Windows基线检查及加固

账户

Guest用户

由于Guest账户在计算机上没有实际的账户使用人。而且Guest账户不要求使用密码，因此存在较大的安全隐患，一般情况下建议长期禁用Guest账户。
禁用方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令lusrmgr.msc回车==》本地用户和组==》用户==》Guest==》右键属性==》常规==》禁用账户

按照用户分配账户

用户账户需要按照角色进行分配，如系统管理员、日志审计员、数据库管理员等进行准确的分配，设置账户时，需要保证用户名的唯一性,和密码的复杂性要求，以及禁止一人多账号情况的存在。及时删除或禁用多余的、过期的账户。
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令lusrmgr.msc回车==》本地用户和组
根据不同的权限需要，对组和用户进行具体配置

删除与设备无关账户

管理员应及时删除与设备无关的账户，包括过期账户、多余账户，以及禁止账户共享配置方法:

Windows Server 2016 R2:
打开cmd命令窗口==》输入命令lusrmgr.msc回车==》本地用户和组==》用户
根据需求删除多余和过期的用户

口令

打开方式法1：服务器管理器==》工具==》本地安全策略==》账户策略==》密码策略

打开方式法2：打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》账户策略==》密码策略。

 

密码必须符合复杂性要求

应启用计算机的账户密码复杂行要求，密码包含字母、数字、特殊符号、且不小于8位，以防止弱口令的存在。

配置方法：

Windows Server 2016 R2 默认的密码策略是：

 

密码长度最小值

 密码最短使用期限

 

 密码最长使用期限

 

 强制密码历史

 

用户还原的加密来存储密码

为了防止明文获取密码，建议启用‘用户还原的加密来存储密码’

账户锁定策略

为了登录爆破，应该设置账户锁定策略，要求账户在登录失败多少次后进行锁定，以及锁定时间。

配置方法：

Windows Server 2016 R2：

打开方式法1：服务器管理器==》工具==》本地安全策略==》账户策略==》账户锁定策略

打开方式法2：打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》账户策略==》账户锁定策略。

根据需要设置账户锁定的阈值，和锁定时间

 

 

其他配置不一 一演示配置，下面只配置部分。

 

权限分配

从远程系统强制关机

一般情况下，为了保证业务的正常运行，应当禁止所有用户进行远程关机，或者只允许Administrators组进行远程关机。
配置方法:
Windows Server 2016 R2:

打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》用户权限分配==》从远程系统强制关机
建议只允许Administrators组成员可以进行远程关机，其他用户需要远程关机权限，可从远程系统强制关机配置项里添加对应的用户或组

 

本地关机

为了防止其他用户对系统进行误关机操作，应该将本地关机权限仅授权给Administrators组。

配置方法：

Windows Server 2016 R2：

打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》用户权限分配==》关闭系统

 

用户权力分派

将取得文件或其他对象的所有权，仅授权给Administrators组

配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》用户权限分配==》取得文件或其他对象的所有权
将“取得文件或其他对象的所有权”，授权给Administrators组

 

 

账户本地登录

设置部分用户是否具有本地登录的权限
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》用户权限分配==》允许本地登录
配置“允许本地登录”的用户或组

 

 

从网络访问此计算机

此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响远程桌
面服务.
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》用户权限分配==》从网络访问此计算机

 

日志

登录审核

此安全设置确定OS是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。
在已登录用户帐户的登录会话终止时，将生成注销事件。如果定义此策略设置，则管
理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些
事件(即既不审核成功也不审核失败)。
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》审核策略==》审核登录事件
可选择审核成功或失败的登录，建议成功、失败都审核

 

系统日志完备性审核

系统日志完备性审核，包括:审核策更改、审核系统事件、审核账户登录事件、审核
账户管理，并建议将成功和失败均审核
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》审核策略==》审核策更改、审
核系统事件、审核账户登录事件、审核账户管理
建议将以上审核项设置为成功和失败都审核。

 

 

 

交互式登录：不显示上次登录的用户名

该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的名称。
如果启用该策略，则不会在登录屏幕中显示最后成功登录的用户的名称。
如果禁用该策略，则会显示最后登录的用户的名称。
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》安全选项==》交互式登录:不
显示最后的用户名
建议配置为启用

 

 

关机：清除虚拟内存页面文件

虚拟内存支持在内存页面未使用时使用系统页面文件将其交换到磁盘。在正在运行的
系统上，此页面文件由操作系统以独占方式打开,并且受到很好的保护。但是,配置
为允许启动到其他操作系统的系统可能要确保在此系统关闭时清除系统页面文件。这
可确保可能会进入页面文件的进程内存中的敏感信息不会被设法通过直接访问页面文
件的未经授权用户使用。
配置方法:
Windows Server 2016 R2:
打开cmd命令窗口==》输入命令secpol.msc回车==》打开本地安全策略==》本地策略==》安全选项==》关机:清楚虚拟
内存页面文件
在等保剩余信息保护中要求:应确保系统内文件、目录和数据库记录等资源所在的存
储空间，被释放或重新分配给其他用户之前得到完全清楚。所以建议启用此项

 

 

共享文件夹

关闭默认共享

配置方法:
Windows Server 2016 R2:
开始==》win+R运行==》输入"regedit"==》
HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServerParameters
下新建类型为REG_ DWORD,名称为AutoShareServer, 值为0

 

 

 

 

系统层面启用SYN保护

SYN (synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间
建立正常的TCP网络连接时，客户机首先发出一个SYN消息, 服务器使用SYN+ACK
应答表示接收到了这个消息，最后客户机再以ACK消息响应。这样在客户机和服务器
之间才能建立起可靠的TCP连接，数据才可以在客户机和服务器之间传递。SYN攻击
利用TCP协议缺陷，发送了大量伪造的TCP连接请求,使得被攻击方资源耗尽,无法
及时回应或处理正常的服务请求。
配置方法:
启用SYN保护: .
开始==》win+R运行==》输入"regedit"==》
HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\services\LanmanServerlParameters
下，增加SynAttackProtect,推荐值为2
设定出发SYN攻击保护必须超过的TCP连接请求阈值
HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下，增加TcpMaxPortsExhausted推荐值为5
设定处于TCP_ RCVE状态的TCP连接数阈值
HKEY_ LOCAL_ _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下，增加TcpMaxHalfOpen推荐值为500
设定处于至少已发送一次重传的SYN_ RCVD状态中的TCP连接数的阈值
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下，增加TcpMaxHalfOpenRetried推荐值为400

服务安全
DRP端口修改

如果服务器RDP服务需要暴露在公网上,为了减少攻击，可以修改RDP的默认端口
在注册表:
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp中,将PortNumber值修改为所希望的端口

关闭UDP 500、UDP 4500端口

UDP500和UDP4500是基于IKE认证的VPN服务，如果服务器无需这个服务,建议关
闭
服务名: IKE and AuthIP IPSec Keying Modules

 

 启动项管理

检查系统启动时加载的服务列表，删除不必要的启动项
配置方法:
开始==》win+R运行==》MSconfig
进入系统配置后，在服务和启动中禁止无需开机启动的服务

 

Microsoft网络服务器:暂停会话前所需的空闲时间量
该安全设置确定因处于非活动状态而暂停会话之前服务器消息块(SMB)会话必须经过
的连续空闲时间量。
管理员可以使用该策略控制计算机何时暂停非活动的SMB会话。如果客户端恢复活
动状态，则会自动重新建立会话。
配置方法:
Windows Server 2016 R2:
开始==》控制面板==》管理工具==》本地安全策略==》本地策略==》安全选项==》Microsoft 网络
服务器:暂停会话前所需的空闲时间量
建议启动，并将其设置为15分钟