Windows系统安全设置（一）

#Windows系统安全设置（一）

最近安全测评活动增加，涉及到的安全测评整改内容多，经常找不到修改位置，故此记录下，也方便其他人完成系统安全加固，此次整改案例系统是windows server2016，不确定其他系统版本修改位置是否一致。

1、系统开启了密码复杂度策略，但密码策略不符合要求

整改说明：
操作系统和数据库系统管理用户身份鉴别信息应不易被冒用，口令复杂度应满足要求并定期更换。口令长度不得小于8位，且为字母、数字或特殊字符的混合组合，用户名和口令不得等同，禁止应用软件明文存储口令。
若该操作系统和数据库服务于互联网网站，则按以下要求执行：
普通用户的口令长度不宜短于10字符，系统管理员用户的口令长度不宜短于12个字符，且每三个月至少修改一次，口令复杂度为字母、数字或特殊字符的混合组合，用户名和口令不得等同，禁止应用软件明文存储口令。

整改要求：
密码必须符合复杂性要求->启用
密码长度最小值 >= 8
密码最长使用期限 <= 180天
密码最短使用期限 >= 1天
强制密码历史 >= 5次
如对多台主机服务器进行统一管理时，应避免多台主机服务器使用相同的口令密码。

解决：本地安全策略修改配置

2、系统复位帐户锁定计数器时间符合要求；系统锁定持续时间符合要求；系统帐户锁定阀值不符合要求。

风险说明：应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

整改建议：
账户锁定策略要求：
复位帐户锁定计数器 >= 3分钟
帐户锁定时间 >= 5分钟
帐户锁定阀值 >= 5次无效登录

解决：本地安全策略修改配置

3、系统已开启远程桌面，但远程桌面策略配置设置不合理。

风险说明：当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

整改建议：
1、Server 2000、window7、window10查看系统属性->远程桌面选中“只允许运行带网络级身份验证的远程桌面的计算机连接（更安全）”或者选中”不允许远程连接到此计算机”
2、注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp路径底下的SecurityLayer值为0

解决：修改计算机属性和注册表

4、系统开启多余端口135、139、445和服务

风险说明：系统开启多余端口135、139、445。NetBIOS已启用，everyone用户对系统的关键文件和目录没有写入或执行权限。

整改建议：
1、限制了everyone用户对系统关键目录（c盘、应用软件安装目录、数据文件存放目录等）没有写入权限，对一些关键程序（cmd.exe、net.exe、regedit.exe、net1.exe、netsh.exe等)没有执行权限
2、关闭了多余的默认共享和其他文件共享
3、限制了不必要的端口，如123、135、137、138、139、445、1900
4、关闭了多余的服务，如Alerter、cipbook、Computer Browser、Messenger、Server 、Telnet、Print Spooler、Remote Registry、Service、Routing and Remote Access 、Simple Mail Trasfer Protocol(SMTP) （可选）、
Simple Network Management Protocol(SNMP) Service （可选）、
Simple Network Management Protocol(SNMP) Trap （可选）
World Wide Web Publishing Service （可选）、Automatic Updates（可选）、Terminal Service（可选）
5、禁用了tcp/ip属性中的netbios

解决：
1、限制了everyone用户对系统关键目录权限

2、已关闭文件共享
3、限制不必要的端口（防火墙出入规则）

4、关闭多余的服务

5、系统未设置专门的审计账号，未对其设置专门权限

风险说明：应实现操作系统和数据库系统特权用户的权限分离

整改建议：应依据最小授权原则为不同用户分配不同的用户名

解决：添加审计账号：audit

6、未禁用用户Administrator或未重命名

风险说明：应限制默认账户的访问权限，修改这些账户的默认口令

整改建议：
1、来宾用户已禁用；
2、默认账户已按最小权限修改；
3、默认账户的默认口令已修改；
4、默认账户已重命名

解决：计算机管理-本地用户和组-用户
禁用来宾用户、修改默认账户名

7、系统未开启“网络访问：不允许SAM帐户和共享的匿名枚举”选项

风险说明：系统未开启“网络访问：不允许SAM帐户和共享的匿名枚举”选项。系统未开启“不显示上次的用户名”功能。系统未开启“关机前清除虚拟内存页面”功能。

整改建议：
1、启用“不允许匿名枚取SAM帐号与共享的匿名枚举”；
2、启用“不允许SAM帐户的匿名枚举”；
3、启用“不显示上次的用户名”；
4、启用“关机前清除虚拟内存页面”；

解决：本地安全策略-本地策略-安全选项

8、系统未禁止“系统失败自动重新启动”功能，系统未禁止“自动播放”功能

风险说明：应对控制驱动器和系统在蓝屏之后自动运行提供保护

整改建议：1、已启用“关闭自动播放”，且选项选中“所有驱动器”；
2、没勾选“系统失败自动重新启动”

整改：
1、系统未禁止“自动播放”功能
点击快捷键“Win + R”;
在输入框中输入“gpedit.msc”，然后点击“确定”，
点击展开“管理模板”，“Windows 组件”，
在节点下面找到并点击“自动播放策略”，如下图：

双击上图“关闭自动播放”，如下图：

2.没勾选“系统失败自动重新启动”
右键计算机属性，点击高级系统设置，在启动和故障恢复，点击设置，取消自动重新启动的选项

9、系统中未开启安全审计日志策略

风险说明：审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等

整改建议：
1、审计帐户登录事件： 成功，失败
2、审计帐户管理： 成功，失败
3、审计目录服务访问： 失败
4、审计登录事件： 成功，失败
5、审计对象访问： 成功，失败
6、审计策略更改： 成功，失败
7、审计特权使用： 失败
8、审计系统事件： 成功，失败

解决：本地安全策略-本地策略-审核策略