Windows安全加固
1、账户
账户-默认账户安全
①禁用Guest账户(禁用默认账户)。
②禁用或删除其他账户(建议先禁用账户—段时间,待确认没有问题后删除)。
③设定不同的用户和用户组。例如,管理员用户、数据库用户、审计用户、来宾用户等。
说明:
1.管理员用户:能够维护正常应用进程的管理员,不是超级管理员
2.数据库用户(安全管理员):身份认证
3.审计用户(审计管理员):查看日志
4.服务器里面不能存在一个多余的账户,存在有可能会被认为是一个非法账户。
5.进程/服务,身份认证,日志---->达到三权分立的状态。分权控制有利于将权限分散管理,从而降低账户风险。
账户-定期检查本地用户和组
定期删除或锁定与设备运行、维护等与工作无关的帐户。
操作步骤:打开控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组中,删除或锁定与设备运行、维护等与工作无关的帐户。
账户-不显示最后的用户名
不显示最后的用户名也就是配置登录登出后,不显示用户名称(进行交互式登入),可以减少账户被爆破的风险。
操作步骤:打开控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项中,双击交互式登录:不显示最后的用户名,选择已启用并单击确定。
2、口令
口令-密码复杂度
密码复杂度要求必须满足以下策略:
①最短密码长度要求8个字符。
②启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种:
1、英语大写字母A,B,C,...Z
2、英语小写字母a, b, c,... z
3、西方阿拉伯数字0,1,2,...9
4、非字母数字字符,如标点符号,@,#,$,%,&,*等
操作步骤:打开控制面板-->管理工具-->本地安全策略,在帐户策略-->密码策略中,确认密码必须符合复杂性要求策略已启用。
口令-密码最长留存期
①对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。1、密码最短使用期限为1天,密码最长使用期限为90天。
②强制密码历史修改成记住五个密码。(强制密码历史就是不能与上次设置的密码相同)
操作步骤:打开控制面板-->管理工具-->本地安全策略,在帐户策略-->密码策略中,配置密码最长使用期限不大于90天。
口令-账户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次后,锁定该用户使用的帐户。
①账户锁定时间:15分钟
②账户锁定阈值:5次无效登入
③重置账户锁定计数器:15分钟(这个选项一般设置的与账户锁定时间一致)
操作步骤:打开控制面板-->管理工具-->本地安全策略,在帐户策略-->帐户锁定策略中,配置帐户锁定阈值不大于5次。
3、授权
在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作步骤:打开控制面板-->管理工具-->本地安全策略,在本地策略-->用户权限分配中,配置从网络访问此计算机权限给指定授权用户。(比如在用户权限分配-->从网络访问此计算机中,将Everyone删除;必须是特定的组才可以从网络访问此计算机)---黑白名单
说明:必须具体到某个人能否访问(设置白名单)
4、日志配置
日志配置-审核
打开控制面板-->管理工具-->本地安全策略,在本地策略-->审核策略中,其中审核九条目必须全部审核。意思就是说执行这个操作无论成功还是失败全都记录下来。
审核登录
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
操作步骤:打开控制面板-->管理工具-->本地安全策略,在本地策略-->审核策略中,设置审核登录事件。
审核策略
启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。
审核对象访问
启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
审核过程追踪
启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。
日志配置-日志文件大小
设置应用日志文件大小至少为200M(不少于200M),可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志或者日志满时其存档,不覆盖事件(A)。
操作步骤:打开控制面板-->管理工具-->事件查看器,配置应用日志、系统日志、安全日志属性中的日志挑大小,以及设置当达到最大的日志尺寸时的相应策略。
5、IP协议安全
SYN Flood (SYN洪泛)
SYN Flood (SYN洪泛)SYN洪泛是一种阻断服务攻击。起因于攻击者传送—系列的SYN请求到目标系统,占据服务器资源。
攻击者发送许多数据包,但不向服务器发送“ACK”。因此,连接断开,吞下服务器资源。由于阻止服务攻击,合法用户尝试连接到服务器但被拒绝(导致正常用户不能正常进入连接)。
SYN洪泛需要掌握TCP三次握手
IP协议安全-启用SYN攻击保护
启用SYN攻击保护。
①指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。(不能同一个地址连续发包5次)
②指定处于SYN_RCVD状态(发送状态)的TCP连接数的阈值为500。
③指定处于至少已发送一次重传的SYN_RCVD状态(重传状态)中的TCP连接数的阈值为400。
Windows Server 2008:(注册表当中的操作)
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\SynAttackProtect 推荐值:2
HKEY_LOCAL_MACHINE\SYSTEMICurrentControlSet\ServiceslTcpMaxPortsExhausted 推荐值:5
HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSetlServiceslTcpMaxHalfOpen 推荐值:500
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetlServicesTcpMaxHalfOpenRetried 推荐值:400
洪泛攻击的命令
hping3 -S -a 1.1.1.1 -s 445 --flood 192.168.126.128 -p 445
解读:通过445端口伪造出1.1.1.1(虚拟IP)的IP,去给192.168.126.128(真实IP)的445这个端口发TCP的数据包,从而达到需要攻击的目标资源占满。
洪泛攻击是争对端口的,只要将防火墙开启(445端口默认关闭,445端口是一个共享文件夹的端口),洪泛攻击效果就不明显了。
6、服务安全
服务安全-禁用TCP/IP上的NetBlOS
禁用TCP/IP上的NetBlOS协议(NetBIOS网络上的基础输入输出设备),可以关闭监听的UDP 137( netbios-ns)、UDP 138( netbios-dgm)以及TCP139( netbios-ssn)端口。还有个135端口。以上端口都为高危端口,都可能导致网络上主机发现/主机名发现/地址发现。
操作步骤:
①在计算机管理-->服务和应用程序-->服务中禁用TCP/IP NetBIOS Helper 服务。
②在网络连接属性中,双击 Internet协议版本4(TCP/I Pv4),单击高级,找到WINS下面的NetBIOS设置,将其禁用。
服务安全-禁用不必要的服务
| 服务名称 | 建议 |
|---|---|
| DHCP Client | 如果不使用动态IP地址,就禁用该服务 |
| Background lntelligent Transfer Service | 如果不启用自动更新,就禁用该服务 |
| Computer Browser | 禁用 |
| Diagnostic Policy Service | 手动 |
| Helper | 禁用。该服务用于转换IPv6 to lPv4 |
| Print Spooler | 如果不需要打印,就禁用该服务 |
| Remote Registry | 禁用。Remote Registry主要用于远程管理注册表 |
| Server | 如果不使用文件共享,就禁用该服务。禁用本服务将关闭默认共享,如ipc\(、admin\)和c$等 |
| TCP/IP NetBIOS Helper | 禁用 |
| windows Remote Management (WS-Management) | 禁用 |
| Windows Font Cache Service | 禁用 |
| WinHTTP web Proxy Auto-Discovery Service | 禁用 |
| Windows Error Reporting service | 禁用 |
7、安全选项
安全选项-启用安全选项
打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,进行如下设置:
| 安全选项 | 配置内存 |
|---|---|
| 交互式登录:试图登录的用户的消息标题 | 注意 |
| 交互或登录:试图登录的用户的消息文本 | 内部系统只能因业务需要而使用。经由管理层授权。管理层将随时监测此系统的使用。 |
| Microsoft网络服务器:对通信进行数字签名(如果客户端允许) | 启用 |
| Microsoft网络服务器:对通信进行数字签名(始终) | 启用 |
| Microsoft网络客户端:对通信进行数字签名(如果服务器允许 | 启用 |
| Mlicrosoft网络客户端:对通信进行数字签名(始终) | 启用 |
| 网络安全:基于NTLM SSP的(包括安全RPC)服务器的最小会话安全 | 要求NTLMv2会话安全要求128位加密 |
| 网络安全:基于NTLM SSP的(包括安全RPC)客户端的最小会话安全 | 要求NTLMv2会话安全要求128位加密 |
| 网络安全:LAN管理器身份着证级别 | 仅发送NTLMv2响应\拒绝LM & NTLM |
| 网络访问:不允许SAM帐户的匿名枚举 | 启用(蹴认已启用) |
| 网络访问:不免许SAM帐户和共享的匿名枚举 | 启用 |
安全选项-禁用未登录前关机
服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。
操作步骤:打开控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项中,禁用关机:允许系统在未登录前关机策略。
8、其他安全配置
防病毒管理
Windows系统需要安装防病毒软件。
操作步骤:安装企业级防病毒软件,并开启病毒库更新及实时防御功能。
限制远程登录空闲断开时间
对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。
操作步骤:打开控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项中,设置Microsoft网络服务器:暂停会话前所需的空闲时间数量属性为15分钟。
操作系统补丁
及时更新操作系统补丁
标签:登录,安全,Windows,禁用,启用,--,本地,加固,日志 From: https://www.cnblogs.com/carmi/p/17747791.html