8、Windows安全加固

合集 - 操作系统_初学文档(18)

1.1、Vmware、OS简述2023-09-122.2、Windows基础命令2023-09-133.3、文件系统与系统目录2023-09-164.4、Windows用户和组、域2023-09-165.5、Windows端口服务2023-09-176.6、域环境策略配置2023-09-197.7、Windows应急响应2023-09-29

8.8、Windows安全加固2023-10-07

9.9、Linux中的基础命令2023-10-1410.10、Linux用户和组2023-10-1711.11、Linux文件与目录权限2023-10-2012.12、Linux中shell脚本2023-10-2113.13、Linux文本三剑客2023-10-2214.14、Linux服务器搭建2023-10-2315.15、Linux日志审计2023-10-3016.16、Linux安全加固2023-11-0117.17、Linux应急响应2023-11-0218.18、IPTABLES2023-11-03

收起

Windows安全加固

1、账户

账户-默认账户安全

①禁用Guest账户（禁用默认账户）。

②禁用或删除其他账户(建议先禁用账户—段时间，待确认没有问题后删除)。

③设定不同的用户和用户组。例如，管理员用户、数据库用户、审计用户、来宾用户等。

说明：

1.管理员用户：能够维护正常应用进程的管理员，不是超级管理员

2.数据库用户（安全管理员）：身份认证

3.审计用户（审计管理员）：查看日志

4.服务器里面不能存在一个多余的账户，存在有可能会被认为是一个非法账户。

5.进程/服务，身份认证，日志---->达到三权分立的状态。分权控制有利于将权限分散管理，从而降低账户风险。

账户-定期检查本地用户和组

定期删除或锁定与设备运行、维护等与工作无关的帐户。

操作步骤：打开控制面板-->管理工具-->计算机管理，在系统工具-->本地用户和组中，删除或锁定与设备运行、维护等与工作无关的帐户。

账户-不显示最后的用户名

不显示最后的用户名也就是配置登录登出后，不显示用户名称（进行交互式登入），可以减少账户被爆破的风险。

操作步骤：打开控制面板-->管理工具-->本地安全策略，在本地策略-->安全选项中，双击交互式登录：不显示最后的用户名，选择已启用并单击确定。

2、口令

口令-密码复杂度

密码复杂度要求必须满足以下策略：

①最短密码长度要求8个字符。

②启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：

​ 1、英语大写字母A,B,C,...Z

​ 2、英语小写字母a, b, c，... z

​ 3、西方阿拉伯数字0,1,2,...9

​ 4、非字母数字字符，如标点符号，@,#，$，%，&,*等

操作步骤：打开控制面板-->管理工具-->本地安全策略，在帐户策略-->密码策略中，确认密码必须符合复杂性要求策略已启用。

口令-密码最长留存期

①对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。1、密码最短使用期限为1天，密码最长使用期限为90天。

②强制密码历史修改成记住五个密码。（强制密码历史就是不能与上次设置的密码相同）

操作步骤：打开控制面板-->管理工具-->本地安全策略，在帐户策略-->密码策略中，配置密码最长使用期限不大于90天。

口令-账户锁定策略

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过5次后，锁定该用户使用的帐户。

①账户锁定时间：15分钟

②账户锁定阈值：5次无效登入

③重置账户锁定计数器：15分钟（这个选项一般设置的与账户锁定时间一致）

操作步骤：打开控制面板-->管理工具-->本地安全策略，在帐户策略-->帐户锁定策略中，配置帐户锁定阈值不大于5次。

3、授权

在本地安全设置中，只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务）此计算机。

操作步骤：打开控制面板-->管理工具-->本地安全策略，在本地策略-->用户权限分配中，配置从网络访问此计算机权限给指定授权用户。（比如在用户权限分配-->从网络访问此计算机中，将Everyone删除；必须是特定的组才可以从网络访问此计算机）---黑白名单

说明：必须具体到某个人能否访问（设置白名单）

4、日志配置

日志配置-审核

打开控制面板-->管理工具-->本地安全策略，在本地策略-->审核策略中，其中审核九条目必须全部审核。意思就是说执行这个操作无论成功还是失败全都记录下来。

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤：打开控制面板-->管理工具-->本地安全策略，在本地策略-->审核策略中，设置审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

日志配置-日志文件大小

设置应用日志文件大小至少为200M（不少于200M），可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志或者日志满时其存档，不覆盖事件(A)。

操作步骤：打开控制面板-->管理工具-->事件查看器，配置应用日志、系统日志、安全日志属性中的日志挑大小，以及设置当达到最大的日志尺寸时的相应策略。

5、IP协议安全

SYN Flood (SYN洪泛)

SYN Flood (SYN洪泛)SYN洪泛是一种阻断服务攻击。起因于攻击者传送—系列的SYN请求到目标系统，占据服务器资源。

攻击者发送许多数据包，但不向服务器发送“ACK”。因此，连接断开，吞下服务器资源。由于阻止服务攻击，合法用户尝试连接到服务器但被拒绝（导致正常用户不能正常进入连接）。

SYN洪泛需要掌握TCP三次握手

IP协议安全-启用SYN攻击保护

启用SYN攻击保护。

①指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。（不能同一个地址连续发包5次）

②指定处于SYN_RCVD状态（发送状态）的TCP连接数的阈值为500。

③指定处于至少已发送一次重传的SYN_RCVD状态（重传状态）中的TCP连接数的阈值为400。

Windows Server 2008：（注册表当中的操作）
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\SynAttackProtect	推荐值:2
HKEY_LOCAL_MACHINE\SYSTEMICurrentControlSet\ServiceslTcpMaxPortsExhausted	推荐值:5
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSetlServiceslTcpMaxHalfOpen	推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetlServicesTcpMaxHalfOpenRetried	推荐值:400

洪泛攻击的命令

hping3 -S -a 1.1.1.1 -s 445 --flood 192.168.126.128 -p 445
解读：通过445端口伪造出1.1.1.1（虚拟IP）的IP，去给192.168.126.128（真实IP）的445这个端口发TCP的数据包，从而达到需要攻击的目标资源占满。

洪泛攻击是争对端口的，只要将防火墙开启（445端口默认关闭，445端口是一个共享文件夹的端口），洪泛攻击效果就不明显了。

6、服务安全

服务安全-禁用TCP/IP上的NetBlOS

禁用TCP/IP上的NetBlOS协议（NetBIOS网络上的基础输入输出设备），可以关闭监听的UDP 137( netbios-ns）、UDP 138( netbios-dgm）以及TCP139( netbios-ssn）端口。还有个135端口。以上端口都为高危端口，都可能导致网络上主机发现/主机名发现/地址发现。

操作步骤：

①在计算机管理-->服务和应用程序-->服务中禁用TCP/IP NetBIOS Helper 服务。

②在网络连接属性中，双击 Internet协议版本4(TCP/I Pv4)，单击高级，找到WINS下面的NetBIOS设置，将其禁用。

服务安全-禁用不必要的服务

服务名称	建议
DHCP Client	如果不使用动态IP地址，就禁用该服务
Background lntelligent Transfer Service	如果不启用自动更新，就禁用该服务
Computer Browser	禁用
Diagnostic Policy Service	手动
Helper	禁用。该服务用于转换IPv6 to lPv4
Print Spooler	如果不需要打印，就禁用该服务
Remote Registry	禁用。Remote Registry主要用于远程管理注册表
Server	如果不使用文件共享，就禁用该服务。禁用本服务将关闭默认共享，如ipc$、admin$和c$等
TCP/IP NetBIOS Helper	禁用
windows Remote Management (WS-Management)	禁用
Windows Font Cache Service	禁用
WinHTTP web Proxy Auto-Discovery Service	禁用
Windows Error Reporting service	禁用

7、安全选项

安全选项-启用安全选项

打开控制面板>管理工具>本地安全策略，在本地策略>安全选项中，进行如下设置：

安全选项	配置内存
交互式登录:试图登录的用户的消息标题	注意
交互或登录:试图登录的用户的消息文本	内部系统只能因业务需要而使用。经由管理层授权。管理层将随时监测此系统的使用。
Microsoft网络服务器:对通信进行数字签名(如果客户端允许)	启用
Microsoft网络服务器:对通信进行数字签名(始终)	启用
Microsoft网络客户端:对通信进行数字签名(如果服务器允许	启用
Mlicrosoft网络客户端:对通信进行数字签名(始终)	启用
网络安全:基于NTLM SSP的(包括安全RPC)服务器的最小会话安全	要求NTLMv2会话安全要求128位加密
网络安全:基于NTLM SSP的(包括安全RPC)客户端的最小会话安全	要求NTLMv2会话安全要求128位加密
网络安全:LAN管理器身份着证级别	仅发送NTLMv2响应\拒绝LM & NTLM
网络访问:不允许SAM帐户的匿名枚举	启用(蹴认已启用)
网络访问:不免许SAM帐户和共享的匿名枚举	启用

安全选项-禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置，服务器安全性将会大大降低，给远程连接的黑客造成可乘之机，强烈建议禁用未登录前关机功能。

操作步骤：打开控制面板-->管理工具-->本地安全策略，在本地策略-->安全选项中，禁用关机：允许系统在未登录前关机策略。

8、其他安全配置

防病毒管理

Windows系统需要安装防病毒软件。

操作步骤：安装企业级防病毒软件，并开启病毒库更新及实时防御功能。

限制远程登录空闲断开时间

对于远程登录的帐户，设置不活动超过时间15分钟自动断开连接。

操作步骤：打开控制面板-->管理工具-->本地安全策略，在本地策略-->安全选项中，设置Microsoft网络服务器：暂停会话前所需的空闲时间数量属性为15分钟。

操作系统补丁

及时更新操作系统补丁