应急响应Windows 安全部署

Posted 水清云影

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应Windows 安全部署相关的知识,希望对你有一定的参考价值。

一、补丁管理

运行cmd,输入systeminfo查看目前补丁信息

二、账户管理

gpedit.msc —>Windows设置—>安全设置—>本地设置—>账户设置

密码策略:

1、密码必须符合复杂性要求(启用)
2、密码长度最小值(83、密码最长使用期限(90天)
4、密码最短使用期限(1天)
5、强制密码历史(246、用可还原的加密来储存密码(禁用)

账户锁定策略:

1、复位帐户锁定计数器(15分钟之后)
2、帐户锁定时间(15分钟)
3、帐户锁定阀值(3次无效登录)

三、审核策略

gpedit.msc —>Windows设置—>安全设置—>本地设置—>本地策略

1、审核策略更改(成功和失败)
2、审核登录事件(成功和失败)
3、审核对象访问(失败)
4、审核过程跟踪(可选)
5、审核目录服务访问(未定义)
6、审核特权使用(失败)
7、审核系统事件(成功和失败)
8、审核帐户登录事件(成功和失败)
9、审核帐户管理(成功和失败)

四、不必要的服务

已启动且需要停止的服务包括:

Alerter – 禁止
Clipbook – 禁止
Computer Browser – 禁止
Internet Connection Sharing – 禁止
Messenger – 禁止
Remote Registry Service –禁止
Routing and Remote Access – 禁止
Server – 禁止
Simple Mail Trasfer Protocol(SMTP) – 禁止
Simple Network Management Protocol(SNMP) Service – 禁止
Simple Network Management Protocol(SNMP) Trap – 禁止
Telnet – 禁止
World Wide Web Publishing Service – 禁止
IPSEC Policy Agent– 禁止
Microsoft Search– 禁止
Print Spooler– 禁止
RunAs Service– 禁止
Security Accounts Manager – 禁止
Task Scheduler– 禁止

五、修改部分命令权限

 

xcopy.exe 
wscript.exe 
cscript.exe 
net.exe  
arp.exe 
edlin.exe 
ping.exe 
route.exe  
posix.exe 
Rsh.exe 
atsvc.exe 
Copy.exe 
cacls.exe 
ipconfig.exe 
rcp.exe 
cmd.exe 
debug.exe 
regedt32.exe 
regedit.exe 
edit.com  
telnet.exe
Finger.exe
Nslookup.exe
Rexec.exe 
ftp.exe 
at.exe
runonce.exe 
nbtstat.exe  
Tracert.exe
netstat.exe

 

六、日志审核

控制面板—>管理工具—>计算机管理—>系统工具—>本地策略

16382K 覆盖早于30天的时间

七、注册表安全

    禁止匿名用户连接:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
"restrictanonymous"值为1

删除主机默认共享
:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
修改或增加键值 AutoShareServer REG_DWORD 0

以上是关于应急响应Windows 安全部署的主要内容,如果未能解决你的问题,请参考以下文章

网络安全应急响应----9WebShell应急响应

网络安全应急响应事件场景二

Windows和Linux网络威胁入侵的应急响应思路和方法

应急响应——Windows入侵排查

[ 应急响应基础篇 ] Windows系统隐藏账户详解(Windows留后门账号)

应急响应篇:windows入侵排查