Windows系統安全加固

掌握的加固點：

用戶系統檢查
口令策略檢查
日志審計檢查
安全選項檢查
信息保護檢查

2.2.1 用戶系統檢查

#檢查系統版本內核

判斷依據：無
檢查方式：命令 msinfo32 dxdiag查看

#檢查Administrator賬號是否停用

判斷依據：禁用則合理，未禁用則危險
知識預熱：此安全設置確定是啟用還是禁用本地管理員賬戶。禁用的時候需要注意，要用另一個管理員身份賬戶進行設置，用Administration來自己禁用自己是無效操作。因為這是一個系統默認本地管理員賬戶，所以為了防止攻擊者進行爆破攻擊必須禁用掉
檢查方式：
- 組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-賬戶：“管理員賬戶狀態” 禁用即可
- 本地用戶和組-用戶-Administration賬戶禁用
加固方式：禁用管理員賬戶

#檢查Administration賬號是否重命名

判斷依據：重命名后則符合
知識預熱：如果重命名Administration賬號，那么管理員賬號被爆破的概率就會很小
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-賬戶-重命名系統管理員賬戶
加固方式：重命名管理員賬戶

#檢查Guest賬戶是否停用

判斷依據：停用則符合
知識預熱：此安全設置確定是否啟用還是禁用來并賬戶，默認禁用
檢查方式：
- 組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-賬戶-來賓賬戶狀態
- 本地用戶和組-用戶-Guest賬戶禁用
加固方式：停用Guest賬戶

#檢查Guest賬戶是否重命名

判斷依據：重命名則符合
知識預熱：
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-賬戶-重命名來賓賬戶
加固方式：重命名Guest賬戶

#檢查關閉及系統權限是否僅有Administration組

判斷依據：僅匹配Administration組則符合
知識預熱：此安全設置可以確定哪些本地登錄到計算機的用戶可以進行關機命令來關閉操作系統，誤用此用戶權限可能造成拒絕服務攻擊。
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-用戶權限分配：關閉系統
加固方式：僅設置未Administration組
明確了只有Administration組內的用戶才有權限來關機

#檢查“取得文件或其他對象的所有權限”是否僅Administration組

判斷依據：進匹配Administration組則符合
知識預熱：此安全設置可以確定哪些用戶可以取得系統中任何安全對象（包括AD域，文件文件夾、打印機、注冊表、進行以及線程）所有權
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-用戶權限分配：取得文件或其他對象的所有權限
加固方式：僅設置為Administration組

#檢查“從網絡訪問此計算機”的賬戶是否有單獨指定

判斷依據：單獨指定則符合
知識預熱：此用戶權限確定允許哪些用戶和組可以通過網絡連接到該計算機。

此用戶權限不影響3389遠程桌面服務！
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-用戶權限分配：從網絡訪問此計算機
加固方式：單獨指定賬戶

2.2.2 口令策略檢查

#檢查是否設置密碼最小長度

判斷依據：最小長度為8符合
知識預熱：此安全設置確定用戶賬戶密碼包含最少字符。
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：密碼長度最小值
加固方式：設置最小長度為8

#檢查密碼是否符合復雜性要求

判斷依據：啟用則符合
知識預熱：啟用此策略，密碼必須符合下列最低要求
1. 不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續字符部分
2. 至少有6位長
3. 包含以下四類字符中的三個字符
  - 英文大寫字母
  - 英文小寫字母
  - 個基本數字
  - 非字母字符
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：密碼必須符合復雜性要求
加固方式：啟用密碼復雜性要求

#檢查是否啟用密碼最短使用期限
- 判斷依據：最短使用期限為0則符合
- 知識預熱：
  - 此安全設置確定用戶在更改密碼后，必須使用該密碼一段時間。0-998天，當為0天時則表示修改完新密碼后可以繼續再修改新密碼，例如：設置為1，用戶更改新密碼后，新密碼必須使用一天后才能再次修改
  - 密碼最短使用期限必須小于密碼最長使用期限
- 檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：密碼最短使用期限
- 加固方式：設置為0即可

#檢查是否啟用密碼最長使用期限

判斷依據：默認90天則符合
知識預熱：設置密碼最長使用期限，來保證用戶在規定時間內更換密碼防止黑客通過暴力破解增加爆破成本
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：密碼最長使用期限
加固方式：設置為90天即可

#檢查是否啟用強制密碼歷史

判斷依據：設置值大于等于5則符合
知識預熱：密碼重復使用是風險極大的問題。
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：強制密碼歷史
加固方式：記住密碼的個數為5
它會記住你之前的5個密碼，如果設置的新密碼在這5個密碼之中那就不準設置

#檢查是否啟用賬戶鎖定閾值

判斷依據：默認為0則不符合
知識預熱：此安全設置確定導致用戶賬戶被鎖定登錄嘗試失敗的次數。

在管理員重置鎖定賬戶或者賬戶鎖定期間滿之前，無法使用該賬戶
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：賬戶鎖定閾值
加固方式：設置賬戶鎖定閾值

#檢查是否啟用賬戶鎖定時間

判斷依據：大于等于30分鐘則符合
知識預熱：此安全設置確定鎖定賬戶在自動解鎖之前保持鎖定的分鐘數，如果設置為0則表示用戶會一直被鎖定，直到管理員手動解除。該操作與上面閾值操作相互結合
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略
加固方式：設置鎖定時間大于等于30分鐘

#檢查是否啟用重置賬戶計數器

判斷依據：大于等于30分鐘則符合
知識預熱：在某次登錄嘗試失敗之后將登錄嘗試失敗計數器置為0次錯誤登錄嘗試之前需要的時間。
檢查方式：組策略-計算機配置-Windows設置-安全設置-密碼策略：重置賬戶計數器
加固方式：大于等于30分鐘

2.2.3 日志審計檢查

#檢查是否設置系統日志存儲最大大小

判斷依據：設置存儲大小20MB符合
知識預熱：
檢查方式：計算機-右鍵管理-事件查看器-日志屬性
加固方式：設置日志存儲大小為20MB

#檢查相應安全設計策略是否開啟

判斷依據：對應的安全策略都開啟則符合
知識預熱：通過本地策略組打開審核策略，則可記錄用戶大部分在操作系統上的操作
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-審核策略
加固方式：打開以下策略記錄成功和失敗動作
1. 審核策略更改
2. 審核登錄事件
3. 審核對象訪問
4. 審核目錄服務訪問
5. 審核特權使用
6. 審核系統事件
7. 審核賬戶登錄事件
8. 審核賬戶管理

2.2.4 安全選項檢查

檢查Microsoft網絡服務登錄超時是否被設置

判斷：啟用則符合
知識：啟用確定在連接本地計算機的用戶超出有效登錄時間后會斷開此連接，會影響SMB組件
檢查：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-Microsoft網絡服務器：登錄時間過期后斷開與客戶端連接
加固：啟用即可

#檢查是否啟用密碼過期之前提示修改密碼策略

判斷依據：提前5天合適
知識預熱：確定提前多少時間來提示用戶密碼過期警告
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-交互式登錄：提示用戶過期之前修改密碼
加固方式：提前5天即可

#檢查是否啟用顯示最后登陸的用戶名策略

判斷依據：禁用則不符合
知識預熱：該設置去頂是否在Windows登錄屏幕中顯示最后登錄到計算機的用戶的名稱
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-交互式登錄：不顯示最后的用戶名
加固方式：啟用 “不顯示最后的用戶名” 即可

#檢查是否啟用本地賬戶的共享和安全模型

判斷依據：默認啟用則符合
知識預熱：
- a.此安全設置確定如何對使用本地帳戶的網絡登錄進行身份驗證。如果將此設置設為“經典"使用本地帳戶憑據的網絡登錄通過這些憑據進行身份驗證。“經典”模型能夠對資源的訪問權限進行精細的控制。通過使用“經典”模型，你可以針對同一個資源為不同用戶授予不同類型的訪問權限。
- b.如果將此設置設為“僅來賓”使用本地帳戶的網絡登錄會自動映射到來賓帳戶。使用“僅來賓”模型，所有用戶都可得到平等對待。所有用戶都以來賓身份進行驗證，并且都獲得相同的訪問權限級別來訪問指定的資源，這些權限可以為只讀或修改。
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-網絡訪問：本地賬戶的共享和安全模型
加固方式：啟用經典策略

#檢查是否允許SAM用戶匿名枚舉

判斷依據：不允許則符合
知識預熱：Windows允許匿名用戶執行某些枚舉用戶的操作
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-網絡訪問：不允許SAM賬戶的匿名枚舉
加固方式：啟用不允許SAM賬戶的匿名枚舉策略

#檢查是否允許空密碼登錄

判斷依據：不允許則符合
知識預熱：啟用的話未進行密碼保護的本地賬戶將僅能通過計算機的鍵盤登錄。
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項：賬戶：使用空密碼的本地賬戶只允許進行控制臺操作
加固方式：啟用策略
如果user1賬戶沒有設置密碼假如沒有啟用 “使用空密碼的本地賬戶只允許進行控制臺操作” 策略的話，user1賬戶可以被遠程登錄，如果啟用的話那么user1賬戶只能通過計算機的鍵盤敲回車進行登錄

#檢查是否設置提示提升時切換到安全桌面

判斷依據：提交至安全桌面則符合
知識預熱：管理員和標準用戶的所有權限提升請求都轉移至安全桌面，安全桌面可以幫助防止輸入和輸出欺騙
檢查方式：組策略-計算機配置-Windows設置-安全設置-本地策略-安全選項-用戶賬戶控制：提升時切到安全桌面
加固方式：啟用該策略

2.2.5 信息保護檢查

#檢查是否允許內存鏡像轉儲

判斷依據：默認允許則符合
知識預熱：當系統發生崩潰時，系統會根據設置將部分或者全部內存進行鏡像轉儲，分析人員可以通過這些鏡像文件，來分析故障發生的原因
檢查方式：計算機右鍵-屬性-高級系統設置-高級-啟用和故障恢復-設置-寫入調試信息
加固方式：開啟內存鏡像轉儲則符合

#檢查是否關閉默認共享盤

判斷依據：存在非必要的則不符合
知識預熱：
檢查方式：計算機右鍵-管理-共享文件夾-共享，或者直接命令 net share
加固方式：關閉不需要共享的文件

#檢查是否禁止全部驅動器自動播放

判斷依據：禁止全部驅動器自動播放則符合
知識預熱：將介質插入驅動器，自動播放就開始從驅動器中進行讀取操作。這樣程序的安裝文件和音頻媒體上的音樂立即啟動，可能導致一些偽裝的惡意程序被執行
檢查方式：控制面板-自動播放
加固方式：禁用全部驅動器自動播放選擇不執行操作

#檢查共享文件夾中授權賬戶是否為指定賬戶

判斷依據：查看共享文件的權限是否符合
知識預熱：
檢查方式：計算機右鍵-管理-共享文件夾-共享
加固方式：不同的共享文件夾需要對不同的賬戶指定不同的權限

#檢查是否啟用了遠程注冊表功能

判斷依據：關閉則符合
知識預熱：
檢查方式：服務管理-Remote Registry
加固方式：禁用Remote Registry服務

檢查表單

檢查項		系統現狀	結果（符合或者不符合）	加固建議
用戶系統	Administration賬戶是否停用
	Administration是否重命名
	Guest賬戶是否停用
	Guest是否重命名
	關閉系統、僅Administration組
	遠程強制關機僅Administration組
	取得文件或其他對象所有權限、僅Administration組
	從網絡訪問計算機、僅指定授權賬戶
口令策略	密碼最小長度
	檢查密碼復雜度
	密碼最短使用期限
	密碼最長使用期限
	強制密碼歷史
	賬戶鎖定閾值
	賬戶鎖定時間
	重置賬戶計數器
系統日志	審核策略更改
	審核對象訪問
	審核登錄事件
	審核進程跟蹤
	審核特權使用
	審核系統事件
	審核賬戶登錄事件
	審核賬戶管理
訪問控制登錄超時安全選項	Microsoft網絡服務器登錄時間過期后斷開連接
	交互式登錄：提示用戶密碼過期之前修改
	交互式登錄：不顯示最后登錄用戶名
	網絡訪問：本地賬戶的共享和安全模型
	網絡訪問：不允許SAM賬戶的匿名枚舉
	賬戶：使用空密碼的本地賬戶只允許控制臺登錄
	提示提升時切換到安全桌面
	檢查是否關閉默認共享磁盤
信息保護	禁止全部驅動器自動播放
	檢查是否關閉遠程注冊表
	檢查共享文件夾中授權賬戶是否為指定賬戶