- 系统信息
| 查看系统版本 | ver |
| 查看SP版本 | wmic os get ServicePackMajorVersion |
| 查看Hotfix | wmic qfe get hotfixid,InstalledOn |
| 查看主机名 | hostname |
| 查看网络配置 | ipconfig /all |
| 查看路由表 | route print |
| 查看开放端口 | netstat -ano |
- 补丁管理
2.1补丁安装
- 账号口令
操作目的
安装系统补丁,修补漏洞
检查方法
使用极光远程扫描漏洞,或安装微软安全基准分析器Microsoft Baseline Security Analyzer扫描漏洞
加固方法
内网主机手动安装补丁或在内网搭建WSUS服务器,外网主机设置自动更新从微软官方网站下载补丁安装
回退方案
打补丁前做好业务或系统备份,回退时恢复备份。
如果是手工安装补丁,在安装前测试补丁是否影响业务,回退时在“添加删除程序”中删除相关补丁
是否实施
备注
补丁安装后可能影响业务系统的稳定性
3.1优化账号
| 操作目的 | 减少系统无用账号,降低风险 |
| 检查方法 | 开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定 |
| 加固方法 | 使用“net user 用户名 /del”命令删除账号 使用“net user 用户名 /active:no”命令锁定账号 |
| 回退方法 | 使用“net user 用户名 密码 /add”命令添加账号 使用“net user 用户名 /active:yes”命令激活账号 |
|
是否实施 |
1
Guest账号已锁定
3.2口令策略
| 操作目的 | 增强口令的复杂度及锁定策略等,降低被暴力破解的可能性 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置 |
| 加固方法 | 1,账户设置->密码策略 密码必须符合复杂性要求:启用 密码长度最小值:8个字符 密码最短使用期限:0天 密码最长使用期限:90天 强制密码历史:5个记住密码 用可还原的加密来存储密码:已禁用 2,账户设置->账户锁定策略 重置帐户锁定计数器:30分钟 帐户锁定时间:30分钟 帐户锁定阀值:5次无效登录 3,本地策略->安全选项 交互式登录:不显示最后的用户名:启用 gpupdate /force立即生效 |
| 回退方法 | 回退到加固前的状态。 gpupdate /force 立即生效 |
| 是否实施 | |
| 备注 | 密码策略为:密码至少包含以下四种类别的字符中的2种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 |
- 授权
4.1远程关机
| 操作目的 | 只允许管理员组远程关机,降低风险 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 查看“从远程系统强制关机”设置是否为只指派给“Administrtors组” |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 设置“从远程系统强制关机”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
4.2本地关机
| 操作目的 | 只允许管理员组本地关机,降低风险 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 查看“关闭系统”设置是否为只指派给“Administrtors组” |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 设置“关闭系统”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
4.3用户权限分配
| 操作目的 | 只允许管理员组拥有取得文件或其它对象所有权的权限,降低风险 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 查看“取得文件或其它对象的所有权”设置是否为只指派给“Administrtors组” |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 设置“取得文件或其它对象的所有权”为只指派给“Administrtors组” |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
4.4授权账户登录
| 操作目的 | 允许授权的账号本地登录系统,降低风险 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 查看“允许本地登录”是否为授权的账号 |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 设置“允许本地登录”的账户都为授权账户 |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
4.5授权账户从网络访问
| 操作目的 | 允许授权账号从网络登录系统,降低风险 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 查看“从网络访问此计算机” 是否为授权的账号 |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->用户权限分配”: 设置“从网络访问此计算机” 的账户都为授权账户 |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
- 系统安全设置
5.1屏幕保护
| 操作目的 | 设置屏保,使本地攻击者无法直接恢复桌面控制 |
| 检查方法 | 进入“控制面板->外观和个性化->个性化->更改屏幕保护程序”: 查看是否启用屏幕保护程序,设置等待时间为“10分钟”,是否启用“在恢复时使用密码保护” |
| 加固方法 | 进入“控制面板->显示->屏幕保护程序”: 启用屏幕保护程序,设置等待时间为“10分钟”,启用“在恢复时使用密码保护” |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
5.2远程连接挂起
| 操作目的 | 设置远程连接挂起时间,使远程攻击者无法直接恢复桌面控制 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->安全选项”: 查看“Microsoft网络服务器:暂停会话前所需的空闲时间数量” 是否设置为15分钟 |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->安全选项”: “Microsoft网络服务器:暂停会话前所需的空闲时间数量” 设置为15分钟 |
| 回退方法 | 回退到加固前的状态 |
| 是否实施 | |
| 备注 |
5.3禁止系统自动登录
| 操作目的 | 系统休眠后重新激活,需要密码才能使用系统 |
| 检查方法 | 进入“开始->运行->control userpasswords2”: 查看是否启用“要是用本机,用户必须输入用户名和密码”选项 |
| 加固方法 | 进入“开始->运行->control userpasswords2”: 启用“要是用本机,用户必须输入用户名和密码”的选项 |
| 回退方法 | 进入“开始->运行->control userpasswords2”: 取消“要是用本机,用户必须输入用户名和密码”的选项 |
| 是否实施 | |
| 备注 |
5.4隐藏最后登录名
| 操作目的 | 注销后再次登录,不显示上次登录的用户名 |
| 检查方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->安全选项” 查看“交互式登录:不显示最后的用户名”是否设置为“已启用” |
| 加固方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->安全选项” 查看“交互式登录:不显示最后的用户名”设置为“已启用” |
| 回退方法 | 开始->运行->secpol.msc (本地安全策略)->安全设置,在“本地策略->安全选项” 查看“交互式登录:不显示最后的用户名”是否设置为“已禁用” |
| 是否实施 | |
| 备注 |
5.5关闭Windows自动播放功能
| 操作目的 | 注销后再次登录,不显示上次登录的用户名 |
| 检查方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→所有设置”,双击“关闭自动播放”查看是否设置“已启用” |
| 加固方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→所有设置”,双击“关闭自动播放”并设置“已启用” |
| 回退方法 | 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→所有设置”,双击“关闭自动播放”并设置“未配置” |
| 是否实施 | |
| 备注 |
- 网络服务
-
6.1优化服务
操作目的
关闭不需要的服务,减小风险
检查方法
开始->运行->services.msc
加固方法
建议将以下服务停止,并将启动方式修改为手动:
Automatic Updates(不使用自动更新可以关闭)
Background Intelligent Transfer Service
DHCP Client
Messenger
Remote Registry
Print Spooler
Server(不使用文件共享可以关闭)
Simple TCP/IP Service
Simple Mail Transport Protocol (SMTP)
SNMP Service
Task Schedule
TCP/IP NetBIOS Helper
回退方法
回退到加固前的状态
是否实施
备注
其他不需要的服务也应该关闭
6.2关闭共享
操作目的
关闭默认共享
检查方法
开始->运行->cmd.exe->net share,查看共享
加固方法
关闭C$,D$等默认共享
开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ,新建AutoShareServer(REG_DWORD),键值为0
回退方法
开始->运行->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,删除AutoShareServer(REG_DWORD)
是否实施
备注
- 日志审核
-
7.1增强日志
操作目的
增大日志量大小,避免由于日志文件容量过小导致日志记录不全
检查方法
开始->运行->eventvwr.msc ->事件查看器,展开“windows日志”查看“应用程序”、“安全”、“系统”的属性
加固方法
建议设置:
日志上限大小:20480 KB
达到日志上限大小时:按需要覆盖事件
回退方法
回退到加固前的状态
是否实施
备注
8.2增强审核
操作目的
对系统事件进行审核,在日后出现故障时用于排查故障
检查方法
开始->运行->secpol.msc ->安全设置->本地策略->审核策略
加固方法
建议设置:
审核策略更改:成功,失败
审核对象访问:成功,失败
审核系统事件:成功,失败
审核帐户登录事件:成功,失败
审核帐户管理:成功,失败
审核登录事件:成功,失败
审核过程跟踪:成功,失败
审核目录服务访问:成功,失败
审核特权使用:成功,失败
回退方法
回退到加固前的状态
是否实施
备注
gpupdate /force立即生效
2693
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
