Windows系统安全加固

掌握的加固点：

用户系统检查
口令策略检查
日志审计检查
安全选项检查
信息保护检查

2.2.1 用户系统检查

#检查系统版本内核

判断依据：无
检查方式：命令 msinfo32 dxdiag查看

#检查Administrator账号是否停用

判断依据：禁用则合理，未禁用则危险
知识预热：此安全设置确定是启用还是禁用本地管理员账户。禁用的时候需要注意，要用另一个管理员身份账户进行设置，用Administration来自己禁用自己是无效操作。因为这是一个系统默认本地管理员账户，所以为了防止攻击者进行爆破攻击必须禁用掉
检查方式：
- 组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-账户："管理员账户状态" 禁用即可
- 本地用户和组-用户-Administration账户禁用
加固方式：禁用管理员账户

#检查Administration账号是否重命名

判断依据：重命名后则符合
知识预热：如果重命名Administration账号，那么管理员账号被爆破的概率就会很小
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-账户-重命名系统管理员账户
加固方式：重命名管理员账户

#检查Guest账户是否停用

判断依据：停用则符合
知识预热：此安全设置确定是否启用还是禁用来并账户，默认禁用
检查方式：
- 组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-账户-来宾账户状态
- 本地用户和组-用户-Guest账户禁用
加固方式：停用Guest账户

#检查Guest账户是否重命名

判断依据：重命名则符合
知识预热：
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-账户-重命名来宾账户
加固方式：重命名Guest账户

#检查关闭及系统权限是否仅有Administration组

判断依据：仅匹配Administration组则符合
知识预热：此安全设置可以确定哪些本地登录到计算机的用户可以进行关机命令来关闭操作系统，误用此用户权限可能造成拒绝服务攻击。
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配：关闭系统
加固方式：仅设置未Administration组
明确了只有Administration组内的用户才有权限来关机

#检查"取得文件或其他对象的所有权限"是否仅Administration组

判断依据：进匹配Administration组则符合
知识预热：此安全设置可以确定哪些用户可以取得系统中任何安全对象（包括AD域，文件文件夹、打印机、注册表、进行以及线程）所有权
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配：取得文件或其他对象的所有权限
加固方式：仅设置为Administration组

#检查"从网络访问此计算机"的账户是否有单独指定

判断依据：单独指定则符合
知识预热：此用户权限确定允许哪些用户和组可以通过网络连接到该计算机。

此用户权限不影响3389远程桌面服务！
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-用户权限分配：从网络访问此计算机
加固方式：单独指定账户

2.2.2 口令策略检查

#检查是否设置密码最小长度

判断依据：最小长度为8符合
知识预热：此安全设置确定用户账户密码包含最少字符。
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：密码长度最小值
加固方式：设置最小长度为8

#检查密码是否符合复杂性要求

判断依据：启用则符合
知识预热：启用此策略，密码必须符合下列最低要求
1. 不能包含用户的账户名，不能包含用户姓名中超过两个连续字符部分
2. 至少有6位长
3. 包含以下四类字符中的三个字符
  - 英文大写字母
  - 英文小写字母
  - 个基本数字
  - 非字母字符
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：密码必须符合复杂性要求
加固方式：启用密码复杂性要求

#检查是否启用密码最短使用期限

判断依据：最短使用期限为0则符合
知识预热：
- 此安全设置确定用户在更改密码后，必须使用该密码一段时间。0-998天，当为0天时则表示修改完新密码后可以继续再修改新密码，例如：设置为1，用户更改新密码后，新密码必须使用一天后才能再次修改
- 密码最短使用期限必须小于密码最长使用期限
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：密码最短使用期限
加固方式：设置为0即可

#检查是否启用密码最长使用期限

判断依据：默认90天则符合
知识预热：设置密码最长使用期限，来保证用户在规定时间内更换密码防止黑客通过暴力破解增加爆破成本
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：密码最长使用期限
加固方式：设置为90天即可

#检查是否启用强制密码历史

判断依据：设置值大于等于5则符合
知识预热：密码重复使用是风险极大的问题。
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：强制密码历史
加固方式：记住密码的个数为5
它会记住你之前的5个密码，如果设置的新密码在这5个密码之中那就不准设置

#检查是否启用账户锁定阈值

判断依据：默认为0则不符合
知识预热：此安全设置确定导致用户账户被锁定登录尝试失败的次数。

在管理员重置锁定账户或者账户锁定期间满之前，无法使用该账户
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：账户锁定阈值
加固方式：设置账户锁定阈值

#检查是否启用账户锁定时间

判断依据：大于等于30分钟则符合
知识预热：此安全设置确定锁定账户在自动解锁之前保持锁定的分钟数，如果设置为0则表示用户会一直被锁定，直到管理员手动解除。该操作与上面阈值操作相互结合
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略
加固方式：设置锁定时间大于等于30分钟

#检查是否启用重置账户计数器

判断依据：大于等于30分钟则符合
知识预热：在某次登录尝试失败之后将登录尝试失败计数器置为0次错误登录尝试之前需要的时间。
检查方式：组策略-计算机配置-Windows设置-安全设置-密码策略：重置账户计数器
加固方式：大于等于30分钟

2.2.3 日志审计检查

#检查是否设置系统日志存储最大大小

判断依据：设置存储大小20MB符合
知识预热：
检查方式：计算机-右键管理-事件查看器-日志属性
加固方式：设置日志存储大小为20MB

#检查相应安全设计策略是否开启

判断依据：对应的安全策略都开启则符合
知识预热：通过本地策略组打开审核策略，则可记录用户大部分在操作系统上的操作
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-审核策略
加固方式：打开以下策略记录成功和失败动作
1. 审核策略更改
2. 审核登录事件
3. 审核对象访问
4. 审核目录服务访问
5. 审核特权使用
6. 审核系统事件
7. 审核账户登录事件
8. 审核账户管理

2.2.4 安全选项检查

检查Microsoft网络服务登录超时是否被设置

判断：启用则符合
知识：启用确定在连接本地计算机的用户超出有效登录时间后会断开此连接，会影响SMB组件
检查：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-Microsoft网络服务器：登录时间过期后断开与客户端连接
加固：启用即可

#检查是否启用密码过期之前提示修改密码策略

判断依据：提前5天合适
知识预热：确定提前多少时间来提示用户密码过期警告
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-交互式登录：提示用户过期之前修改密码
加固方式：提前5天即可

#检查是否启用显示最后登陆的用户名策略

判断依据：禁用则不符合
知识预热：该设置去顶是否在Windows登录屏幕中显示最后登录到计算机的用户的名称
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-交互式登录：不显示最后的用户名
加固方式：启用 "不显示最后的用户名" 即可

#检查是否启用本地账户的共享和安全模型

判断依据：默认启用则符合
知识预热：
- a.此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为"经典"使用本地帐户凭据的网络登录通过这些凭据进行身份验证。"经典"模型能够对资源的访问权限进行精细的控制。通过使用"经典"模型，你可以针对同一个资源为不同用户授予不同类型的访问权限。
- b.如果将此设置设为"仅来宾"使用本地帐户的网络登录会自动映射到来宾帐户。使用"仅来宾"模型，所有用户都可得到平等对待。所有用户都以来宾身份进行验证，并且都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改。
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-网络访问：本地账户的共享和安全模型
加固方式：启用经典策略

#检查是否允许SAM用户匿名枚举

判断依据：不允许则符合
知识预热：Windows允许匿名用户执行某些枚举用户的操作
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-网络访问：不允许SAM账户的匿名枚举
加固方式：启用不允许SAM账户的匿名枚举策略

#检查是否允许空密码登录

判断依据：不允许则符合
知识预热：启用的话未进行密码保护的本地账户将仅能通过计算机的键盘登录。
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项：账户：使用空密码的本地账户只允许进行控制台操作
加固方式：启用策略
如果user1账户没有设置密码假如没有启用 "使用空密码的本地账户只允许进行控制台操作" 策略的话，user1账户可以被远程登录，如果启用的话那么user1账户只能通过计算机的键盘敲回车进行登录

#检查是否设置提示提升时切换到安全桌面

判断依据：提交至安全桌面则符合
知识预热：管理员和标准用户的所有权限提升请求都转移至安全桌面，安全桌面可以帮助防止输入和输出欺骗
检查方式：组策略-计算机配置-Windows设置-安全设置-本地策略-安全选项-用户账户控制：提升时切到安全桌面
加固方式：启用该策略

2.2.5 信息保护检查

#检查是否允许内存镜像转储

判断依据：默认允许则符合
知识预热：当系统发生崩溃时，系统会根据设置将部分或者全部内存进行镜像转储，分析人员可以通过这些镜像文件，来分析故障发生的原因
检查方式：计算机右键-属性-高级系统设置-高级-启用和故障恢复-设置-写入调试信息
加固方式：开启内存镜像转储则符合

#检查是否关闭默认共享盘

判断依据：存在非必要的则不符合
知识预热：
检查方式：计算机右键-管理-共享文件夹-共享，或者直接命令 net share
加固方式：关闭不需要共享的文件

#检查是否禁止全部驱动器自动播放

判断依据：禁止全部驱动器自动播放则符合
知识预热：将介质插入驱动器，自动播放就开始从驱动器中进行读取操作。这样程序的安装文件和音频媒体上的音乐立即启动，可能导致一些伪装的恶意程序被执行
检查方式：控制面板-自动播放
加固方式：禁用全部驱动器自动播放选择不执行操作

#检查共享文件夹中授权账户是否为指定账户

判断依据：查看共享文件的权限是否符合
知识预热：
检查方式：计算机右键-管理-共享文件夹-共享
加固方式：不同的共享文件夹需要对不同的账户指定不同的权限

#检查是否启用了远程注册表功能

判断依据：关闭则符合
知识预热：
检查方式：服务管理-Remote Registry
加固方式：禁用Remote Registry服务

检查表单

|--------------|--------------------------------|------|-------------|------|
| 检查项 || 系统现状 | 结果（符合或者不符合） | 加固建议 |
| 用户系统 | Administration账户是否停用 | | | |
| 用户系统 | Administration是否重命名 | | | |
| 用户系统 | Guest账户是否停用 | | | |
| 用户系统 | Guest是否重命名 | | | |
| 用户系统 | 关闭系统、仅Administration组 | | | |
| 用户系统 | 远程强制关机仅Administration组 | | | |
| 用户系统 | 取得文件或其他对象所有权限、仅Administration组 | | | |
| 用户系统 | 从网络访问计算机、仅指定授权账户 | | | |
| 口令策略 | 密码最小长度 | | | |
| 口令策略 | 检查密码复杂度 | | | |
| 口令策略 | 密码最短使用期限 | | | |
| 口令策略 | 密码最长使用期限 | | | |
| 口令策略 | 强制密码历史 | | | |
| 口令策略 | 账户锁定阈值 | | | |
| 口令策略 | 账户锁定时间 | | | |
| 口令策略 | 重置账户计数器 | | | |
| 系统日志 | 审核策略更改 | | | |
| 系统日志 | 审核对象访问 | | | |
| 系统日志 | 审核登录事件 | | | |
| 系统日志 | 审核进程跟踪 | | | |
| 系统日志 | 审核特权使用 | | | |
| 系统日志 | 审核系统事件 | | | |
| 系统日志 | 审核账户登录事件 | | | |
| 系统日志 | 审核账户管理 | | | |
| 访问控制登录超时安全选项 | Microsoft网络服务器登录时间过期后断开连接 | | | |
| 访问控制登录超时安全选项 | 交互式登录：提示用户密码过期之前修改 | | | |
| 访问控制登录超时安全选项 | 交互式登录：不显示最后登录用户名 | | | |
| 访问控制登录超时安全选项 | 网络访问：本地账户的共享和安全模型 | | | |
| 访问控制登录超时安全选项 | 网络访问：不允许SAM账户的匿名枚举 | | | |
| 访问控制登录超时安全选项 | 账户：使用空密码的本地账户只允许控制台登录 | | | |
| 访问控制登录超时安全选项 | 提示提升时切换到安全桌面 | | | |
| 访问控制登录超时安全选项 | 检查是否关闭默认共享磁盘 | | | |
| 信息保护 | 禁止全部驱动器自动播放 | | | |
| 信息保护 | 检查是否关闭远程注册表 | | | |
| 信息保护 | 检查共享文件夹中授权账户是否为指定账户 | | | |