windows服务器新建管理员用户_蓝队护网 之Windows服务器加固

点击蓝字，关注我们

本文作者：98bk
本文字数：2481

阅读时长：15min

附件：点击查看原文下载

声明：请勿用作违法用途，否则后果自负

Windows操作系统安全加固

一为沧波客，十见红蕖秋

管理缺省帐户：

1. 禁用Guest账户：开始--管理工具--计算机管理--本地用户和组--用户--选择Guest右键--属性--常规选项卡--勾选“账户已经用”选项--点击“确定”或者“应用”对更改进行保存

2. 更改默认管理员Administrator名称：开始--管理工具--本地安全策略--本地策略--安全选项--帐户: 重命名管理员帐户

按照用户分配帐户：

根据系统的要求，设定不同的用户和用户组，管理员用户，数据库用户，审计用户，来宾用户等

1. 新建用户：开始--管理工具--计算机管理--本地用户和组--用户--右键“新建用户”。填写用户名、密码，并根据实际情况勾选“用户下次登录时必须更改密码”、“账户已禁用”等选项

2. 新建用户组：开始--管理工具--计算机管理--本地用户和组--组--新建组--填写组名等信息--创建

3. 将用户加入组：新创建的用户是属于普通权限的USER组。开始--管理工具--计算机管理--本地用户和组--组--双击选择一个组名--添加--高级--立即查找--选择你需要的用户--然后点击3次确定。注意：单人图标的代表用户，双人图标的代表组，选择用户的时候请注意区分。

3删除、锁定与设备无关帐户：

删除或锁定与设备运行、维护等与工作无关的帐户

1. 锁定：开始--管理工具--计算机管理--本地用户和组--用户--选择用户右键--属性--常规选项卡--勾选“账户已经用”选项--点击“确定”或者“应用”对更改进行保存

2. 删除：开始--管理工具--计算机管理--本地用户和组--用户--选择用户右键--删除

4密码策略：

1. 开始--管理工具--本地安全策略--账户策略--密码策略。

设置“密码必须符合复杂性要求”为已启用

设置“密码长度最小值”为8个字符

设置“强制密码历史”为24个记住密码

设置“密码最长使用期限”为90天

设置“用可还原的加密来存储密码”为禁用

5 用户权限分配策略

1.开始--管理工具--本地安全策略--本地策略--用户权限分配

设置“从远程系统强制关机”为Administrators组。

设置“关闭系统”为Administrators组

设置“取得文件或其他对象的所有权”为Administrators组

设置“允许本地登录”为特定用户、用户组

设置“从网络访问此计算机”为特定用户、用户组

6 日志审计：

1. 开始--管理工具--本地安全策略--本地策略--审核策略

设置“审核登录事件”为成功和失败都审核

设置“审核策略更改”为成功和失败都审核

设置“审核系统事件”为成功和失败都审核

设置“审核帐户登录事件”为成功和失败都审核

设置“审核帐户管理”为成功和失败都审核

设置“审核特权使用”为成功和失败都审核

设置“审核过程追踪”为失败审核

设置“审核目录服务访问”为失败审核

设置“审核对象访问”为失败审核

2. 开始--管理工具--事件查看器--Windows日志--选择不同类型日志右键--属性--更设置更改为“达到事件日志最大时：日志满时将其存档，不覆盖事件”

需要更改设置的日志有：应用日志、系统日志、安全日志

7 剩余信息保护：

1. 开始--管理工具--本地安全策略--本地策略--安全选项

设置“交互式登录: 不显示最后的用户名”为启用

设置“关机: 清除虚拟内存页面文件”为启用

8 共享文件夹及访问权限：

1. 关闭默认共享：Windows的默认共享分为三类，硬盘各分区的共享(C、D等)、IPC共享、ADMIN共享，为使关闭默认共享，服务器重启后仍有效，推荐使用关闭共享服务或修改注册表方式关闭，注意：如果采用关闭共享服务的方式，可能会影响自定义的文件夹共享服务，采用此方法时，需要跟客户沟通。

l 关闭服务法：开始--管理工具--计算机管理--服务和应用程序--服务--Server，先停止服务，再将启动类型修改为禁止

l 修改注册表法**(必须重启服务器)*：

1.1 关闭硬盘各分区的共享(C、D等):打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下，新建REG_DWORD类型的AutoShareServer 键，值为 0

1.2 关闭ADMIN$共享：打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下，新建REG_DWORD类型的AutoShareWks键，值为 0

1.3 禁止IPC$空连接：打开注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下，新建REG_DWORD类型的RestrictAnonymous键，值为 1

2. 共享文件夹授权访问：存在共享文件夹业务的服务器，其共享文件夹的共享权限不能设置成为 Everyone。

开始--管理工具--计算机管理--共享文件夹--共享--选择共享的文件夹--将Everyone删除，并添加一个新的用户或用户组

9 数据执行保护：

控制面板--系统和安全--系统--高级系统设置--高级--性能：设置--数据执行保护--设置为“仅为基本 Windows 操作系统程序和服务启用DEP”

10 设置屏幕保护程序：

1. 控制面板--外观--显示--更改屏幕保护程序

勾选“在恢复时使用密码保护”并设置等待时间“10”分钟

11 设置远程登录空闲断开时间：

1. 开始--管理工具--本地安全策略--本地策略--安全选项

设置“Microsoft 网络服务器: 暂停会话前所需的空闲时间量”为“15分钟”

12 其他安全选项配置：

13 关闭不必要服务：

14 安装杀毒软件：

安装主流杀毒软件，并保持病毒库最新

15 补丁最新管理：

查看更新历史：控制面板--系统和安全--Windows Update--查看更新历史

补丁更新方式：

1. 服务器可联网的情况：Windows Update更新

服务器不可联网情况：使用WSUS Offline Update工具制作离线补丁更新包，然后进行更新

16 防止Mimikatz获取Windows密码：

1. 安装Windows补丁，http://www.catalog.update.microsoft.com/Search.aspx?q=KB2871997

2. 创建注册表值，命令：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0

17 启用Windows防火墙：

1. 控制面板--系统和安全--Windows防火墙，将防火墙开启

2. 开启后根据实际情况，配置防火墙的入站规则(Windows防火墙未设置的，默认为阻止)。

2.1 控制面板--系统和安全--Windows防火墙--高级设置--入站规则，首先右侧，导出列表，对原配置进行备份。

删除所有入站规则，然后根据客户要求开放允许策略

阅读原文查看更多加固技巧~

扫码关注我们

微信号：wgpsec

Twitter：@wgpsec

分享、在看与点赞，至少我要拥有一个吧