admin管理员组文章数量:1567258
安全基线/安全加固第二期,本期以Windows系统为例,主要以2012及2016的版本为主,2012以前的版本由于安全性问题,日常使用率较少,所以这里并未进行编写。安全基线合集发布不一定按这顺序,全看缘分,欢迎转发收藏。
此外,加固前请对系统业务运行的服务、端口等信息进行摸查及评估,并在测试机先行测试,加固不规范,老板扔炸弹。
《Redis-安全加固/安全基线》
《MongoDB-安全加固/安全基线》
《Oracle-安全加固/安全基线》
《MySQL-安全加固/安全基线》
《Sql-Server-安全加固/安全基线》
《IIS-安全加固/安全基线》
《Tomcat-安全加固/安全基线》
《Nginx-安全加固/安全基线》
《Centos6.x-安全加固/安全基线》
《Centos7.x-安全加固/安全基线》
《Windows-安全加固/安全基线》
01
—
开启密码复杂度
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将密码必须符合复杂性要求配置为:已启用
系统密码复杂性说明:
不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分
至少有六个字符长
包含以下四类字符中的三类字符:
英文大写字母(A 到 Z)
英文小写字母(a 到 z)
10 个基本数字(0 到 9)
非字母字符(例如 !、$、#、%)
在更改或创建密码时执行复杂性要求。
02
—
密码长度最小值
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将密码长度最小值配置为:8个字符
03
—
密码最短使用天数
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将密码最短使用期限为:1天
04
—
密码最长使用期限
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将密码最长使用期限配置为:90天
05
—
强制密码历史
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将强制密码历史配置为:5个记住的密码
06
—
禁用可还原加密
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略:将用可还原的加密来存储密码配置为:已禁用
07
—
账户锁定策略
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户锁定策略:将账户锁定时间配置为:30分钟,将账户锁定阈值设置为:5次无效登录,将重置账户锁定计数器配置为:5分钟之后
08
—
屏幕保护策略
Server2012以下系统,运行“control /name Microsoft.Display”选择更改屏幕保护程序:勾选“在恢复时显示登录屏幕”并配置等待3分钟。
Server2016-右键选择个性化->锁屏界面->屏幕保护程序设置-勾选“在恢复时显示登录屏幕”并配置等待3分钟。
09
—
是否存在多余管理员账号
服务器管理-工具-计算机管理-本地用户和组-组-administrators中查看是否存在多余用户
10
—
是否存在隐藏账号
服务器管理-工具-计算机管理-本地用户和组-用户-查看是否存在后缀带$的用户(用 net user 是看不出来隐藏用户的)
11
—
停用Guest用户
服务器管理-工具-计算机管理-本地用户和组-用户-查看并禁用Guest用户
12
—
修改默认管理员名称
使用默认用户容易遭到爆破,更改默认管理员名称增加爆破难度
13
—
不允许匿名枚举SAM账号与共享的匿名枚举;
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,将“网络访问:不允许SAM账户和共享的匿名枚举”配置为:已启用
14
—
禁用自动播放功能
运行“gpedit.msc”在计算机配置->管理模板->Windows组件->自动播放策略->启用“关闭自动播放
15
—
默认共享和高危端口
删除默认磁盘共享C 、 I P C 、IPC 、IPC、admin$,配置防火墙入站规则阻止危险端口135、139、445访问
16
—
禁用Everyone用于匿名用户
运行“gpedit.msc”在本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项\网络访问: 将 Everyone 权限应用于匿名用户`策略配置为:已禁用
17
—
防病毒软件安装
检查是否安装有杀毒软件(火绒、360等)
检查病毒库版本
18
—
日志存放模式设置
事件查看器-Windows日志,安全日志、应用日志、系统日志三个类型,选择属性,选择-日志满时将其存档,不覆盖事件
19
—
配置审核策略
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略:将开启如下策略:
审核策略更改:成功,失败
审核登录事件:成功,失败
审核对象访问:成功,失败
审核进程跟踪:成功,失败
审核特权使用:成功,失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核帐户管理:成功,失败
20
—
不显示上次登录名
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,启用“不显示上次登录用户名”选项
21
—
关机前清除虚拟内存页面
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项,启用“关机清除虚拟内存页面文件”
22
—
关闭不需要的系统服务
关闭多余服务,如Print spooler、蓝牙相关、Fax及其他未提供业务使用的服务(关闭前请确认服务是否在使用)
23
—
开启防火墙
检查防火墙状态是否开启(需确认业务端口开放情况,先放开了端口,再开启)
24
—
操作系统补丁更新
及时更新微软推送的系统补丁,每月更新、专项漏洞修复更新
25
—
修改默认的RDP端口
修改以下两处注册表,往期文章也有脚本,可以去看
简单几行命令教你修改Windows远程端口!
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
重启Remote Desktop Services 服务
26
—
禁用多余的任务计划程序
关闭多余的计划任务,记录异常的任务计划程序,打开“运行” taskschd.msc进行查看
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程和电子书
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
版权声明:本文标题:Windows-安全加固安全基线(非常详细)零基础入门到精通,收藏这一篇就够了 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1726300357a1065023.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论