本文详述了Windows基线安全检测的多个方面,包括系统账号安全、Sysmon服务设置、补丁更新配置、远程桌面限制、SMBv1禁用、日志管理和审核策略等,旨在提升Windows系统的安全性,防止未经授权的访问和恶意攻击。
Windows基线安全检测-安全配置检测
前言
Windows在生产环境中是使用最多的一个系统,大部分为客户端,少部分为服务端;
然而其实很多用户对windows系统不是很了解,安全配置更是如此;
因此我们安全人员要定期对员工的主机做必要的安全检测,其中基线的定期检测就是方式之一;
以下则是我亲自编写测试上线使用的检测和修复脚本,如有不对的地方,欢迎大家留言,我会立马改正!!!
各模块检测
1、系统账号安全
内容:
账号策略:失败锁定次数(5次)、时长(15min);
根据实际情况调整即可;
检测方式:
组策略–>计算机配置–>windows设置–>安全设置–>帐户策略–>账户锁定策略–>(账户锁定时间15min,账户锁定阈值5次)
2、设置Sysmon服务开机自启
内容:
Sysmon作为windows下系统监控工具,通过编写配置文件,能够发现windows系统的部分异常操作行为,建议该服务设置为开机自启;
检测方式:
function Check-SysmonService {
$service = Get-Service -Name Sysmon64
if ($service.Status -eq "Running") {
Write-Output "Sysmon服务正在运行"
} else {
Write-Output "Sysmon服务未运行"
}
}
Check-SysmonService
function Check-SysmonServiceStartup {
$service = Get-Service -Name Sysmon64
$status = $service.StartType
if ($status -eq "Automatic") {
Write-Output "Sysmon服务已设置为开机自启"
} else {
Write-Output "Sysmon服务未设置为开机自启"
}
}
Check-SysmonServiceStartup
修复方式:
控制面板–>管理工具–>服务–>Sysmon/Sysmon32/Sysmon64–>
右键属性–>启动类型–>自动
3、补丁更新配置
内容:
配置对应的补丁更新服务器【wsus】,及时获取到最新的补丁更新详情;
根据实际情况调整即可;
检测方式:
1、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>配置自动更新(4-自动下载并计划安装、计划安装日期-每天、计划安装时间-03:00、每周);
2、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>指定Intranet Microsoft 更新服务位置;
3、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>自动更新检测频率(22小时);
4、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>允许非管理员接收更新通知;
根据实际情况调整即可;
修复方式:
Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win
最低0.47元/天 解锁文章
5248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
