目录

身份鉴别

更改缺省(默认)账户

检查Guest用户是否禁用

密码复杂性要求

密码长度要求

账户口令的生存期

口令重复次数

口令认证失败次数

账号锁定时间

账号锁定计数器

口令到期提示

限制匿名用户的连接

域成员禁用更改机器账户密码

共享账户检查

本地关机

文件权限指派

授权账户登录

授权账户从网络访问

默认共享

关闭默认共享

共享文件夹授权访问

NTP服务

安全审计

用户登录日志记录

系统日志完备性检查

登录超时管理

远程登录超时配置

剩余信息保护

不显示上次的用户名

关机前清除虚拟内存页面

不启用可还原的加密来存储密码

入侵防范

数据执行保护

启用SYN攻击保护

系统信息、运行命令

身份鉴别

SAM文件

文件路径:%SystemRoot%\system32\config\sam

所有用户的登录名及口令等相关信息都会保存在这个文件中

更改缺省(默认)账户

安全基线项说明

对于管理员账号,要求更改缺省Administrator账户名称

配置方法:进入控制面板->管理工具->系统工具->本地用户和组->重命名Administrator

检查Guest用户是否禁用

安全基线项说明

禁用guest(来宾)账号

配置方法

进入控制面板->管理工具->计算机管理->系统工具->本地计算机用户和组->用户->Guest账号->属性->设置已停用

密码复杂性要求

安全基线项说明

启用密码必须符合复杂性要求

如果启用此策略,密码必须符合下列最低要求:

不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分 至少有六个字符长 包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字(0 到 9) 非字母字符(例如 !、$、#、%) 在更改或创建密码时执行复杂性要求。

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->密码策略->密码必须符合复杂性要求->属性:启用密码必须符合复杂性要求

密码长度要求

最小密码长度不能小于8位

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->密码策略->密码长度最小值:设置最小密码长度

账户口令的生存期

安全基线项说明

静态口令认证,账户口令的生存期不长于90天

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->密码策略:设置密码最长使用期限

口令重复次数

安全基线项说明

静态口令认证,不能重复使用最近5次内(建议最少5次)已使用的口令

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->密码策略:设置强制密码历史为5个密码

口令认证失败次数

安全基线项说明

静态口令认证失败次数不超过6次

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->账户锁定阈值:设置账户锁定标准为小于等于6次,设置为0将永远不会锁定账户

账号锁定时间

安全基线项说明

设置账号锁定时间不小于1分钟

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->账户锁定时间:设置账号锁定时间为大于等于1分钟,设置为0表示永远不会被锁定

账号锁定计数器

安全基线项说明

确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。

如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->账户锁定策略->重置账户锁定计数器:设置重置账号锁定计数器为标准值

口令到期提示

安全基线项说明

密码到期前2个周提示更换密码

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->安全选项->交互式登录:提示用户在过期之前更改密码

限制匿名用户的连接

安全基线项说明

检查是否限制匿名用户连接权限,防止远程枚举本地账号和共享

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->安全选项->网络访问:不允许枚举SAM账号和共享的枚举

域成员禁用更改机器账户密码

安全基线项说明

域成员禁止更改机器账号密码

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->安全选项->域成员:禁用更改机器账户密码

访问控制

共享账户检查

安全基线项说明

检查是否存在共享账号

配置方法

进入控制面板->管理工具->服务器(计算机)管理->配置->本地用户和组

远程关机授权

安全基线项说明

在本地安全审核制中从远端系统强制关机只指派给Administrator组

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配:从远程系统强制关机->设置为“只指派给Administrator组”

本地关机

安全基线项说明

在本地安全设置中关闭系统仅指派给Administrator组

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->关闭系统

Windows文件权限特性

权限的有限顺序:

每种权限都有允许和拒绝两种设置方法

权限的来源有直接设置和继承两种

如果权限的设置出现矛盾,系统按下面的优先顺序确定权限:

直接设置的拒绝->直接设置的允许->继承的拒绝->继承的允许

移动、复制对权限继承性的影响:

1.在同一分区内移动文件或文件夹,权限保持不变。在同一分区间移动文件或文件夹,权限继承新位置的权限

2.复制文件或文件夹,权限会继承新位置的权限

3.把文件或文件夹移动或复制到FAT分区时权限会丢失

文件权限指派

安全基线项说明

在本地安全设置中取得文件或其它对象的所有权指仅派给Administrator组

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->取得文件或其它对象的所有权

授权账户登录

安全基线项说明

在本地安全设置中配置指定授权用户允许本地登录此计算机

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->允许本地登录

授权账户从网络访问

安全基线项说明

在组策略中只允许授权账号从网路访问(包括网络共享等,但不包括终端服务)此计算机

配置方法

进入控制面板->管理工具->本地安全策略->本地策略->用户权限分配->从网络访问此计算机

共享与CMD命令

net share:功能:文件或目录共享相关设置

默认共享

关闭默认共享

安全基线项说明

非域环境中,关闭Windows硬盘默认共享,例如C$,D$

配置方法

进入“开始”->运行->"regedit",进入注册表编辑器,查看在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\下,增加REG_DWORD类型的AuToSHareServer键,值为0

共享文件夹授权访问

安全基线项说明

查看每个共享文件夹的共享权限,只允许授权的账户拥有权限共享此文件夹

配置方法

进入控制面板->管理工具->计算机管理->系统工具->共享文件夹:查看每个共享文件夹的共享权限,直降权限授予指定账户

NTP服务

NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。时间按NTP服务器的等级传播。按照离外部UTC源的远近把所有服务器归入不同的Stratum(层)中。

安全基线项说明

Windows Time服务设为已启动

配置方法

控制面板->管理工具->服务->开启时间服务

安全审计

用户登录日志记录

安全基线项说明

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的ip地址

配置方法

进入控制面板->管理工具->本地安全策略->审核策->审核登录事件:查看是否设置为成功和失败都审核

系统日志完备性检查

注意:审核是一种很占计算机资源的操作,尤其是审核的对象很多时,可能会降低系统性能;保存审核日志是需要硬盘空间的,如果审核的对象非常多而对象的变动也很频繁的话,短时间内肯会占用大量的硬盘资源;因此日志需要经常查看和清理

配置方法

进入控制面板->管理工具->本地安全策略->审核策略:选择性设置成功和失败都审核的策略

资源控制

关闭不必要的服务

登录超时管理

安全基线项说明

超过规定的登录时间后强制注销用户

配置方法

进入控制面板->管理工具->本地安全策略->安全选项->网络安全:在超过登录时间后强制注销

远程登录超时配置

安全基线项说明

检查对于远程登录的账号,设置不活动断连时间

配置方法

进入控制面板->管理工具->本地安全策略->安全选项->Microsoft网络服务器:启用时间过期后断开与客户端的连接与设置暂停会话前所需的空闲时间数量

剩余信息保护

不显示上次的用户名

安全基线项说明

检查是否启用不显示上次的用户名

配置方法

进入控制面板->管理工具->本地安全策略->安全选项->启用不显示上次的用户名

关机前清除虚拟内存页面

安全基线项说明

关闭服务器前,应清除虚拟内存页面,以保护暂存在缓存中的数据

配置方法

进入控制面板->管理工具->本地安全策略->安全选项->关机:清除虚拟内存页面文件

不启用可还原的加密来存储密码

安全基线项说明

不启用可还原的加密来存储密码,防止能够获取明文密码

配置方法

进入控制面板->管理工具->本地安全策略->账户策略->密码策略->用可还原的加密来存储密码

入侵防范

修复漏洞:及时打补丁

数据执行保护

安全基线项说明

对于Windows xp sp2 及Windows 2003 Server对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护),防止在受保护内存位置运行有害代码

配置方法

控制面板->系统->高级系统设置->性能->数据执行保护

启用SYN攻击保护

安全基线项说明

启用SYN攻击保护;指定触发SYN洪水攻击保护锁必须超过的TCP连接请求数阀值为5;指定处于SYN_RCVD状态的TCP连接数的阀值为500;指定处于至少已发送一次重传的SYN_RCVD状态的TCP连接数的阀值为400

配置方法

在“开始”->“运行”->输入"regedit"查看注册表项

系统信息、运行命令

Windows安全基础-基线配置相关推荐

  1. 《虚拟化安全解决方案》一2.3 在Windows Server 2008上配置Microsoft Hyper-V

    本节书摘来自华章出版社<虚拟化安全解决方案>一书中的第2章,第2.3节,作者[美]戴夫·沙克尔福(Dave Shackleford),更多章节内容可以访问云栖社区"华章计算机&q ...

  2. ElasticSearch基础杂烩-配置-索引-优化

    2019独角兽企业重金招聘Python工程师标准>>> ElasticSearch基础杂烩-配置-索引-优化 博客分类: java 前言 ElasticSearch是一个基于Luce ...

  3. Windows Server基础架构云参考架构:硬件之上的设计

    作者 王枫 发布于2014年1月27日 综述 毫无疑问,移动互联网.社交网络.大数据和云计算已经成为IT发展的四个大的趋势.其中云计算又为前三个提供了一个理想的平台.今天不仅互联网公司,很多传统行业的 ...

  4. Git 基础 —— 安装 配置 别名 对象

    Git 基础学习系列 Git 基础 -- 安装 配置 别名 对象 Git 基础 -- 常用命令 Git 基础 -- 常见使用场景 Git基础 -- Github 的使用 Git 安装 Git下载地址 ...

  5. Linux学习之服务器搭建——基础网络配置

    这是我一周之内学习和复习的内容,做一个总结. 首先是基础网络的配置(以Centos 6.5 和Windows XP 为操作环境) windows XP 可以看做是一个测试端.这一步骤是以后服务器搭建的 ...

  6. Windows下MySql主从配置实战教程

    Windows下MySql主从配置实战教程 MySql的主从配置教程 主库MySql的安装 1.MySQL的下载 2.MySQL配置文件的编写 3.初始化数据库 4.安装服务 5.启动MySql 6. ...

  7. Linux之美—windows server基础(在windows上安装server机)

    Linux之美-windows server基础(在windows上安装server机) 特别说明:因为小壮对win上安装虚拟机了解很少,所以个人见解不到位及时通知我,谢谢.需要安装双系统,下篇具体发 ...

  8. Nginx基础应用配置小结 - 运维笔记

    Nginx基础应用配置小结 - 运维笔记 在linux系统下使用nginx作为web应用服务,用来提升网站访问速度的经验已五年多了,今天在此对nginx的使用做一简单总结. 一.nginx服务简介 N ...

  9. Windows操作系统基础

    Windows操作系统基础 系统常用命令 用户组管理 添加一个永不过期的用户,并且设置登录口令 net user [userName] [password] /add /expires:never 删 ...

  10. windows操作系统基础总结

    文章目录 引言 一.文件目录管理 二.网络配置 三.用户和群组 四.进程 五.核心文件 六.日志审核 七.登录日志 八.恶意行为跟踪 九.日志分析工具 引言 对windows下常见的dos命令进行总结 ...

最新文章

  1. Python CRC32 文件校验
  2. 如何使用TensorRT对训练好的PyTorch模型进行加速?
  3. 阿里云 mysql主从_阿里云MySQL主从_Mater Slave_主备同步_MySQL主从_MySQL延迟-云栖社区-阿里云...
  4. 用启明云端支持ESP32的GUI做了一个测温HMI交互界面
  5. 通过 Lotus Domino Java 代理消费 Web 服务
  6. unity, undo
  7. 蓝桥杯第六届国赛JAVA真题----奇怪的数列
  8. 需要显卡还是cpu_装机应该在哪个硬件上省钱, CPU还是显卡, 看完本文就知道了...
  9. p73_万维网和HTTP协议
  10. 第三方支付框架开发简要文档
  11. 用python打开文件然后写个欢迎代码
  12. 托管c++ (CLI) String^ 、 std::string 、 std::ostringstream的相互转化
  13. Postman批量提交
  14. 51单片机-定时器中断
  15. java多线程过桥问题_(java)农夫过桥问题
  16. [Swift]LeetCode38. 报数 | Count and Say
  17. FPGA | Xilinx ISE14.7 LVDS应用
  18. Java+MySQL+查询操作
  19. win11可以安装windows server2016吗
  20. Unity animiator 学习记录【2D角色移动】

热门文章

  1. ps计算机设置,不仅要懂PS 浅谈修图电脑配置(基础篇)
  2. 通达OA-医疗卫生行业系统解决方案
  3. h5制作导出html,H5制作工具Hype的导出功能详解
  4. 怎样让Windows10系统的时间显示到秒——且可手动修改系统的时间
  5. Linux mmc驱动框架(4)——卡检测及初始化
  6. 如何重新注册VMware Update Manager(VUM)至vCenter Server中
  7. java杯子换水_水壶问题(向水壶中倒z升水) Water and Jug Problem
  8. MAC下外接键盘重复键的问题解决
  9. Servlet(HttpServletResponse响应对象)
  10. java转测试_Java开发菜转测试可行?