29、Windows安全配置

文章目录

  • 一、Windows安全配置简介
  • 二、账户策略
    • [2.1 密码策略](#2.1 密码策略)
    • [2.2 账户锁定策略](#2.2 账户锁定策略)
  • 三、本地策略
    • [3.1 用户权限分配](#3.1 用户权限分配)
  • 四、安全设置
    • [4.1 账户](#4.1 账户)
    • [4.2 审核](#4.2 审核)
    • [4.3 设备](#4.3 设备)
    • 4.4交互式登录
    • [4.5 网络访问](#4.5 网络访问)
    • [4.6 网络安全](#4.6 网络安全)
    • [4.7 用户账户控制](#4.7 用户账户控制)
    • [4.8 防火墙配置](#4.8 防火墙配置)
  • 五、高级审核策略设置
    • [5.1 账户登录](#5.1 账户登录)
    • [5.2 账户管理](#5.2 账户管理)
    • [5.3 对象访问](#5.3 对象访问)
    • [5.4 策略更改](#5.4 策略更改)
    • [5.5 特权使用](#5.5 特权使用)
    • [5.6 系统](#5.6 系统)

一、Windows安全配置简介

通常在Windows安全配置中有两类对象:

  • 一类是Windows Server,如Win server 2012、Win server 2016等;
  • 一类是Windows Client,如Win7、Win8、win10等。

在windows安全配置中,对windows client的安全配置,可以借助微软的活动目录来实现自动化;而对windows server 通常为保证服务器稳定运行,倾向于手动配置。

这里以windows server 2012 r2为例,进行加固讲解。

通常,我们使用组策略对windows进行安全配置。组策略中的安全配置与注册表是可以对应的,但注册表可读性较差,而组策略有详细的说明,故通常使用组策略。

在windows客户端系统中,HOME版本是没有组策略功能的。

打开组策略的方法:

windows不论什么版本,进行安全配置会包含以下常用维度:

  • 账户策略
    • 密码策略
    • 账户锁定策略
  • 本地策略
    • 审计策略
    • 用户权限策略
    • 安全选项
  • 防火墙策略
    • 域配置文件
    • 私有网络配置文件
  • 高级审计策略
    • 账户登录
    • 账户管理
    • 详细跟踪
    • 登录/注销
    • 对象访问
    • 策略更改

二、账户策略

2.1 密码策略

  • 强制密码历史,建议设置为24个
  • 密码最长使用期限,建议设置60天
  • 密码最短使用期限,建议设置1天或更多
  • 密码长度最小值,建议设置为14
  • 密码必须符合复杂性要求,建议设置为启用
  • 用可还原的加密码来存储密码,建议设置为禁用

密码最短使用期限:表示用户更改密码后,多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。

2.2 账户锁定策略

  • 账户锁定阈值,建议设置为10次或更少
  • 账户锁定时间,建议设置为15分钟或更多
  • 重置账户锁定计数器,建议设置为15分钟或更多

三、本地策略

3.1 用户权限分配

  • 作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
  • 从网络访问此计算机,建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS(域控设置)
  • 以操作系统方式执行,建议设置为空,默认为空
  • 将工作站添加到域,建议设置为Administrators
  • 为进程调整内存配额,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE
  • 允许本地登录,建议设置为Administrators
  • 允许通过远程桌面服务登录,建议设置为Administrators,Remote Desktop Users(客户端设置)
  • 备份文件和目录,建议设置为Administrators
  • 更改系统时间,建议设置为Administrators,LOCAL SERVICE
  • 更改时区,建议设置为Administrators,LOCAL SERVICE
  • 创建页面文件,建议设置为Administrators
  • 创建一个信息对象,建议设置为空
  • 创建全局对象,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 创建永久共享对象,建议设置为空
  • 创建符号链接,建议设置为Administrators
  • 调试程序,建议设置为Administrators
  • 拒绝从网络访问这台计算机,建议设置为Guests,本地的administrators中的其它用
    户或组。
  • 拒绝作为批处理作业登录,建议设置为Guest
  • 拒绝以服务身份登录,建议设置为Guest
  • 拒绝本地登录,建议设置为Guest
  • 拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户
  • 信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators
  • 从远程系统强制关机,建议设置为Administrators
  • 生成安全审核,建议设置为LOCAL SERVICE,NETWORK SERVICE
  • 身份验证后模拟客户端,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
  • 提高计划优先级,建议设置为Administrators
  • 加载和卸载设备驱动程序,建议设置为Administrators
  • 锁定内存页,建议设置为空
  • 管理审核和安全日志,建议设置为Administrators,默认符合
  • 修改固件环境值,建议设置为Administrators,默认符合
  • 执行卷维护任务,建议设置为Administrators,默认符合
  • 配置文件单一进程,建议设置为Administrators,默认符合
  • 还原文件和目录,建议设置为Administrators
  • 关闭系统,建议设置为Administrators
  • 取得文件或其他对象所有权,建议设置为Administrators,默认设置

四、安全设置

4.1 账户


4.2 审核

4.3 设备

4.4交互式登录


4.5 网络访问



4.6 网络安全

4.7 用户账户控制


4.8 防火墙配置



五、高级审核策略设置

5.1 账户登录

5.2 账户管理


5.3 对象访问

5.4 策略更改

5.5 特权使用

5.6 系统

相关推荐
liuxin334455662 小时前
学籍管理系统:实现教育管理现代化
java·开发语言·前端·数据库·安全
小奥超人3 小时前
Excel粘贴复制不完整的原因以及解决方法
windows·经验分享·microsoft·excel·办公技巧
weixin_442643425 小时前
FileLink为企业打造了一站式的跨网安全文件共享解决方案
安全·filelink内外网文件交换
一只栖枝6 小时前
Security知识点分享之高级安全安装虚拟机
安全·安全架构
cnsinda_sdc6 小时前
信创数据防泄漏中信创沙箱是什么样的安全方案
运维·网络·安全·源代码管理·源代码防泄密·源代码加密
黑客Ela6 小时前
【网络安全设备系列】7、流量监控设备
安全·web安全
PittDing7 小时前
【更新】Docker新手入门教程2:在Windows系统通过compose创建多个mysql镜像并配置应用
windows·mysql·docker
hao_wujing8 小时前
网络安全等级自我评价
安全·web安全
ly21st8 小时前
elasticsearch安全认证
安全·elasticsearch
cdprinter9 小时前
涉密行业跨网数据摆渡,光盘审计刻录输出,生产音视频刻录,电子档案长期保存应用
安全·自动化·音视频