操作系统安全:Windows系统安全配置,Windows安全基线检查加固
「作者简介」:2022年北京冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础对安全知识体系进行总结与归纳,著作适用于快速入门的 《网络安全自学教程》,内容涵盖系统安全、信息收集等12个知识域的一百多个知识点,持续更新。
这一章节我们需要知道Windows安全基线的标准,怎么检查和配置。
Windows安全配置
- 1、安装部署
- 2、访问控制
- 3、账户安全
- 4、密码策略
- 5、账号锁定策略
- 6、本地安全策略
- 7、安全审计
- 8、文件共享
- 9、关闭自动播放
- 10、第三方安全软件
Windows安全配置也叫「安全基线」配置,就是我们常说的 check list
1、安装部署
系统安装前,应选择「最新版本」的官方或可靠镜像,并使用MD5校验镜像的完整性,很多非官方的ghost镜像,可能会携带后门或病毒。
系统安装时,应明按照「最小化部署」原则,不安装不需要的组件,关闭不需要的服务和功能。
系统安装后,应即使安装安全补丁。
2、访问控制
启用Windows自带的防火墙,按照最小化原则配置「访问策略」。
【控制面板】-【系统和安全】-【Windows Defender 防火墙】-【启用或关闭 Windows Defender 防火墙】- 勾选两个启用。
以禁用永恒之蓝的445端口为例,演示一下配置防火墙策略。
【控制面板】-【系统和安全】-【Windows Defender 防火墙】-【高级设置】-【入站规则】-【新建规则】
规则类型选「端口」
「协议」选 TCP,端口选 特定本地端口,填445。
「操作」选阻止连接
配置文件 默认
名称 自定义
添加后「立即生效」不用重启。可以在入站规则看到。关闭端口后,利用445端口的攻击就无法生效了。
3、账户安全
win + r,输入 compmgmt.msc 打开计算机管理。
【系统工具】-【本地用户和组】-【用户】中「修改管理员账号默认名称」。右键Administrator 重命名。
「禁用来宾账户」,右键Guest 属性,勾选禁用。
4、密码策略
Windows默认不启用密码策略,需要手动开启,防止弱口令。
win + r,输入secpol.msc 打开本地安全策略,按照要求配置密码策略。右键属性可以改。
密码复杂性要求:必须开启
- 不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分。
- 长度至少六个字符。
- 包含大小写字母、数字、特殊字符中的三种。
密码长度最小值:不能少于8个字符
密码最短使用期限:不能小于2天
密码最长使用期限:不能超过90天
强制密码历史:不能重复使用前5个密码
用可还原的加密来存储密码:禁用
5、账号锁定策略
Windows默认不启用账号锁定策略,需要手动开启,防止暴力破解。
win + r,输入secpol.msc 打开本地安全策略,按照要求配置账号锁定策略。右键属性可以改。
账号锁定阈值:登录失败不超过6次锁定
账号锁定时间:最低锁定30分钟
重置账号锁定计数器:30分钟后解除锁定,小于等于账号锁定时间
6、本地安全策略
win + r,输入secpol.msc 打开本地安全策略。
找到【安全设置】-【本地策略】-【用户权限分配】
- 从网络访问此计算机,只给指定的授权用户。
- 关闭系统和从远程系统强制关机,只给administrators组权限,其他用户全部删除。
- 取得文件或其他对象的所有权,只给administrators组权限。
- 允许本地登录,只给指定的授权用户。
找到【安全设置】-【本地策略】-【安全选项】
- Microsoft 网络服务器:暂停会话前所需的空闲时间数量。设置远程登录超时时间不超过15分钟。
- Microsoft网络服务器:登录时间过期后断开与客户端的连接。启用,远程登录超时后自动断开。
- 关机:清除虚拟内存页面文件。启用,关机前清除缓存数据。
- 网络安全:在超过登录事件后强制注销。启用,自动注销本地登录的用户。
- 交互式登录:提示用户在过期之前更改密码。密码过期提醒设置14天。
- 交互式登录:不显示最后的用户名。启用,不显示上次登录的用户名。
- 域成员:禁用计算机账号密码更改。启用,禁止域成员更改账号密码。
- 网络访问:不允许SAM账户和共享的匿名枚举。启用,禁止匿名用户远程枚举。
7、安全审计
开启时间服务,win + r,输入services.msc 打开服务,Windows Time服务设置为自启动。(如果有)并配置企业内部的时间服务器。
开启日志功能,win + r,输入secpol.msc 打开本地安全策略,审核策略全部开启(右键属性修改)。
调整日志大小,win + r,输入eventvwr 打开事件查看器,将Windows日志中,应用程序、安全、Setup、系统这四项的日志大小调整到100MB以上。右侧属性 - 常规 - 日志最大大小。
企业内部部署日志服务器,实现日志的统一存储和搜索,最低保存6个月。
8、文件共享
net share 查看文件共享是否开启。
win + r,输入 services.msc,打开服务,共享服务对应的服务名是 Server,右键属性,启动类型选择禁用。
如果必须开启文件共享,则需要限制共享文件夹的访问权限。
win + r 输入 compmgmt.msc,打开计算机管理,找到系统工具 - 共享文件夹 - 共享 - 更多操作 - 属性 - 共享权限,不给everyone,只给指定的授权用户。
9、关闭自动播放
Windows默认开启自动播放功能,这可能会成为U盘病毒的传播途径。
win + r,输入 gpedit.msc,打开本地组策略编辑器,在计算机配置 - 管理模板 - Windows 组件 找到 自动播放策略,右键编辑,勾选已启用。
10、第三方安全软件
防病毒软件:部署在终端上,从控制台实现统一查杀病毒。
主机入侵检测:装在主机上的入侵检测软件
- HIDS(Host-based Intrusion Detection System)基于主机的入侵检测系统,目前很少用了。
- EDR(Endpoint Detection and Response)端点检测与响应。记录终端与网络事件,通过云端威胁情报、机器学习、异常行为分析和已知的攻击,主动发现来自外部和内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。
- NDR(Network Detection and Response)网络检测与响应,EDR的升级版。EDR偏终端,NDR偏网络。实时监测网络流量和安全事件,发现潜在威胁。
- XDR(Extended Detection and Response)NDR的升级版,可扩展威胁检测与响应。X代表一切,终端、网络、云端的日志都收集和检测,发现潜在的威胁。