管理
  更改默认管理员账户（应更改默认管理员administrator的名称，防止暴力破解等题目）
  不显示末了得到用户名（用户登岸出后，下次登岸时，不应显示上次登岸用户的名称）
  
• 检测方法
  控制面板-系统和安全-管理工具-计算机管理
  控制面板-系统和安全-管理工具-本地安全策略
  
• 查看当前系统账户
  1）打开cmd查看当前系统账户
  2）开始→控制面板→管理工具→计算机管理，进入本地用户和组，查看用户
  3）打开注册表，查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
  
  
  
  

2.共享安全加固

• 关闭默认共享
  关闭Windows默认共享
  比方：Admin$，C $，D $等
  
• 检测方法
  打开cmd，输入net share查看目前的共享
  控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享
  
• 删除本机默认共享
  1）利用net下令删除（本方法制止共享，立即见效，但是重启系统后，默认共享会自动规复）
  net share ipc$ /delete
  net share admin$ /delete
  net share c$ /delete
  net share c$ /delete
  net share c$ /delete
  2）关闭磁盘与Admin默认共享
  ①在注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  ②双击右侧窗口的“AutoShareServer”项将键值由1改为0，“AutoShareSks”项将键值由1改为0
  ③如果没有“AutoShareServer”项或“AutoShareSks”项，可新建一个再改键值
  ④重启后见效，以后重启也不会再出现共享
  
  
  
  
• 制止共享服务
  1）打开服务管理器
  2）共享服务对应的名称时“Server”（在进程中的名称为services）
  3）双击“Server”，在“通例”标签中把“启动类型”更改为“已禁用”
  4）单击下面“服务状态”的“制止”按钮，再确认就可以
  

例：查看账户信息

本案例要求在Windows系统中查看用户信息，相干阐明如下。
1）以管理员登录，进入下令提示环境查看用户
2）打开注册表查看用户

• 步调一：以管理员登录，运行“下令提示环境”，查看用户信息
  以administrator登录电脑，运行–>“cmd”–>“打开下令提示环境”，输入net user下令查看系统用户信息
  
  
  
  
• 步调二：打开注册表查看用户信息
  1）运行“regedit”打开注册表
  
  
  
  2）依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限，添加Administrator用户勾选完全控制权限
  
  
  
  3）查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名
  
  
  
  4）用户名键值下的值，对应的Users下的键
  
  
  
  5）Users下的F键值，为权限设置信息
  
  
  
  

例：关闭默认共享

本案例要求在Windows系统中关闭默认共享，提高系统安全，相干阐明如下。
1）在注册表编辑器，找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
2）“ AutoShareSks”项关闭磁盘默认共享
3）“AutoShareServer”项关闭Admin默认共享

• 步调一：打开注册表找到parameters"项，编辑注册表关闭默认共享
  1）进入Windows下令提示环境，输入net share已查看默认共享有C $、Admin $
  
  
  
  2）以管理员登录，打开“注册表”，查
  找"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
  
  
  
  3）“parameter”项右侧窗口中查找“AutoShareSks”项，如果没有
  “AutoShareSks”项，可本身新建一个键值DWORD(32位)值(D)，双击“AutoShareSks”项将键值由1改为0
  
  
  
  4）“parameter”项右侧窗口中查找"AutoShareServer"项，如果没有
  “AutoShareServer”项，可本身新建一个键值DWORD(32位)值(D)，双击“AutoShareServer”项将键值由1改为0
  
  
  
  5）重启系统运行下令提示环境，输入net share已查看不到磁盘与Admin共享
  
  
  
  

例：系统服务加固

本例要求为Windows系统服务加固，禁用以下服务：
1）IP Helper、Base Filtering Engine、Print Spooler
2）Security Center、Server、SSDP Discovery
Top
3）TCP/IP NetBIOS Helper
4）Windows Defender Service

• 步调一：打开服务管理器
  1）右击“此电脑”–>“管理”–>“服务”，大概，运行 services.msc 都可以打开服务控制台
  
  
  
  2）双击需要关闭的系统服务（比如IP
  Helper），将启动类型设为“禁用”，如果需要立即禁用此服务，可以单击“制止”按钮，其他需要制止的有务参照此方法完成。
  
  
  
  

学习筹划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零底子入门到进阶资料包，需要的小同伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！
如果你对网络安全入门感兴趣，那么你需要的话可以
点击这里