| 【精选】Windows 10 21H2 安全加固指南(持续更新) | 您所在的位置:网站首页 › 远程系统强制关机由管理员执行 › 【精选】Windows 10 21H2 安全加固指南(持续更新) |
【精选】Windows 10 21H2 安全加固指南(持续更新)
|
Windows 10 21H2 安全加固
以下代码请都用CMD命令行运行 查看系统版本命令 查看SP版本 wmic os get ServicePackMajorVersion
查看Hotfix wmic qfe get hotfixid,InstalledOn
查看主机名 hostname
查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat -ano 二、补丁管理及时更新补丁这事,这不用说了 三、账号口令 1.删除系统无用账号,降低风险检查方法 开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定 2.系统密码策略 (不重要也不用改,这个基本用PIN码)检查方法 开始->运行->secpol.msc (本地安全策略)->安全设置 加固方法 1,账户设置->密码策略 密码必须符合复杂性要求:启用 密码长度最小值:8个字符 密码最长存留期:90天 密码最短存留期:0天 强制密码历史:1个记住密码 2,账户设置->账户锁定策略 复位帐户锁定计数器:30分钟 帐户锁定时间:30分钟 帐户锁定阀值:5次无效登录 3,本地策略->安全选项 交互式登录:不显示上次的用户名:启用 备注 密码策略为:密码至少包含以下四种类别的字符中的2种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 四、授权 1.远程关机检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 查看“从远程系统强制关机”设置是否为只指派给“Administrtors组” 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 设置“从远程系统强制关机”为只指派给“Administrtors组” 2. 本地关机检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 查看“关闭系统”设置是否为只指派给“Administrtors组” 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 设置“关闭系统”为只指派给“Administrtors组” 3.用户权限分配操作目的: 只允许管理员组拥有取得文件或其它对象所有权的权限,降低风险 检查方法: 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 查看“取得文件或其它对象的所有权”设置是否为只指派给“Administrtors组” 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 设置“取得文件或其它对象的所有权”为只指派给“Administrtors组” 3.1授权登录帐户操作目的 允许授权的账号本地登录系统,降低风险 检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 查看“允许在本地登录”是否为授权的账号 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 设置“允许在本地登录”的账户都为授权账户 3.2授权帐户远程访问操作目的 允许授权账号从网络登录系统,降低风险 检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 查看“从网络访问此计算机” 是否为授权的账号 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权限分配”: 设置“从网络访问此计算机” 的账户都为授权账户 五、 系统安全设置 1.屏幕保护操作目的 设置屏保,使本地攻击者无法直接恢复桌面控制 检查方法 进入“控制面板->显示->屏幕保护程序”: 查看是否启用屏幕保护程序,设置等待时间为“10分钟”,是否启用“在恢复时使用密码保护” 加固方法 进入“控制面板->显示->屏幕保护程序”: 启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护” 2.远程连接挂起操作目的 设置远程连接挂起时间,使远程攻击者无法直接恢复桌面控制 检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: 查看“Microsoft网络服务器:在挂起会话之前所需的空闲时间”是否设置为15分钟 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: “Microsoft网络服务器: 在挂起会话之前所需的空闲时间” 设置为15分钟 3.禁止系统自动登录操作目的 系统休眠后重新激活,需要密码才能使用系统 检查方法 进入“开始->运行->control userpasswords2”: 查看是否启用“要是用本机,用户必须输入用户名和密码”选项 加固方法 进入“开始->运行->control userpasswords2”: 启用“要是用本机,用户必须输入用户名和密码”的选项 回退方法 进入“开始->运行->control userpasswords2”: 取消“要是用本机,用户必须输入用户名和密码”的选项 4. 隐藏最后登录名操作目的 注销后再次登录,不显示上次登录的用户名 检查方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项” 查看“交互式登录:不显示上次登录的用户名”是否设置为“已启用” 加固方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”查看“交互式登录:不显示上次登录的用户名”设置为“已启用” 回退方法 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”查看“交互式登录:不显示上次登录的用户名” 设置为“已禁用” 5. 关闭Windows自动播放功能操作目的 注销后再次登录,不显示上次登录的用户名 检查方法 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看是否设置“已启用” 加固方法 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”并设置“已启用” 回退方法 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”并设置“未配置” 六、网络服务 1.优化服务操作目的 关闭不需要的服务,减小风险 检查方法 开始->运行->services.msc 加固方法 建议将以下服务停止,并将启动方式修改为手动: Automatic Updates(自动更新不使用自动更新可以关闭) Background Intelligent Transfer Service(这是一个网络底层服务 用做传输处理。举例来说windows update 会调用这个服务来判断你现在的网络是否出于空闲状态 然后限制网速进行下载 。所以这服务是判断你的电脑是否是空闲的。) DHCP Client(DHCP客户端服务) MessagingService(支持短信及相关功能的服务) Remote Registry(使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动) Print Spooler Server(不使用文件共享可以关闭) Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule TCP/IP NetBIOS Helper 回退方法 回退到加固前的状态 备注 其他不需要的服务也应该关闭,防止未知漏洞 2.关闭共享操作目的 关闭默认共享 检查方法 开始->运行->cmd.exe->net share,查看共享 加固方法 关闭C , D ,D ,D等默认共享 开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters ,新建AutoShareServer(REG_DWORD),键值为0 回退方法 开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters,删除AutoShareServer(REG_DWORD) 3.网络访问限制操作目的 网络访问限制 检查方法 开始->运行->secpol.msc ->安全设置->本地策略->安全选项 加固方法 网络访问: 不允许 SAM 帐户的匿名枚举:已启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用 网络访问: 将 “每个人”权限应用于匿名用户:已禁用 帐户: 使用空白密码的本地帐户只允许进行控制台登录:已启用 回退方法 回退到加固前的状态 备注 gpupdate /force立即生效 七、文件系统 1.检查Everyone权限操作目的 增强Everyone权限 检查方法 查看每个系统驱动器根目录是否设置为Everyone有所有权限 加固方法 删除Everyone的权限或者取消Everyone的写权限 回退方法 回退到加固前的状态 2.限制命令权限操作目的 限制部分命令的权限 检查方法 使用cacls命令或资源管理器查看以下文件权限 加固方法 建议对以下命令做限制,只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe 回退方法 回退到加固前的状态 备注 可能会影响业务系统正常运行 八、日志审计 1.日志记录操作目的 增大日志量大小,避免由于日志文件容量过小导致日志记录不全 检查方法 开始->运行->eventvwr.msc ->查看“应用程序”“安全性”“系统”的属性 加固方法 建议设置: 日志上限大小:10240 KB 达到日志上限大小时:改写久于180天的事件 2.增强审计操作目的 对系统事件进行记录,在日后出现故障时用于排查审计 检查方法 开始->运行->secpol.msc ->安全设置->本地策略->审核策略 加固方法 建议设置: 审核策略更改:成功,失败 审核对象访问:成功,失败 审核系统事件:成功,失败 审核帐户登录事件:成功,失败 审核帐户管理:成功,失败 审核登录事件:成功,失败 审核过程跟踪:成功,失败 审核目录服务访问:成功,失败 审核特权使用:成功,失败 备注 gpupdate /force立即生效 |
【本文地址】