Windows合规安全设置

目录

一、身份鉴别合规项检测

（一）用户登录身份标识鉴别策略

1.密码长度最小值大于等于 8 个字符

2.密码最短使用期限大于等于 2 天

3.密码最长使用期限小于等于 90 天

4.保留密码历史数量大于等于 5 个

5.用户登录需要用户名和密码

6.空密码账户检测

7.弱密码账户检测

8.密码复杂度项检测

9.共享账户检测

（二）登录失败处理策略

1.复位账户锁定计数器大于等于 10 分钟

2.账户锁定时间大于等于 10 分钟

3.账户锁定阈值小于等于 5 次

4.屏幕保护时间

5.RDP 远程用户登录空闲超时小于 10 分钟

（三）远程管理策略

1.终端已关闭远程服务

2.远程登录加密级别为高级别

3.远程端口服务为 SSH 或 HTTPS

二、访问控制合规项检测

（一）Administrator 被重命名或禁用

（二）禁用来宾帐户

（三）默认账户口令修改

（四）隐藏账户检测

（五）半年未登录账户检测

三、安全审计合规项检测 

（一）安全审计策略

1.系统事件审核

2.登录事件审核

3.对象访问事件审核

4.特权使用事件审核

5.进程跟踪事件审核

6.策略更改事件审核

7.账户管理事件审核

8.目录服务访问事件审核

9.账户登录事件审核

（二）审计日志功能

 1.系统日志服务检测

四、入侵防范合规项检测

（一）非必须系统服务检测

1.ftp 服务已禁用

2.Telnet 服务已禁用

3.开启 X 项存在风险的服务

（二）共享检测

（三）开放的高危端口检测

（四）终端网络管理限制

1.开启 Windows 防火墙

2.配置允许访问主机的 IP 段

五、剩余信息保护合规项检测

（一）关机检测 

（二）登录检测

（三）交互式登录检测

---

一、身份鉴别合规项检测

（一）用户登录身份标识鉴别策略

1.密码长度最小值大于等于 8 个字符

2.密码最短使用期限大于等于 2 天

3.密码最长使用期限小于等于 90 天

4.保留密码历史数量大于等于 5 个

配置说明：修改组策略的密码策略
（1）进入“控制面板->管理工具->本地安全策略”。

（2）在“账户策略->密码策略”中设置如下：

5.用户登录需要用户名和密码

配置说明：关闭自动登录的账户

（1）按“WIN+R”键，输入“control userpasswords2”

（2）在“用户账户”中：选择自动登录的账户，点击“要使用本计算机，用户必须输入用户名和密码”，并重新设置新密码

6.空密码账户检测

7.弱密码账户检测

配置说明：空口令账户设置密码

（1）对于检测出的空密码账户，进入“控制面板->管理工具->计算机管理”

（2）在“本地用户和组->用户”中：
        对空密码账户（账户密码为空）和检测出的弱密码账户（账户密码密码复杂性较低）
        进行密码设置及更改
        修改建议：右键->设置非弱密码

8.密码复杂度项检测

9.共享账户检测

Windows 默认符合
该项检测需客户确认是否存在多人共用同一账户的情况

（二）登录失败处理策略

1.复位账户锁定计数器大于等于 10 分钟

2.账户锁定时间大于等于 10 分钟

3.账户锁定阈值小于等于 5 次

配置说明：账户多次登录失败处理

（1）进入“控制面板->管理工具->本地安全策略”

（2）在“账户策略->账户锁定策略”中：
        账户锁定时间：>=10 分钟
        账户锁定阈值：<=5 次
        重置账户锁定计数器：>=10 分钟

4.屏幕保护时间

配置说明：开启屏幕保护
（1）进入“控制面板->外观/个性化->更改屏幕保护程序”

（2）点击“更改屏幕保护程序”

（3）设置“等待”>=10 分钟

（4）XP 系统设置则是”控制面板->显示”

（5）点击”屏幕保护程序”，设置”等待时间”>=10 分钟

5.RDP 远程用户登录空闲超时小于 10 分钟

配置说明：仅设置远程空闲超时限制
1.按“WIN+R”键，输入“gpedit.msc”

2.Win7及以上系统，选择”计算机配置->管理模板->Windows组件->远程桌面服务/终端服务->远程桌面会话主机/会话->会话时间限制”，点击“设置活动但空闲的远程桌面服务会话的时间限制”。
3.XP 系统，选择”计算机配置->管理模板->Windows 组件->终端服务->会话”，点击“为活动但空闲的终端服务会话设置时间限制” 
4.选择已启用，空闲会话设置小于10分钟

（三）远程管理策略

1.终端已关闭远程服务

配置说明：是否开启 RDP 远程桌面
（1）点击 WIN 键，右键“计算机->属性”

（2）点击“高级系统设置”

（3）点击“远程”，选择”不允许连接到这台计算机”

（4）XP 系统，右键“我的电脑->属性->远程”，去除勾选的”允许用户远程连接到此计算机”

2.远程登录加密级别为高级别

配置说明：开启 RDP 远程桌面，则检查该项
（1）按“WIN+R”键，输入“gpedit.msc”

（2）Win7及以上系统，选择”计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->安全”，点击“设置客户端连接加密级别”

（3）XP 系统，选择”计算机配置->管理模板->Windows 组件->终端服务->加密与安全性”，点击“设置客户端连接加密级别”

（4）选择已启用，加密级别设置为高级别

3.远程端口服务为 SSH 或 HTTPS

        检测 22 和 443 端口是否被监听来判断是否使用 SSH 和 HTTPS

二、访问控制合规项检测

（一）Administrator 被重命名或禁用

配置说明：确认 Administrator 账户未暴露

1.按“WIN+R”键，输入“gpedit.msc”。

2.选择”计算机配置->Windows 设置->安全设置->本地策略->安全选项”，点击”账户：重命名系统管理员账户”，修改默认值 Administrator。

（二）禁用来宾帐户

配置说明：确认 Guest 账户未暴露
1.进入“控制面板->管理工具->计算机管理”

2.在“本地用户和组->用户”中：来宾账户：在计算机中，Guest 是指让给客人访问电脑系统的帐户。与“Administrator”和“User”不同的，通常这个帐户没有修改系统设置和进行安装程序的权限，也没有创建修改任何文档的权限，只能是读取计算机系统信息和文件。一般情况下是不推荐使用此帐户
修改建议：双击 Guest 用户->选择账户已禁用

（三）默认账户口令修改

配置说明：修改某些统一的密码
        默认账户口令需人工确认。

（四）隐藏账户检测

 配置说明：人工确认是否存在多余账户，一般指隐藏账户
1.进入“控制面板->管理工具->计算机管理”

 2.在“本地用户和组->用户”中：
        隐藏账户：在控制面板与开机选择中看不见的账户（它可以用输账号密码的方式进入）。
        修改建议：右键->删除

（五）半年未登录账户检测

配置说明：人工确认检测出的长期未登录账户是否需要删除
1.进入“控制面板->管理工具->计算机管理” 

 2.在“本地用户和组->用户”中，根据基线检查扫描结果，确认长时间未登录账户是否在使用，若未使用则删除。 

三、安全审计合规项检测 

（一）安全审计策略

1.系统事件审核

2.登录事件审核

3.对象访问事件审核

4.特权使用事件审核

5.进程跟踪事件审核

6.策略更改事件审核

7.账户管理事件审核

8.目录服务访问事件审核

9.账户登录事件审核

 配置说明：所有策略建议开启成功、失败的审核
1.进入“控制面板->管理工具->本地安全策略”

 2.在“本地策略->审核策略”中：各项如下设置
        a)审核策略更改：成功，失败
        b)审核登录事件：成功，失败
        c)审核对象访问：成功，失败
        d)审核进程跟踪：成功，失败
        e)以审核目录服务访问：成功，失败
        f)审核特权使用：成功，失败
        g)审核系统事件：成功，失败
        h)审核账户登录事件：成功，失败
        i)审核账户管理：成功，失败

（二）审计日志功能

 1.系统日志服务检测

 配置说明：检测系统日志服务是否正常

 1.进入“控制面板->管理工具->服务”

 2.确认“Windows Event Log 服务：状态为“已启动”，XP 系统服务名为“Event Log”

 3.查看状态

四、入侵防范合规项检测

（一）非必须系统服务检测

1.ftp 服务已禁用

2.Telnet 服务已禁用

3.开启 X 项存在风险的服务

 配置说明：无用服务禁用，如 Alerter、Remote Registry、Messsenger、Task Scheduler
1.进入“控制面板->管理工具->服务”

 2.双击“Telnet”服务：服务状态改为“已停止”

 3.双击“Microsoft ftpsvc”服务：服务状态改为“已停止”，操作同上

4.禁用“Alerter”服务：服务状态改为“已禁用/已停止”

 5.禁用“Remote Registry”服务：服务状态改为“已禁用/已停止”

 6.禁用“Messsenger”服务：服务状态改为“已禁用/已停止”

 7.禁用“Task Scheduler”服务：服务状态改为“已禁用/已停止”

（二）共享检测

 配置说明：
1.进入“控制面板->管理工具->计算机管理”

 2.在“共享文件夹->共享”中：
        共享文件夹：设置或者关闭共享权限 

（三）开放的高危端口检测

 开放高危端口数 X 个，建议封堵

配置说明：建议封堵威胁端口或停止监听
1.WIN+R 打开运行窗口，输入 cmd 打开控制台
2.输入 netstat -ano 查看 LISTENING 状态端口，TCP 端口建议封135,139,445,593,1025,2745,3127,6129；UDP 端口建议封堵 135,137,138,445。

 （1）打开 Windows 防火墙设置：点击 Windows 操作系统的 “开始” 按钮，在搜索栏中输入 “防火墙”，然后点击 “Windows Defender 防火墙”。也可以通过控制面板找到 “系统和安全”，再点击 “Windows 防火墙” 进入设置界面。
（2）进入高级设置：在 Windows 防火墙窗口中，单击左窗格中的 “高级设置”。
（3）创建新的入站规则：在 “高级设置” 窗口的右侧的 “操作” 面板中，点击 “新建规则…”。在弹出的 “新建规则向导” 窗口中，选择 “端口”，然后点击 “下一步”。
（4）配置端口信息：在 “协议和端口” 页面，选择要阻止的端口的协议类型（如 TCP 或 UDP）。在 “特定本地端口” 中输入要阻止的端口号。如果要阻止多个端口，可以用逗号分隔端口号。点击 “下一步”。
（5）设置操作：在 “操作” 页面，选择 “阻止连接”。这意味着该端口的所有连接请求都将被阻止，无论是入站还是出站方向。点击 “下一步”。
（6）应用规则到不同的网络配置文件：在 “配置文件” 页面，确保所有选项（即 “域”、“专用” 和 “公共”）都被选中。这样规则将在不同的网络环境下都生效，确保电脑在任何网络连接情况下都能得到保护。点击 “下一步”。
（7）为规则命名并完成设置：在 “名称” 页面，为这个新规则输入一个易于识别的名称，例如 “阻止端口 (具体端口号)”。点击 “完成”，新的入站规则就创建成功了。 

（四）终端网络管理限制

1.开启 Windows 防火墙

 配置说明：检测防火墙服务是否正常
1.进入“控制面板->windows 防火墙”。

 2.在“启用或关闭防火墙/自定义设置”中：将“专用网络设置”、“公用网络设置”和”域网络设置”都开启Windows 防火墙。

3.检查 Windows FireWall 服务是否开启，如下所示： 

 4.补充：在 Windows vista 以前的旧版本系统中，设置稍有区别

 5.补充：在 Windows vista 以前的旧版本系统中，windows Firewall/Internet Connection Sharing(ICS)是同一个服务，开启方式如下所示：

2.配置允许访问主机的 IP 段

 配置说明：存在 RDP 远程仅允许部分网段或 IP 允许的策略
1.进入“控制面板->windows 防火墙”。

 2.点击“高级设置->入站规则->远程桌面(TCP-In)”。

 3.在“作用域->远程 IP 地址”，设置部分网段允许。

 4.XP 下设置有所不同，点击”例外”

5.选择”远程桌面”，点击”编辑” 

 6.点击”更改范围”，设置部分允许网段

五、剩余信息保护合规项检测

（一）关机检测 

 检测标准：关机前清除虚拟内存页面

配置说明：系统组策略开启“关机：清除虚拟内存页面文件， 已启用”
1.进入“控制面板->管理工具->本地安全策略”

 2.在“本地策略->安全选项”中：将“关机：清除虚拟内存页面文件”，双击，修改状态为“已启用”。

（二）登录检测

 检测标准：Windows 登录屏幕不显示上次的登录名

配置说明：系统组策略开启“交换式登录:不显示上次登录，已启用” 
1.进入“控制面板->管理工具->本地安全策略”

 2.在“本地策略->安全选项”中：将“交互式登录：不显示最后的用户名”，双击，修改状态为“已启用”。

（三）交互式登录检测

检测标准:交互式登录：之前登录到缓存的次数为 0 次

配置说明：系统组策略设置“交互式登录：之前登录到缓存的次数为 0 次” 
1.进入“控制面板->管理工具->本地安全策略”

2.在“本地策略->安全选项”中：将“交互式登录：之前登录到缓存的次数（域控制器不可用时）”，双击，修改登录次数为 0 次。