freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

windows server 安全基线加固指引(全)
2021-07-09 15:44:47

1、开启密码复杂度策略

路径:cmd命令运行gpedit.msc—>安全设置—>账户策略—>密码策略。

标准:密码必须符合复杂性要求—启用;密码长度最小值—8个字符;密码最短使用期限—1天;密码最长使用期限—90天;强制密码历史—0个记住的密码;用于还原的加密来存储密码—已禁用。

加固如截图所示:

2、开启账户锁定策略

路径:cmd命令运行gpedit.msc—>安全设置—>账户策略—>账户锁定策略。

标准:账户锁定阈值—5次。

加固如截图所示:

3、开启审核策略

路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>审核策略。

标准:开启所有审核策略。

加固截图如下所示:

4、用户权限分配

4.1关闭系统权限

路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>关闭系统。

标准:仅允许administrator账户。

加固截图如下:


4.2拒绝从网络访问这台计算机

路径:路径:cmd命令运行gpedit.msc—>安全设置—>本地策略—>用户权限分配—>拒绝从网络访问这台计算机。

标准:拒绝除administrator组外的所有组。

加固截图如下:

5、安全选项

路径: cmd命令运行gpedit.msc—>安全设置—>本地策略—>安全选项。

1、启用登录时间过期后断开与客户端的链接

2、设置暂停会话所需的空闲时间数量

3、启用清除虚拟内存页面文件

4、启用不显示最后的用户名

5、启用不显示用户信息

6、启用提示密码过期

7、禁用:无须按ctrl+alt+del

8、启用域环境:域控制器身份验证以解锁工作站

9、设置域环境:设置登录到缓存的次数

10、重命名系统管理员账户

11、关闭自动播放

路径:cmd命令运行gpedit.msc,window组件—>自动播放策略—>关闭自动播放

12、关闭多余服务

路径:cmd命令运行serverces.msc,

标准:禁用Application Management、Background Intelligent Transfer Service、RemoteRegistry、Print Spooler

13、关闭默认共享服务

路径:cmd运行net share命令查看默认共享文件,cmd运行servers.msc进入系统服务。

标准:关闭所有默认共享文件夹:C$/IPS$/admin$,共享服务对应的名称是 “Server”(在进程中的名称为services),在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,

6、启用安全传输协议

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>安全—>远程(RDP)连接要求使用指定的安全层。

标准:启用   SSL(TLS1.0)

截图所示:

7、远程会话连接超时设置

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>会话时间设置—>设置活动但空闲的远程桌面服务会话的时间限制·。

标准:启用15分钟

截图如下:

8、会话连接数设置

路径:cmd命令运行gpedit.msc—>管理模板—>远程桌面服务—>远程桌面会话主机—>链接—>限制连接的数量

标准:启用,最大连接数为20

截图如下:

9、系统防火墙设置

9.1开启系统防火墙

路径:cmd运行firewall.cpl。

标准:开启系统防火墙,使用推荐设置。

截图如下:

9.2禁用高危端口

路径:cmd运行firewall.cpl->高级设置->入站规则。

标准:创建入站规则,新建规则,禁用135,137,138,139,445端口。

截图所示:

10、正确配置日志情况

路径:cmd运行eventvwr.msc打开事件管理器—>window日志。

标准:应用程序,安全,setup,系统日志属性修改为:日志大小为102400,不覆盖事件。

截图:

11、安全防护

1、启用并正确配置SYN攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

SynAttackProtect=1

TcpMaxPortsExhausted=5

TcpMaxHalfOpen=500

TcpMaxHalfOpenRetried=400

2、启用ICMP攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnableICMPRedirect=0

备注:有效值:0(禁用),1(启用)

3、启用碎片攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnablePMTUDiscovery=0

4、禁止windows自动登录

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

标准:创建以下项并赋予值类型为DWORD:

AutoAdminLogon=0

备注:AutoAdminLogon值1为自动登录

5、启用源路由攻击保护

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

DisableIPSourceRouting=2

备注:此数据的有效值为0-2,0为表示所有数据包,1表示不转发源路由数据包,2表示丢弃所有传入源路由的数据包。

6、禁用失效网关检测

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

EnableDeadGWDetect=0

备注:此数据的有效值0-1,0为禁用,1启用。

7、TCP连接存活时间设置

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

KeepAliveTime=3000(5分钟)

8、重传单独数据片段次数设置

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

TcpMaxDataRetransmissions=65535

备注:此数据的有效值为0-65535.

9、禁用路由发现功能

路径:cmd运行regedit,查看注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

标准:创建以下项并赋予值类型为DWORD:

PerformRouterDiscovery=0

备注:此数据的有效值0-1,0为禁用,1启用。

12、配置系统时间同步(NET)

路径:

控制面板->日期和时间->Internet时间->更改设置,勾选“与Internet时间服务器“,服务器框里填入:自定义服务器源时间。

截图如下:

13、数据执行保护(DEP)

路径:控制面板->系统,在高级选项选项卡的“性能“下的设置,选择数据执行保护选项卡,选择“仅为基本window操作系统程序和服务启用DEP“。

截图:


14、开启屏幕保护程序

路径:控制面板->外观->更改屏幕保护程序。

标准:启用并设置等待时间为10分钟

截图:

15、安装杀毒软件

标准:安装可信杀毒软件且病毒库特征库版本为最新。

截图:

16、远程管理地址限制

路径:cmd运行firewall.cpl->高级设置->入站规则->Windows防火墙高级设置->远程桌面(TCP-In)。

标准:仅允许自定义IP远程管理访问主机。

截图:

# 系统安全 # 加固 # Windows系统 # 等保安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录