Windows基线排查
|
230
|
0
|
基线排查

1184 字
|
6 分钟

根据Cabbage师傅文章进行整理:https://xz.aliyun.com/u/75452

什么是安全基线

实现基本防护需求而制定的一系列基准,通过对系统生命周期不同阶段的安全检查,建立良好的安全配置项和安全措施,通过分析安全状态的变化趋势控制安全风险

账户与认证

不能存在空密码账户

net user 用户名

例如我这里虚拟机就存在空密码账户

直接拿管理员给改正yes,修改后

net user pulumusita /passwordreq:yes

管理缺省账户

  • 对于管理员账户应使用非缺省账户名称,就是默认administrator名字改掉。
  • 禁用guest(来宾)账户
net localgroup administrators ---确认除administrtor外还有没有其他重命名管理员账户

例如我这里有另外的,如果没有,执行

net user user_01 123.com /add && net localgroup administrators user_01 /add

然后禁用administrator和guest用户

net user administrator /active:no
net user guest /active:no

限制登陆密码

打开组策略编辑器[win+r+gpedit.msc]

限制账户锁定阈值

(试错次数-防止暴力破解)

限制非管理员权限

除管理员组外无远程关机权限(控制面板–>管理工具–>本地安全策略),这个我的理解是防止强制关闭服务器,造成业务中断

日志

审核登录事件

控制面板–>管理工具–>本地安全策略

配置日志文件大小

设置日中文件至少为8192KB

控制面板->管理工具->事件查看器,在“Windows日志”中:查看“应用程序日志” ”系统日志“ ”安全日志“属性中的日志大小,以及设置当达到最大日志尺寸时的相应策略

入侵防范与访问控制

共享文件夹限制

计算机管理->系统工具->共享文件夹->共享,我本地是没开任何共享的

查看每个自定义共享文件夹的权限,若包含”Everyone",则将其删除

修改远程桌面服务端口管理

可在以下两个路径找到portnumber
开始->运行->Regedit,查找注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP.Tcp

或者 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tdstcp 找到“PortNumber"子项,默认值00000D3D,是3389 的十六进制表示形式。切换到十进制,修改成除 3389 外的其他任何值,并保存新值,重新启动系统。

禁止远程连接注册表

gpedit.msc 本地计算机策略->计算机配置->windows设置->安全设置->本地策略->安全选项 将“远程访问的注册表路径和子路径配置”为空

安装杀软

免费: 360 火绒

付费:
卡巴斯基。品牌指数: 10
比特梵德/BitDefende。品牌指数: 9.8。
Avast。品牌指数:9.6。
Norton诺顿。品牌指数: 9.4
Avira小红伞。品牌指数: 9.2。
GData歌德塔。品牌指数: 9
NOD32。品牌指数: 8.8。
芬氏安全/F-Secure。品牌指数: 8.6。
趋势。品牌指数: 8.4.
MCAFEE。品牌指数: 8.2.

系统服务

关闭不必要的系统服务

操作步骤:
。 进入“控制面板>管理工具->计算机管理”,进入“服务和应用程序”,查看所有服务,建议关闭以下服务:
。 Error Reporting Service、错误报告服务
。 Computer browser 浏览局域网计算机列表
。 Print Spooler 打印队列服务
。 Remote Registry 远程注册表操作
。 Routing and Remote Access 路由与远程访问
。 Shell Hardware Detection 为自动播放硬件事件提供通知
。 Telnet 远程管理
。 TCP/IP NetBIOS Helper 允许客户端共享文件,打印机和登录到网络

例如我这里开着Print Spooler 打印队列服务,不需要的化关闭就好

系统更新

系统自动更新安全补丁—打开windows更新即可

基线排查脚本

windows下的基线检查就是基于注册表表项进行检查,如果windows组策略有些不存在于注册表中,就要用到组策略命令行工具secedit

以下两个脚本需存放在同一目录下以管理员身份运行(脚本文件于附件中)
security.inf
bulid_security_Strategy.bat

脚本下载可以去Cabbage师傅那里下载

https://xz.aliyun.com/t/13264?time__1311=GqmxuD0Dn7G%3DiQD%2Fi25BIuT%3DWGCUNbN4D#toc-19

Windows
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇