




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Windows安全配置理解windows安全配置维度掌握Windows安全配置的方法教学目标Windows安全配置简介Windows账户配置Windows本地配置Windows防火墙配置Windows高级审核策略配置目录通常在Windows安全配置中有两类对象一类是WindowsServer,如winserver2012、winserver2016、winserver2019等一类是WindowsClient,如win7、win8、win10等在Windows安全配置中,如果组织有条件,对WindowsClient的安全配置
我们可以借助微软的活动目录来实现自动化。而对WindowsServer通常为保障服务器稳定运行,我们倾向于的是手动配置。本文我们以WindowsServer2012
R2为例,进行加固讲解Windows安全配置简介Windows安全配置方法通常我们使用组策略对windows进行安全配置组策略中的安全配置与注册表也可以对应,但注册表可读性较差。组策略有详细的说明,所以我们通常使用组策略在windows客户端系统中,HOME版本是没有组策略的的功能。打开组策略的方法是右键开始-->运行-->gpedit.mscWIN+R-->gpedit.mscWindows安全配置简介Windows不论什么版本,进行安全配置均包含以下两个常用维度账户策略密码策略账户锁定策略本地策略审计策略用户权限策略安全选项Windows安全配置简介除了上述常用的配置,还会包含以下两个维度防火墙策略域配置文件私有网络配置文件高级审计策略账户登录账户管理详细跟踪登录/注销对象访问策略更改Windows安全配置简介密码策略强制密码历史,建议设置为24个密码最长使用期限,建议设置60天密码最短使用期限,建议设置为1天或更多密码长度最小值,建议设置为14密码必需符合复杂性要求,建议设置为启用用可还原的加密码来存储密码,建议设置为禁用Windows安全配置-账户策略密码策略配置Windows安全配置-账户策略密码策略配置重点理解选项--密码最短使用期限密码最短使用期限,表示用户更改密码后,多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。Windows安全配置-账户策略账户锁定策略账户锁定阈值,建议设置为10次或更少账户锁定时间,建议设置为15分钟或更多重置账户锁定计数器,建议设置为15分钟或更多Windows安全配置-账户策略用户权限分配作为受信任的呼叫方访问凭据管理器,建议设置为空。默认为空从网络访问此计算机,建议设置为Administrator,AuthenticatedUsers,ENTERPRISEDOMAINCONTROLLERS(域控设置)以操作系统方式执行,建议设置为空,默认为空将工作站添加到域,建议设置为Administrators为进程调整内存配额,建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE允许本地登录,建议设置为Administrators允许通过远程桌面服务登录,建议设置为Administrators,RemoteDesktopUsers(客户端设置)Windows安全配置-本地策略用户权限分配备份文件和目录,建议设置为Administrators更改系统时间,建议设置为Administrators,LOCALSERVICE更改时区,建议设置为Administrators,LOCALSERVICE创建页面文件,建议设置为Administrators创建一个信息对象,建议设置为空创建全局对象,建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE创建永久共享对象,建议设置为空创建符号链接,建议设置为AdministratorsWindows安全配置-本地策略用户权限分配调试程序,建议设置为Administrators拒绝从网络访问这台计算机,建议设置为Guests,本地的administrators中的其它用户或组。拒绝作为批处理作业登录,建议设置为Guest拒绝以服务身份登录,建议设置为Guest拒绝本地登录,建议设置为Guest拒绝通过远程桌面服务登录,建议设置为Guest和需要的本地用户信任计算机和用户账户可以执行委派,建议设置为空,域控设置为Administrators从远程系统强制关机,建议设置为AdministratorsWindows安全配置-本地策略用户权限分配生成安全审核,建议设置为LOCALSERVICE,NETWORKSERVICE身份验证后模拟客户端,建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE提高计划优先级,建议设置为Administrators加载和卸载设备驱动程序,建议设置为Administrators锁定内存页,建议设置为空管理审核和安全日志,建议设置为Administrators,默认符合修改固件环境值,建议设置为Administrators,默认符合执行卷维护任务,建议设置为Administrators,默认符合配置文件单一进程,建议设置为Administrators,默认符合Windows安全配置-本地策略用户权限分配还原文件和目录,建议设置为Administrators关闭系统,建议设置为Administrators取得文件或其他对象所有权,建议设置为Administrators,默认设置Windows安全配置-本地策略账户:账户:管理员账户状态,建议设置为禁用账户:阻止Microsoft账户,建议设置为用户不能添加Microsoft账户或使用该账户登录账户:来宾账户状态,建议设置为已禁用,默认设置账户:使用空密码的本地账户只通话进行控制台登录,建议设置为启用,默认设置账户:重命令系统管理员账户,建议重命名为非administrator账户:重命名来宾账户,建议重命名为非GuestWindows安全配置-安全设置Windows安全配置-安全设置审核:审核:如果无法记录安全审计则立即关闭系统,建议设置为禁用,默认设置审核:强制审核策略子类别设置,建议设置为启用Windows安全配置-安全设置设备:设备:允许对可移动媒体进行格式化并弹出,建议设置为Administrators设备:防止用户安装打印机驱动程序,建议设置为已启用,默认设置Windows安全配置-安全设置交互式登录交互式登录:不显示最后的用户名,建议设置已启用交互式登录:无须按Ctrl+Alt+Del,建议设置已禁用,默认设置交互式登录:计算机不活动限制,建议设置为900,不要设成0。可以理解为锁屏。交互式登录:试图登录的用户的消息文本,不要表现出任何信息,可以为空交互式登录:试图登录的用户的消息标题,不要表现出任何信息,可以为空交互式登录:之前登录到缓存的次数,建议设为4或更少交互式登录:提示用户在过期之前更改密码,建议5到14天交互式登录:需要域控制器身份验证以对工作站进行解锁,建议设置为启用Windows安全配置-安全设置Windows安全配置-安全设置交互式登录Microsoft网络客户端Microsoft网络客户端:对通信进行数字签名(始终),建议设置为已启用Microsoft网络客户端:对通信进行数字签名(如果服务器允许),建议设置为已启用,默认设置Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器,建议设置为已禁用,默认设置Windows安全配置-安全设置Microsoft网络服务器Microsoft网络服务器:暂停会话前所需空间的时间数量,建议设置15或更少Microsoft网络服务器:对通信进行数字签名(始终),建议设置为已启用Microsoft网络服务器:对通信进行数字签名(如果客户端允许),建议设置为已启用Microsoft网络服务器:登录时间过期后断开与客户端的连接,建议设置为已启用,默认设置Microsoft网络服务器:服务器SPN目标名称验证级别,建议设置为由客户端提供时接受或更高Windows安全配置-安全设置网络访问:网络访问:不允许SAM和共享的匿名枚举,建议设置为已启用网络访问:不允许存储网络身份验证的密码和凭据,建议设置为已启用网络访问:可匿名访问的共享,建议根据实际情况设置网络访问:可远程访问的注册表路径,建议设置为System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全设置网络访问:可远程访问的注册表路径和子路径,建议设置为System\CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\Services\EventlogSoftware\Microsoft\OLAPServerSoftware\Microsoft\WindowsNT\CurrentVersion\PrintSoftware\Microsoft\WindowsNT\CurrentVersion\WindowsSystem\CurrentControlSet\Control\ContentIndexSystem\CurrentControlSet\Control\TerminalServerSystem\CurrentControlSet\Control\TerminalServer\UserConfigSystem\CurrentControlSet\Control\TerminalServer\DefaultUserConfigurationSoftware\Microsoft\WindowsNT\CurrentVersion\PerflibSystem\CurrentControlSet\Services\SysmonLogWindows安全配置-安全设置网络访问:网络访问:网络访问:不允许SAM和共享的匿名枚举,建议设置为已启用网络访问:不允许存储网络身份验证的密码和凭据,建议设置为已启用网络访问:可匿名访问的共享,建议根据实际情况设置网络访问:可远程访问的注册表路径,建议设置为System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全设置网络安全网络安全:允许本地系统将计算机标识用于NTLM,建议设置为已启用网络安全:允许LocalSystemNULL会话回退,建议设置为已禁用网络安全:允许对此计算机的PKU2U身份验证请求使用联机标识,建议设置为已禁用网络安全:配置Kerberos允许的加密类型,建议设置AES128_HMAC_SHA1,AES256_HMAC_SHA1,将来的加密类型网络安全:在超过登录时间后强制注销,建议设置为已启用网络安全:LNA管理器身份验证级别,建议设置为仅发送NTLMv2响应,拒绝LM和NTLMWindows安全配置-安全设置用户账户控制用户账户控制:用于内置管理员账户的管理员批准模式,建议设置已启用用户账户控制:管理员批准模式中管理员的提升权限提示的行为,建议设置为在安全桌面上提示凭据用户账户控制:标准用户的提升提示行为,建议设置为,自动拒绝提升请求用户账户控制:允许UIAccess应用程序在不使用安全桌面的情况下提升权限,建议设置为已启用Windows安全配置-安全设置用户账户控制Windows安全配置-安全设置高级防火墙配置
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 大学同学会活动策划案
- 快递从业人员行业用语
- 2025年卫生招聘考试之卫生招聘(文员)题库检测试卷A卷附答案
- 儿童游乐行业数据分析
- 第 5 单元混合运算评估检测题(A卷)(单元测试)(无答案)2024-2025学年二年级下册数学人教版
- 学员课堂的纪律管理方法
- 外墙涂料知识培训课件
- 小学数学国奖说课
- 心理学移情课件
- 培训档案相关知识课件
- 二级甲等医院评审标准与评价细则
- 江西省鹰潭市2023-2024学年六年级下学期数学期中试卷(含答案)
- 2025年宜昌科技职业学院单招职业技能测试题库完整
- 2025年长春医学高等专科学校单招职业技能测试题库及完整答案1套
- 2024全球感染预防与控制报告
- 第二单元+新音乐启蒙+课件【高效课堂精研】高中音乐粤教花城版必修音乐鉴赏
- 春季传染病预防科普宣传
- 广播电视采访与制作知到智慧树章节测试课后答案2024年秋汉口学院
- 2025年全球创新生态系统的未来展望
- 2025年中国华电集团海南有限公司招聘笔试参考题库含答案解析
- 体育业务知识培训课件
评论
0/150
提交评论