Windows安全基线
访问控制
1.高危-匿名账户访问控制
描述:
匿名账户访问控制
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项
。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用
,将“不允许SAM帐户的匿名枚举“设置为:已启用
,将“不允许SAM帐户和共享的匿名枚举”设置为:已启用
,将”允许匿名SID/名称转换“设置为:已禁用
。
2.高危-设置空闲会话断开时间
描述:
设置空闲会话断开时间和启用登陆时间过期后断开与客户端的连接设置
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项
。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:5-30之间,建议值为15;将"登陆时间过期后断开与客户端的连接"设置为:已启用
。
3.高危-禁止未登录强制关机
描述:
禁止未登录强制关机
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项
。将"关机:允许在未登录时关闭系统"设置为:已禁用
服务配置
4.高危-注册表自启动项
描述:
检查项注册表路径HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
的Userinit中可疑启动项
加固建议:
检查注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
的Userinit中的危险启动项并删除,注意不要删除系统默认启动项C:\\Windows\\system32\\Userinit.exe
身份鉴别
5.高危-配置账户锁定策略
描述:
配置账户锁定策略,降低被爆破和猜测风险
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略
。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。
6.高危-配置安全选项账户策略
描述:
配置安全选项账户策略,限制空密码账户和禁用guest账户
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项
。将"账户:来宾账户状态"设置为:已禁用
;将"账户:使用空密码的本地账户只允许控制台登陆"设置为:启用。
7.高危-密码复杂性配置
描述:
设置强密码,减少密码被泄漏和猜测风险
加固建议:
在管理工具打开本地安全策略,打开路径:(计算机策略\计算机配置\Windows设置)安全设置\帐户策略\密码策略
,将密码必须符合复杂性要求设置为已启用
,将密码最小长度设置为8以上。 注:配置路径如下:
控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性:启用启用密码必须符合复杂性要求
控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性->设置最小密码长度为8
8.高危-设置密码使用期限策略
描述:
设置密码使用期限策略,减少密码被泄漏和猜测风险
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码最长使用期限设置为30-180之间,建议值为90,将密码最短使用期限设置为1-14之间,建议值为7.
9.高危-'强制密码历史’设置为5-24之间
描述:
设置强制密码历史,防止重复使用最近使用过的密码
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略
,将强制密码历史设置为5-24之间
10.高危-密码使用到期修改提醒
描述:
‘交互式登录:提示用户在过期前修改密码’,提示时间设置为5到14天之间
加固建议:
在GP(组策略)中将以下路径中设置为5~14:本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\安全选项\交互式登录:提示用户在过期前修改密码
11.高危-风险账户检查
描述:
检查Windows系统可疑的隐藏账号
加固建议:
存在可疑隐藏账号,建议确认后删除
12.高危-Windows登录弱口令检查
描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。
加固建议
以win10为例,依次选择“开始 ”菜单>“设置 ”>“帐户 ” >“登录选项 ”。在“密码”下面,选择“更改”按钮,然后按照步骤操作输入原口令和新口令,完成设置。新口令应符合复杂性要求:
- 长度8位以上
- 包含以下四类字符中的三类字符:
- 英文大写字母(A 到 Z)
- 英文小写字母(a 到 z)
- 10 个基本数字(0 到 9)
- 非字母字符(例如 !、$、#、%、@、^、&)
- 避免使用已公开的弱口令,如:abcd.1234 、admin@123等
安全审计
13.高危-应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
描述:
开启审核策略,对重要的用户行为和重要安全事件进行审计
加固建议:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略
,将全部审核策略配置为:成功,失败
。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
SMB安全基线
14.高危-禁用SMBv1
描述:
Windows SMBv1中存在多个远程代码执行漏洞,需关闭此服务以提高安全性
加固建议:
可参考Windows文档禁用SMBv1。参考链接https://help.aliyun.com/document_detail/57499.html, https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3, https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858
15.高危-Window Server SMBv3 远程代码执行漏洞
描述:
Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个远程代码执行漏洞,也就是“Windows SMBv3 客户端/服务器远程代码执行漏洞”。
加固建议:
此漏洞限于windows server 2016的1903和1909版本,可以使用升级系统或者打补丁的方式进行修复。参考链接https://nosec.org/home/detail/4319.html。如果不能及时打补丁,应停止使用SMBv3