windows安全基线排查

概念：什么是安全基线？

为了让企业更加安全！

安全基线和漏洞的区别

相同点：都属于扫描类产品，属于主动安全范畴，主动安全核心是弱点管理，弱点有两类：

• 漏洞：系统自身固有的安全问题，软硬件的bug（永恒之蓝）
• 配置缺陷：也叫暴露缺陷，一般是配置错误被攻击者利用（弱密码）

不同点：

1.来源不同

• 配置缺陷：是客户自身的管理问题，主要问题包括：账号、口令、授权、日志
• 漏洞：供应商的问题，用户无法控制

  2.检查方式不同

• 配置缺陷：白盒测试
• 漏洞：黑盒测试

windows服务器安全基线

账户与认证

1. 基本要求：对登录操作系统的用户进行身份标识和鉴别
   1. 测试内容：检查系统登陆是否需要密码
   2. 操作步骤：开机检测是否需要密码
   3. 预期结果：不能存在空账户账户
2. 基本要求：管理缺省用户
   1. 测试内容：对管理员账户，应使用非缺省Administrator账户名称（只能有一个管理员账户并且不叫administrator），禁用guest账户
   2. 操作步骤：
      1. net localgroup administrator
      2. net user 账户名 密码 /add && net localgroup administrators 账户 /add
   3. 预期结果：禁用：administrator和guest账户
3. 基本要求：系统用户应有不易被冒用的特点，口令应有复杂度要求并定期更换
   1. 操作内容：打开 组策略编辑器 win+R【gpedit.msc】
   2. 预期结果：最短密码长度8个字符，启用密码复杂性要求，密码最长时间为90天
4. 基本要求：应启用登陆失败处理功能，限制非法登录次数
   1. 测试内容：检测该用户连续认证失败次数
   2. 操作步骤：打开组策略编辑器 win+R【gpedit.msc】
   3. 预期效果：账号锁定阈值小于等于6次，锁定时间大于5分钟
5. 基本要求：限制管理员关闭计算机
   1. 测试内容：检查是否仅有管理员账户授权本地关机、远程关机
   2. 操作步骤：进入控制面板——>管理工具——>本地安全策略，在本地策略——>用户权限分配：进入“从远程系统强制关机”设置，只保留administrator组

日志

1. 基本要求：应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用账号，登录是否成功，登陆时间，以及远程登陆时用户ip
   1. 测试内容：审核登录
   2. 操作步骤：进入“本地安全策略”，在“本地策略”——>审核策略——>审核登陆事件勾选“成功”和“失败”
   3. 预期结果：查看本地安全策略，审核登录事件，应设置成功失败都审核
2. 基本要求：应启用windows系统的审核账户管理，成功和失败都审核
   1. 测试内容：审核账户管理
   2. 操作步骤：进入“本地安全策略”，在“本地策略”——>审核策略——>审核策略更改勾选“成功”和“失败”
   3. 预期结果：查看本地安全策略，审核策略更改，应设置成功失败都审核
3. 其他审核项都要打开
4. 基本要求：测试内容：设置日志文件大小
   1. 测试内容：设置日志文件大小至少为8192kb
   2. 操作步骤：进入“控制面板”——>管理工具——>事件查看器，在Windows日志中：查看“应用程序日志”，“系统日志”，“安全日志”属性中日志的大小，以及设置当达到最大日志时的策略
   3. 预期：“应用程序日志”，“系统日志”，“安全日志”属性中日志的大小至少为8192kb

入侵防范和访问控制

1. 基本要求：对共享文件夹进行权限控制
   1. 测试内容：共享文件夹限制
   2. 操作步骤：计算机管理（本地）——>系统工具——>共享文件夹——>共享，查看每个自定义共享文件夹的共享权限，若其中包括“Everyone”则将其删除
   3. 预期结果：共享分期或者文件夹用户不包含“everyone”
2. 基本要求：修改远程桌面服务默认端口
   1. 测试内容：远程桌面服务端口管理
   2. 操作步骤：regedit——>计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp找到portnumber默认值为00000D3D是3389的16进制切换到十进制换成别的保存新值，重启系统
   3. 预期结果：rdp服务不再是3389端口
3. 基本要求：应禁止远程访问操作系统注册表格路径和子路径，防止系统被入侵破坏
   1. 预期结果：禁止远程连接注册表

操作步骤：【gpedit.msc】,计算机配置——>windows设置——>安全配置——>本地策略——>安全选项，，在右边窗格中找到“网络访问：可远程访问的注册表路径和子路径”，配置为空

1. 测试内容：注册表远程管理
2. 基本要求：安装终端防护软件
   1. 测试内容：恶意代码防范
   2. 操作步骤：使用正版授权的计算机病毒软件，可安全有效的查杀各类计算机病毒
   3. 预期结果：采购并安装计算机防护软件（360，火绒，卡巴斯基，小红伞）

系统服务

1. 基本要求：关闭不必要的系统服务
   1. 测试内容：系统服务管理
   2. 操作步骤：计算机管理——>服务和应用程序，查看所有服务，建议关闭以下服务

• • • 1. 错误报告服务
      2. 浏览局域网计算机列表
      3. 打印队列服务
      4. 远程注册表操作
      5. 路由与远程访问
      6. 为自动播放硬件提供通知
      7. 远程管理
      8. 允许客户端共享文件打印机和登录到网络

               3.预期结果：关闭不必要的服务，提高系统安全性

系统更行

1. 基本要求：系统自动更新安全补丁
   1. 测试内容：系统服务管理
   2. 操作步骤：控制面板——>Windows update启用，设置——>Windows更新，检查更新
   3. 预期结果：应安装关键重要系统补丁，开启系统自动更新功能

• 基线排查脚本