Windows-安全加固安全基线（非常详细）零基础入门到精通，收藏这一篇就够了

安全基线/安全加固第二期，本期以Windows系统为例，主要以2012及2016的版本为主，2012以前的版本由于安全性问题，日常使用率较少，所以这里并未进行编写。安全基线合集发布不一定按这顺序，全看缘分，欢迎转发收藏。

此外，加固前请对系统业务运行的服务、端口等信息进行摸查及评估，并在测试机先行测试，加固不规范，老板扔炸弹。

《Redis-安全加固/安全基线》

《MongoDB-安全加固/安全基线》

《Oracle-安全加固/安全基线》

《MySQL-安全加固/安全基线》

《Sql-Server-安全加固/安全基线》

《IIS-安全加固/安全基线》

《Tomcat-安全加固/安全基线》

《Nginx-安全加固/安全基线》

《Centos6.x-安全加固/安全基线》

《Centos7.x-安全加固/安全基线》

《Windows-安全加固/安全基线》

01

—

开启密码复杂度

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码必须符合复杂性要求配置为：已启用

系统密码复杂性说明：

不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分

至少有六个字符长

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或创建密码时执行复杂性要求。

02

—

密码长度最小值

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码长度最小值配置为：8个字符

03

—

密码最短使用天数

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码最短使用期限为：1天

04

—

密码最长使用期限

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码最长使用期限配置为：90天

05

—

强制密码历史

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将强制密码历史配置为：5个记住的密码

06

—

禁用可还原加密

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将用可还原的加密来存储密码配置为：已禁用

07

—

账户锁定策略

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户锁定策略：将账户锁定时间配置为：30分钟，将账户锁定阈值设置为：5次无效登录，将重置账户锁定计数器配置为：5分钟之后

08

—

屏幕保护策略

Server2012以下系统，运行“control /name Microsoft.Display”选择更改屏幕保护程序：勾选“在恢复时显示登录屏幕”并配置等待3分钟。

Server2016-右键选择个性化->锁屏界面->屏幕保护程序设置-勾选“在恢复时显示登录屏幕”并配置等待3分钟。

09

—

是否存在多余管理员账号

服务器管理-工具-计算机管理-本地用户和组-组-administrators中查看是否存在多余用户

10

—

是否存在隐藏账号

服务器管理-工具-计算机管理-本地用户和组-用户-查看是否存在后缀带$的用户（用 net user 是看不出来隐藏用户的）

11

—

停用Guest用户

服务器管理-工具-计算机管理-本地用户和组-用户-查看并禁用Guest用户

12

—

修改默认管理员名称

使用默认用户容易遭到爆破，更改默认管理员名称增加爆破难度

13

—

不允许匿名枚举SAM账号与共享的匿名枚举；

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，将“网络访问：不允许SAM账户和共享的匿名枚举”配置为：已启用

14

—

禁用自动播放功能

运行“gpedit.msc”在计算机配置->管理模板->Windows组件->自动播放策略->启用“关闭自动播放

15

—

默认共享和高危端口

删除默认磁盘共享C$、IPC$、admin$,配置防火墙入站规则阻止危险端口135、139、445访问

16

—

禁用Everyone用于匿名用户

运行“gpedit.msc”在本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项\网络访问: 将 Everyone 权限应用于匿名用户`策略配置为：已禁用

17

—

防病毒软件安装

检查是否安装有杀毒软件（火绒、360等）

检查病毒库版本

18

—

日志存放模式设置

事件查看器-Windows日志，安全日志、应用日志、系统日志三个类型，选择属性，选择-日志满时将其存档，不覆盖事件

19

—

配置审核策略

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略：将开启如下策略：

审核策略更改:成功，失败

审核登录事件:成功，失败

审核对象访问:成功，失败

审核进程跟踪:成功，失败

审核特权使用:成功，失败

审核系统事件:成功，失败

审核账户登录事件:成功，失败

审核帐户管理:成功，失败

20

—

不显示上次登录名

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，启用“不显示上次登录用户名”选项

21

—

关机前清除虚拟内存页面

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，启用“关机清除虚拟内存页面文件”

22

—

关闭不需要的系统服务

关闭多余服务，如Print spooler、蓝牙相关、Fax及其他未提供业务使用的服务（关闭前请确认服务是否在使用）

23

—

开启防火墙

检查防火墙状态是否开启（需确认业务端口开放情况，先放开了端口，再开启）

24

—

操作系统补丁更新

及时更新微软推送的系统补丁，每月更新、专项漏洞修复更新

25

—

修改默认的RDP端口

修改以下两处注册表，往期文章也有脚本，可以去看

简单几行命令教你修改Windows远程端口！

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

重启Remote Desktop Services 服务

26

—

禁用多余的任务计划程序

关闭多余的计划任务，记录异常的任务计划程序，打开“运行” taskschd.msc进行查看

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

这部分内容对于咱们零基础的同学来说还太过遥远了，由于篇幅问题就不展开细说了，我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦，当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。