| Windows系统安全基线 | 您所在的位置:网站首页 › 引用的帐户当前已锁定且可能无法登陆 › Windows系统安全基线 |
Windows系统安全基线
|
文章目录
前言一、安全基线概述1.操作系统安全基线
二、系统账户安全1.控制密码安全2.密码策略3.账户锁定策略例:密码策略应用例:账户锁定策略应用
三、本地策略1.审核策略2.用户权限分配3.安全选项配置例:审核策略应用例:用户权限配置应用例:安全选项配置应用
四、系统账户安全加固1.Windows账户管理2.共享安全加固例:查看账户信息例:关闭默认共享例:系统服务加固
前言
系统安全基线 一、安全基线概述 1.操作系统安全基线服务器安全基线是为了满足安全规范要求,服务器必须要达到的安全(最低)标准 主要有以下作用 1)设置口令复杂度策略,防止暴力破解密码; 2)控制用户或文件权限,减少被攻击后的影响; 3)最小化安装操作系统,防止不必要的服务带来的安全问题。安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛通常包含:操作系统、网络设备、数据库等Windows系统安全配置 1)用户管理 2)密码策略管理 3)共享管理 4)文件权限管理 5)用户权限管理 6)日志审核管理 7)远程管理 8)其他安全选项 二、系统账户安全 1.控制密码安全本地安全策略:指的是为保护本计算机资源而配置的规则 本地安全策略工具:开始→管理工具→本地安全策略  本地策略:审核策略、用户权限分配、安全选项
2.密码策略
1)密码必须符合复杂性要求 不能包含用户的账户名包含以下四类字符中的三类字符:大写字母(A到Z),小写字母(a到z),数字(0到9),非字母字符(例如!、$、#、%)等
2)密码长度最小值 3)密码最长使用期限(默认42天) 4)密码最短使用期限 5)强制密码历史 3.账户锁定策略配置账户锁定策略,防止暴力破解攻击 本案例要求在WinSvr2016中设置密码策略,以实现账户安全的要求,相关说明如下: 1)以管理员登录,打开“本地安全策略” 2)设置账户策略中密码策略,密码必须符合复杂性要求:启用 3)设置密码长度最小值:8个 4)验证密码策略 步骤一:以管理员登录,打开“本地安全策略” 以administrator登录电脑,依次单击“开始”–>“Windows管理工具”–>“本地安全策略” 打开“本地安全策略”窗口  步骤二:设置账户策略中密码策略 1)依次展开“账户策略”–>“密码策略”  2)双击窗口右侧“密码必须符合复杂性要求”,设置为“开启”  3)双击窗口右侧“密码长度最小值”,设置为“8个”  4)最终“密码策略”设置结果  步骤三:验证密码策略、 1)验证密码策略,打开“本地用和组”管理窗口,修改用户“guojing”的密码  输入简单的密码“123456”,弹出对话框显示“密码不满足密码策略的要求”  输入复杂的密码“Aa123456”,弹出对话框显示“密码已设置” 
例:账户锁定策略应用
本案例要求在WinSvr2016中设置账户锁定策略,以实现账户安全的要求,相关说明如下。 1)以管理员登录,打开“本地安全策略” 2)设置账户策略中账户锁定策略,账户锁定阈值:3 3)账户锁定时间:10分钟 4)验证账户锁定策略 步骤一:设置账户策略中账户锁定策略 1)依次展开“账户策略”–>“账户锁定策略” 2)双击窗口右侧“账户锁定阈值”,修改为“3次无效登录”锁定账户  3)双击窗口右侧“账户锁定时间”,修改为“10分钟“  4)最终“账户锁定策略”设置结果  步骤二:验证账户锁定策略 1)验证“账户锁定策略”,切换账户使用“guojing”登录,先输入3次错误的密码,当输入第4次时,显示“引用的账户当前已锁定,且可能无法登录  需要等待10分钟后账户“guojing”自动解锁,或使用管理员登录后到“本地用和组”管理窗口中“手动解锁” 
三、本地策略
本地策略适用于计算机,包括以下策略: 审核策略:设置计算机上的安全日志中的日志记录用户权限分配:设置用户和组的权限安全选项:为计算机指定安全设置
1.审核策略
配置以安全日志的方式记录安全相关事件 审核策略更改,记录对策略的修改事件审核登陆事件,记录用户登陆成功或失败事件审核账户管理,记录用户添加/删除/重命名/禁用/启用等事件审核对象访问,记录对非目录(Active Directory)访问的事件审核进程跟踪,记录与进程相关的事件审核目录服务访问,记录对目录(Active Directory)访问的事件审核权限使用,记录用户权限使用的事件审核系统事件,记录对OS进行以下设置的事件(更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于审核系统失败而导致已审核事件丢失、安全日志大小超过可配置的警告或阈值级别)审核账户登陆事件,记录每次验证账户凭证时的事件
2.用户权限分配
设置用户和组的权限 允许通过远程桌面服务登陆允许本地登陆拒绝本地登陆更改系统时间备份文件和目录 
3.安全选项配置
交互式登陆:无需按Ctrl+Alt+Del,默认禁用交互式登陆:提示用户在密码过期之前更改密码,默认5天交互式登陆:不显示最后的用户名,默认禁用关机:允许系统在未登录的情况下关闭,默认禁用… 
例:审核策略应用
本案例要求在WinSvr2016中设置审核策略,以实现本地计算机安全的要求,相关说明如下。 1)以管理员登录,打开“本地安全策略” 2)设置审核策略,设置审核账户管理:成功、失败 3)分别验证设置本地策略的效果 步骤一:设置审核策略 1)打开“本地安全策略”窗口,依次展开“本地策略”–>“审核策略” 2)在窗口右侧,双击“审核账户管理”,在“审核账户管理属性”对话框中,勾选“成功”和“失败”  3)验证审核策略效果,重命名guojing帐户名为jinggege,在控制面板中,双击“管理工具-事件查看器-Windows日志-安全”,双击“用户账户管理事件”在弹出的对话框中,查看账户管理事件 
例:用户权限配置应用
本案例要求在WinSvr2016中设置用户权限策略,以实现本地计算机安全的要求,相关说明如下: 1)以管理员登录,打开“本地安全策略”设置用户权限分配 2)设置拒绝本地登录:huangrong 3)设置本地关机:只有管理员用户可以本地关系统操作系统 4)验证设用户权限分配效果 步骤一:设置用户权限分配 1)打开“本地安全策略”窗口,依次展开“本地策略”–>“用户权限分配” 2)在窗口右侧双击“拒绝本地登录”,在“拒绝本地登录属性”对话框,添加“huangrong”用户  3)在窗口右侧双击“关闭系统”,在“关闭系统属性”对话框,删除其他用户及组仅保留Administrators组  4)验证用户权限分配,注销登录系统输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……” 
例:安全选项配置应用
本案例要求在WinSvr2016中设置安全选项策略,以实现本地计算机安全的要求,相关说明如下: 1)设置安全选项,交互式登录: 不显示最后的用户名:启用 2)设置安全选项, 交互式登录: 无需按 Ctrl+Alt+Del:启用 3)验证安全选项策略的效果 步骤一:设置安全选项 1)打开“本地安全策略”窗口,依次展开“本地策略”–>“安全选项” 2)在窗口右侧双击“交互式登录:不显示最后的用户名”,在其属性对话框,选中“已启用” 
3)在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”,在其属性对话框,选中“已启用”  2)输入用户名huangrong和正确的密码,显示“不允许使用你正在尝试的登录方式,……” 
四、系统账户安全加固
1.Windows账户管理
多用户系统 Windows不应只有一个管理员用户,应根据业务需求,设定不同的用户和用户组,如管理员用户、web用户、数据库用户定期检查用户,删除无用、过期的账户 应保证所有用户均为有效且在用禁用Guest用户 系统应禁用Guest账户,Guest账户默认不开启账户管理 更改默认管理员账户(应更改默认管理员administrator的名称,防止暴力破解等问题) 不显示最后得到用户名(用户登陆出后,下次登陆时,不应显示上次登陆用户的名称)检测方法 控制面板-系统和安全-管理工具-计算机管理 控制面板-系统和安全-管理工具-本地安全策略查看当前系统账户 1)打开cmd查看当前系统账户 2)开始→控制面板→管理工具→计算机管理,进入本地用户和组,查看用户 3)打开注册表,查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/ 
2.共享安全加固
关闭默认共享 关闭Windows默认共享 例如:Admin$,C $,D $等检测方法 打开cmd,输入net share查看目前的共享 控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享删除本机默认共享 1)利用net命令删除(本方法停止共享,立即生效,但是重启系统后,默认共享会自动恢复) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share c$ /delete net share c$ /delete 2)关闭磁盘与Admin默认共享 ①在注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ②双击右侧窗口的“AutoShareServer”项将键值由1改为0,“AutoShareSks”项将键值由1改为0 ③如果没有“AutoShareServer”项或“AutoShareSks”项,可新建一个再改键值 ④重启后生效,以后重启也不会再出现共享  停止共享服务 1)打开服务管理器 2)共享服务对应的名称时“Server”(在进程中的名称为services) 3)双击“Server”,在“常规”标签中把“启动类型”更改为“已禁用” 4)单击下面“服务状态”的“停止”按钮,再确认就可以
例:查看账户信息
本案例要求在Windows系统中查看用户信息,相关说明如下。 1)以管理员登录,进入命令提示环境查看用户 2)打开注册表查看用户 步骤一:以管理员登录,运行“命令提示环境”,查看用户信息 以administrator登录电脑,运行–>“cmd”–>“打开命令提示环境”,输入net user命令查看系统用户信息 步骤二:打开注册表查看用户信息 1)运行“regedit”打开注册表  2)依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限,添加Administrator用户勾选完全控制权限  3)查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名  4)用户名键值下的值,对应的Users下的键  5)Users下的F键值,为权限设置信息 
例:关闭默认共享
本案例要求在Windows系统中关闭默认共享,提高系统安全,相关说明如下。 1)在注册表编辑器,找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项 2)“ AutoShareSks”项关闭磁盘默认共享 3)“AutoShareServer”项关闭Admin默认共享 步骤一:打开注册表找到parameters"项,编辑注册表关闭默认共享 1)进入Windows命令提示环境,输入net share已查看默认共享有C $、Admin $ 2)以管理员登录,打开“注册表”,查 找"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项  3)“parameter”项右侧窗口中查找“AutoShareSks”项,如果没有 “AutoShareSks”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareSks”项将键值由1改为0  4)“parameter”项右侧窗口中查找"AutoShareServer"项,如果没有 “AutoShareServer”项,可自己新建一个键值DWORD(32位)值(D),双击“AutoShareServer”项将键值由1改为0  5)重启系统运行命令提示环境,输入net share已查看不到磁盘与Admin共享 
例:系统服务加固
本例要求为Windows系统服务加固,禁用以下服务: 1)IP Helper、Base Filtering Engine、Print Spooler 2)Security Center、Server、SSDP Discovery Top 3)TCP/IP NetBIOS Helper 4)Windows Defender Service 步骤一:打开服务管理器 1)右击“此电脑”–>“管理”–>“服务”,或者,运行 services.msc 都可以打开服务控制台 2)双击需要关闭的系统服务(比如IP Helper),将启动类型设为“禁用”,如果需要立即禁用此服务,可以单击“停止”按钮,其他需要停止的有务参照此方法完成。 
|
4)最终“安全选项”设置结果 
【本文地址】