文章目录
- 一、Windows安全配置简介
- 二、账户策略
-
- [2.1 密码策略](#2.1 密码策略)
- [2.2 账户锁定策略](#2.2 账户锁定策略)
- 三、本地策略
-
- [3.1 用户权限分配](#3.1 用户权限分配)
- 四、安全设置
-
- [4.1 账户](#4.1 账户)
- [4.2 审核](#4.2 审核)
- [4.3 设备](#4.3 设备)
- 4.4交互式登录
- [4.5 网络访问](#4.5 网络访问)
- [4.6 网络安全](#4.6 网络安全)
- [4.7 用户账户控制](#4.7 用户账户控制)
- [4.8 防火墙配置](#4.8 防火墙配置)
- 五、高级审核策略设置
-
- [5.1 账户登录](#5.1 账户登录)
- [5.2 账户管理](#5.2 账户管理)
- [5.3 对象访问](#5.3 对象访问)
- [5.4 策略更改](#5.4 策略更改)
- [5.5 特权使用](#5.5 特权使用)
- [5.6 系统](#5.6 系统)
一、Windows安全配置简介
通常在Windows安全配置中有两类对象:
- 一类是Windows Server,如Win server 2012、Win server 2016等;
- 一类是Windows Client,如Win7、Win8、win10等。
在windows安全配置中,对windows client的安全配置,可以借助微软的活动目录来实现自动化;而对windows server 通常为保证服务器稳定运行,倾向于手动配置。
这里以windows server 2012 r2为例,进行加固讲解。
通常,我们使用组策略对windows进行安全配置。组策略中的安全配置与注册表是可以对应的,但注册表可读性较差,而组策略有详细的说明,故通常使用组策略。
在windows客户端系统中,HOME版本是没有组策略功能的。
打开组策略的方法:
windows不论什么版本,进行安全配置会包含以下常用维度:
- 账户策略
- 密码策略
- 账户锁定策略
- 本地策略
- 审计策略
- 用户权限策略
- 安全选项
- 防火墙策略
- 域配置文件
- 私有网络配置文件
- 高级审计策略
- 账户登录
- 账户管理
- 详细跟踪
- 登录/注销
- 对象访问
- 策略更改
二、账户策略
2.1 密码策略
- 强制密码历史,建议设置为24个
- 密码最长使用期限,建议设置60天
- 密码最短使用期限,建议设置1天或更多
- 密码长度最小值,建议设置为14
- 密码必须符合复杂性要求,建议设置为启用
- 用可还原的加密码来存储密码,建议设置为禁用
密码最短使用期限:表示用户更改密码后,多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。
2.2 账户锁定策略
- 账户锁定阈值,建议设置为10次或更少
- 账户锁定时间,建议设置为15分钟或更多
- 重置账户锁定计数器,建议设置为15分钟或更多
三、本地策略
3.1 用户权限分配
- 作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空
- 从网络访问此计算机,建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS(域控设置)
- 以操作系统方式执行,建议设置为空,默认为空
- 将工作站添加到域,建议设置为Administrators
- 为进程调整内存配额,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE
- 允许本地登录,建议设置为Administrators
- 允许通过远程桌面服务登录,建议设置为Administrators,Remote Desktop Users(客户端设置)
- 备份文件和目录,建议设置为Administrators
- 更改系统时间,建议设置为Administrators,LOCAL SERVICE
- 更改时区,建议设置为Administrators,LOCAL SERVICE
- 创建页面文件,建议设置为Administrators
- 创建一个信息对象,建议设置为空
- 创建全局对象,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
- 创建永久共享对象,建议设置为空
- 创建符号链接,建议设置为Administrators
- 调试程序,建议设置为Administrators
- 拒绝从网络访问这台计算机,建议设置为Guests,本地的administrators中的其它用
户或组。 - 拒绝作为批处理作业登录,建议设置为Guest
- 拒绝以服务身份登录,建议设置为Guest
- 拒绝本地登录,建议设置为Guest
- 拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户
- 信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators
- 从远程系统强制关机,建议设置为Administrators
- 生成安全审核,建议设置为LOCAL SERVICE,NETWORK SERVICE
- 身份验证后模拟客户端,建议设置为Administrators,LOCAL SERVICE,NETWORK SERVICE,SERVICE
- 提高计划优先级,建议设置为Administrators
- 加载和卸载设备驱动程序,建议设置为Administrators
- 锁定内存页,建议设置为空
- 管理审核和安全日志,建议设置为Administrators,默认符合
- 修改固件环境值,建议设置为Administrators,默认符合
- 执行卷维护任务,建议设置为Administrators,默认符合
- 配置文件单一进程,建议设置为Administrators,默认符合
- 还原文件和目录,建议设置为Administrators
- 关闭系统,建议设置为Administrators
- 取得文件或其他对象所有权,建议设置为Administrators,默认设置
四、安全设置
4.1 账户
4.2 审核
4.3 设备
4.4交互式登录
4.5 网络访问
4.6 网络安全
4.7 用户账户控制
4.8 防火墙配置
五、高级审核策略设置
5.1 账户登录
5.2 账户管理
5.3 对象访问
5.4 策略更改
5.5 特权使用
5.6 系统
