Windows-安全加固安全基線

01、開啟密碼復(fù)雜度

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將密碼必須符合復(fù)雜性要求配置為：已啟用

系統(tǒng)密碼復(fù)雜性說明：

不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分

至少有六個字符長

包含以下四類字符中的三類字符:

英文大寫字母(A 到 Z)

英文小寫字母(a 到 z)

10 個基本數(shù)字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或創(chuàng)建密碼時執(zhí)行復(fù)雜性要求。

02、密碼長度最小值

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將密碼長度最小值配置為：8個字符

03、密碼最短使用天數(shù)

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將密碼最短使用期限為：1天

04、密碼最長使用期限

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將密碼最長使用期限配置為：90天

05、強制密碼歷史

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將強制密碼歷史配置為：5個記住的密碼

06、禁用可還原加密

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶策略-密碼策略：將用可還原的加密來存儲密碼配置為：已禁用

07、賬戶鎖定策略

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->賬戶鎖定策略：將賬戶鎖定時間配置為：30分鐘，將賬戶鎖定閾值設(shè)置為：5次無效登錄，將重置賬戶鎖定計數(shù)器配置為：5分鐘之后

08、屏幕保護策略

Server2012以下系統(tǒng)，運行“control /name Microsoft.Display”選擇更改屏幕保護程序：勾選“在恢復(fù)時顯示登錄屏幕”并配置等待3分鐘。

Server2016-右鍵選擇個性化->鎖屏界面->屏幕保護程序設(shè)置-勾選“在恢復(fù)時顯示登錄屏幕”并配置等待3分鐘。

09、是否存在多余管理員賬號

服務(wù)器管理-工具-計算機管理-本地用戶和組-組-administrators中查看是否存在多余用戶

10、是否存在隱藏賬號

服務(wù)器管理-工具-計算機管理-本地用戶和組-用戶-查看是否存在后綴帶$的用戶（用 net user 是看不出來隱藏用戶的）

11、停用Guest用戶

服務(wù)器管理-工具-計算機管理-本地用戶和組-用戶-查看并禁用Guest用戶

12、修改默認管理員名稱

使用默認用戶容易遭到爆破，更改默認管理員名稱增加爆破難度

13、不允許匿名枚舉SAM賬號與共享的匿名枚舉；

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項，將“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”配置為：已啟用

14、禁用自動播放功能

運行“gpedit.msc”在計算機配置->管理模板->Windows組件->自動播放策略->啟用“關(guān)閉自動播放

15、默認共享和高危端口

刪除默認磁盤共享C 、 I P C 、IPC 、IPC、admin$,配置防火墻入站規(guī)則阻止危險端口135、139、445訪問

16、禁用Everyone用于匿名用戶

運行“gpedit.msc”在本地計算機策略計算機配置Windows設(shè)置安全設(shè)置本地策略安全選項網(wǎng)絡(luò)訪問: 將 Everyone 權(quán)限應(yīng)用于匿名用戶`策略配置為：已禁用

17、防病毒軟件安裝

檢查是否安裝有殺毒軟件（火絨、360等）

檢查病毒庫版本

18、日志存放模式設(shè)置

事件查看器-Windows日志，安全日志、應(yīng)用日志、系統(tǒng)日志三個類型，選擇屬性，選擇-日志滿時將其存檔，不覆蓋事件

19、配置審核策略

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->審核策略：將開啟如下策略：

審核策略更改:成功，失敗

審核登錄事件:成功，失敗

審核對象訪問:成功，失敗

審核進程跟蹤:成功，失敗

審核特權(quán)使用:成功，失敗

審核系統(tǒng)事件:成功，失敗

審核賬戶登錄事件:成功，失敗

審核帳戶管理:成功，失敗

20、不顯示上次登錄名

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項，啟用“不顯示上次登錄用戶名”選項

21、關(guān)機前清除虛擬內(nèi)存頁面

運行“gpedit.msc”在計算機配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項，啟用“關(guān)機清除虛擬內(nèi)存頁面文件”

22、關(guān)閉不需要的系統(tǒng)服務(wù)

關(guān)閉多余服務(wù)，如Print spooler、藍牙相關(guān)、Fax及其他未提供業(yè)務(wù)使用的服務(wù)（關(guān)閉前請確認服務(wù)是否在使用）

23、開啟防火墻

檢查防火墻狀態(tài)是否開啟（需確認業(yè)務(wù)端口開放情況，先放開了端口，再開啟）

24、操作系統(tǒng)補丁更新

及時更新微軟推送的系統(tǒng)補丁，每月更新、專項漏洞修復(fù)更新

25、修改默認的RDP端口

[HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp]

重啟Remote Desktop Services 服務(wù)

26、禁用多余的任務(wù)計劃程序

關(guān)閉多余的計劃任務(wù)，記錄異常的任務(wù)計劃程序，打開“運行” taskschd.msc進行查看

最后

從時代發(fā)展的角度看，網(wǎng)絡(luò)安全的知識是學(xué)不完的，而且以后要學(xué)的會更多，同學(xué)們要擺正心態(tài)，既然選擇入門網(wǎng)絡(luò)安全，就不能僅僅只是入門程度而已，能力越強機會才越多。

原文鏈接：https://blog.csdn.net/heike_Ch/article/details/141644027