前言

基线检查和安全加固是安全服务中重要的部分，招聘要求以及面试提问中出现的频率也比较高，虽然现在部分企业使用工具进行基线检查并加固，但是如果企业只有一两台服务器需要进行基线加固的话，使用工具就没有必要了，所以学习手工基线加固还是十分有必要的。本文对Windows基线加固进行实操讲解，使用的操作系统是Windows 2003，虽然版本比较老，但是其实其它版本Windows操作系统基线加固的内容和操作也大差不差，不过相关内容需要根据企业实际情况做相应的更改！

一、身份鉴别

1.1、配置口令复杂度（必须实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“密码策略”中“密码必须符合复杂性要求”选择“已启动”、“密码长度最小值”设置为“8个字符”

1.2、设置口令认证失败锁定次数（必须实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“账户锁定策略”：“账户锁定阀值”设置为10次无效登录，“账户锁定时间”设置为3分钟

1.3、设置复位账号锁定计数器（必须实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“账户锁定策略”：“复位账号锁定计数器”设置为15~30分钟。但是不知道为什么，实际操作的时候提示我建议将“账户锁定时间”也改为“复位账号锁定计数器”的值，点击确认后直接设置了

1.4、配置口令生存期（必须实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“密码策略”：密码最长使用期限设置为90天

1.5、设置口令到期提示（必须实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“本地策略”->“安全选项”：将交互式登录：密码到期前提示用户修改密码设置为15天

1.6、禁用域环境密码修改（建议实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“本地策略”->“安全选项”：将域成员：禁用更改机器账户密码设置为已禁用

1.7、配置历史口令使用策略（建议实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“密码策略”：将强制密码历史设置为大于等于3个记住的密码，这里我设置为3个记住的密码

1.8、限制匿名远程连接（建议实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“本地策略”->“安全选项”：将网络访问：不允许SAM账户的匿名枚举设置为已启用

1.9、配置会话锁定（按需实施）

进入“开始”->“运行”输入“regedit”回车，打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”，添加名称为“DontDisplayLockedUserId”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为1-3，其中1表示显示名称、域名、用户名，2表示仅显示用户名称，3表示不显示用户信息，将值设置为1，如果不是域控服务器或域成员不检查此项

1.10、配置口令最短使用时间（按需实施）

进入“开始”->“运行”输入“gpedit.msc”回车，在打开的“组策略”对话框中选择“windows设置”->“安全设置”->“账户策略”->“密码策略”：将密码最短使用期限设置为2天

二、访问控制

2.1、禁止共享账户（必须实施）