一、身份鉴别策略组检测 

密码策略

密码长度最小值大于等于8个字符 密码最短使用期限大于等于2天 密码最长使用期限小于等于90天 保留密码历史数量大于等于5个


加固方案-参考配置操作:

1.进入“控制面板->管理工具->本地安全策略

【安全基线】Windows终端合规安全设置_管理工具

2. 在“账户策略->账户锁定策略”中:

【安全基线】Windows终端合规安全设置_右键_02

密码长度最小值:>=8个字符 密码最短使用期限:>=2天 密码最长使用期限:<=90天,但不能为0,0代表永不过期。 强制密码历史:>=5个




账户策略

复位账户锁定计数器大于等于15分钟 账户锁定时间大于等于15分钟 账户锁定阈值小于等于10次


加固方案-参考配置操作:

1.进入“控制面板->管理工具->本地安全策略”

【安全基线】Windows终端合规安全设置_管理工具

2. 在“账户策略->账户锁定策略”中:

【安全基线】Windows终端合规安全设置_管理工具_04

账户锁定时间:>=15分钟 账户锁定阈值:<=10次无效登录,但不能为0次。 重置账户锁定计数器:>=15分钟之后



自动登录

加固方案-参考配置操作:

1. 按“WIN+R”键,输入“control userpasswords2”。 2. 在“用户账户”中:选择自动登录的账户,点击“要使用本计算机,用户必须输入用户名和密码”,并重新设置新密码。


【安全基线】Windows终端合规安全设置_自动更新_05


二、访问控制策略组

账户检测

空密码账户 弱密码账户 禁用来宾帐户 隐藏账户


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->计算机管理”

【安全基线】Windows终端合规安全设置_自动更新_06

2. 在“本地用户和组->用户”中:

【安全基线】Windows终端合规安全设置_管理工具_07

空密码:账户密码为空,修改建议:右键->设置密码 弱密码:(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,例如“123456”、“abc123”、“Michael”等。,修改建议:右键->设置密码 来宾账户:在计算机中,Guest是指让给客人访问电脑系统的帐户。与“Administrator”和“User”不同的,通常这个帐户没有修改系统设置和进行安装程序的权限,也没有创建修改任何文档的权限,只能是读取计算机系统信息和文件。由于黑客和病毒的原因,一般情况下是不推荐使用此帐户,最好是不要开启这个帐户。修改建议:双击Guest用户->选择账户已禁用。 隐藏账户:在控制面板与开机选择中看不见的账户。它可以用输账号密码的方式进入。修改建议:右键->删除。




共享检测

默认共享 共享文件夹


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->计算机管理”

【安全基线】Windows终端合规安全设置_自动更新_06

2. 在“共享文件夹->共享”中:

【安全基线】Windows终端合规安全设置_msc_09

默认共享:删除 共享文件夹:设置共享权限或者删除掉共享




三、安全审计策略组检测 

安全审计策略

系统事件审核 登录事件审核 对象访问事件审核 特权使用事件审核 进程跟踪事件审核 策略更改事件审核 账户管理事件审核 目录服务访问事件审核 账户登录事件审核


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置_管理工具

2. 在“本地策略->审核策略”中:所有项都设置为“成功”和“失败”都要审核。

【安全基线】Windows终端合规安全设置_右键_11

四、剩余信息保护策略组检测 

关机检测

关机前清除虚拟内存页面


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置_管理工具

2. 在“本地策略->安全选项”中:将“关机:清除虚拟内存页面文件”,双击,修改状态为“已启用”。

【安全基线】Windows终端合规安全设置_安全策略_13

登录检测

Windows登录屏幕不显示上次登录的用户名


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->本地安全策略”.

【安全基线】Windows终端合规安全设置_管理工具

2. 在“本地策略->安全选项”中:将“交互式登录:不显示上次登录”,双击,修改状态为“已启用”。

【安全基线】Windows终端合规安全设置_右键_15



五、入侵防范检测 

Windows防火墙

开启Windows防火墙


加固方案-参考配置操作:

1. 进入“控制面板->windows防火墙”.

【安全基线】Windows终端合规安全设置_右键_16

2. 在“启用或关闭防火墙/自定义设置”中:将“专用网络设置”和“公用网络设置”都开启Windows防火墙。

【安全基线】Windows终端合规安全设置_msc_17

3. 检查Windows Firewall服务是否开启,如下所示:

【安全基线】Windows终端合规安全设置_自动更新_18

4. 补充:在Windows vista 以前的旧版本系统的中,设置稍有区别

【安全基线】Windows终端合规安全设置_管理工具_19

5. 补充:在Windows vista 以前的旧版本系统的中,windows Firewall/Internet Connection Sharing(ICS)是同一个服务,开启方式如下所示:

【安全基线】Windows终端合规安全设置_安全策略_20

自动更新

开启自动更新


加固方案-参考配置操作:

1. 检查Windows Update服务是否开启,如下所示:

【安全基线】Windows终端合规安全设置_自动更新_21

2. 按“WIN+R”键,输入gpedit.msc,找到“Window更新”或“Windows Update”,双击右边的“配置自动更新”选项。

【安全基线】Windows终端合规安全设置_安全策略_22

3. 打开“配置自动更新”后,启用“配置自动更新”并选择“4-自动下载并计划安装”,并设置计划安装日期和安装时间。

【安全基线】Windows终端合规安全设置_自动更新_23

4. 若“配置自动更新”选择“5-允许本地管理员选择设置”,则需在控制面板进行进一步设置。

【安全基线】Windows终端合规安全设置_右键_24

5. 进入“控制面板->Windows Update”,PS:win10及后续高版本的系统中,控制面板无此设置项,默认开启自动更新.

【安全基线】Windows终端合规安全设置_右键_25

非必须服务

Ftp服务已禁用 Telnet服务已禁用


加固方案-参考配置操作:

1. 进入“控制面板->管理工具->服务”.

【安全基线】Windows终端合规安全设置_右键_26

2. 双击“Telnet”服务:服务状态改为“已停止”。

【安全基线】Windows终端合规安全设置_自动更新_27

3. 双击“Microsoft ftpsvc”服务:服务状态改为“已停止”,操作同上。

【安全基线】Windows终端合规安全设置_msc_28

【安全基线】Windows终端合规安全设置_安全策略_29



本文分享自微信公众号 - 释然IT杂谈