Windows-安全加固安全基線

01、開啟密碼復雜度

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將密碼必須符合復雜性要求配置為：已啟用

系統(tǒng)密碼復雜性說明：

不能包含用戶的賬戶名，不能包含用戶姓名中超過兩個連續(xù)字符的部分

至少有六個字符長

包含以下四類字符中的三類字符:

英文大寫字母(A 到 Z)

英文小寫字母(a 到 z)

10 個基本數字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或創(chuàng)建密碼時執(zhí)行復雜性要求。

02、密碼長度最小值

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將密碼長度最小值配置為：8個字符

03、密碼最短使用天數

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將密碼最短使用期限為：1天

04、密碼最長使用期限

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將密碼最長使用期限配置為：90天

05、強制密碼歷史

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將強制密碼歷史配置為：5個記住的密碼

06、禁用可還原加密

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶策略-密碼策略：將用可還原的加密來存儲密碼配置為：已禁用

07、賬戶鎖定策略

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->賬戶鎖定策略：將賬戶鎖定時間配置為：30分鐘，將賬戶鎖定閾值設置為：5次無效登錄，將重置賬戶鎖定計數器配置為：5分鐘之后

08、屏幕保護策略

Server2012以下系統(tǒng)，運行“control /name Microsoft.Display”選擇更改屏幕保護程序：勾選“在恢復時顯示登錄屏幕”并配置等待3分鐘。

Server2016-右鍵選擇個性化->鎖屏界面->屏幕保護程序設置-勾選“在恢復時顯示登錄屏幕”并配置等待3分鐘。

09、是否存在多余管理員賬號

服務器管理-工具-計算機管理-本地用戶和組-組-administrators中查看是否存在多余用戶

10、是否存在隱藏賬號

服務器管理-工具-計算機管理-本地用戶和組-用戶-查看是否存在后綴帶$的用戶（用 net user 是看不出來隱藏用戶的）

11、停用Guest用戶

服務器管理-工具-計算機管理-本地用戶和組-用戶-查看并禁用Guest用戶

12、修改默認管理員名稱

使用默認用戶容易遭到爆破，更改默認管理員名稱增加爆破難度

13、不允許匿名枚舉SAM賬號與共享的匿名枚舉；

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->本地策略->安全選項，將“網絡訪問：不允許SAM賬戶和共享的匿名枚舉”配置為：已啟用

14、禁用自動播放功能

運行“gpedit.msc”在計算機配置->管理模板->Windows組件->自動播放策略->啟用“關閉自動播放

15、默認共享和高危端口

刪除默認磁盤共享C 、 I P C 、IPC 、IPC、admin$,配置防火墻入站規(guī)則阻止危險端口135、139、445訪問

16、禁用Everyone用于匿名用戶

運行“gpedit.msc”在本地計算機策略計算機配置Windows設置安全設置本地策略安全選項網絡訪問: 將 Everyone 權限應用于匿名用戶`策略配置為：已禁用

17、防病毒軟件安裝

檢查是否安裝有殺毒軟件（火絨、360等）

檢查病毒庫版本

18、日志存放模式設置

事件查看器-Windows日志，安全日志、應用日志、系統(tǒng)日志三個類型，選擇屬性，選擇-日志滿時將其存檔，不覆蓋事件

19、配置審核策略

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->本地策略->審核策略：將開啟如下策略：

審核策略更改:成功，失敗

審核登錄事件:成功，失敗

審核對象訪問:成功，失敗

審核進程跟蹤:成功，失敗

審核特權使用:成功，失敗

審核系統(tǒng)事件:成功，失敗

審核賬戶登錄事件:成功，失敗

審核帳戶管理:成功，失敗

20、不顯示上次登錄名

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->本地策略->安全選項，啟用“不顯示上次登錄用戶名”選項

21、關機前清除虛擬內存頁面

運行“gpedit.msc”在計算機配置->Windows設置->安全設置->本地策略->安全選項，啟用“關機清除虛擬內存頁面文件”

22、關閉不需要的系統(tǒng)服務

關閉多余服務，如Print spooler、藍牙相關、Fax及其他未提供業(yè)務使用的服務（關閉前請確認服務是否在使用）

23、開啟防火墻

檢查防火墻狀態(tài)是否開啟（需確認業(yè)務端口開放情況，先放開了端口，再開啟）

24、操作系統(tǒng)補丁更新

及時更新微軟推送的系統(tǒng)補丁，每月更新、專項漏洞修復更新

25、修改默認的RDP端口

[HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp]

重啟Remote Desktop Services 服務

26、禁用多余的任務計劃程序

關閉多余的計劃任務，記錄異常的任務計劃程序，打開“運行” taskschd.msc進行查看

最后

從時代發(fā)展的角度看，網絡安全的知識是學不完的，而且以后要學的會更多，同學們要擺正心態(tài)，既然選擇入門網絡安全，就不能僅僅只是入門程度而已，能力越強機會才越多。

原文鏈接：https://blog.csdn.net/heike_Ch/article/details/141644027