应急响应Windows 安全部署
Posted 水清云影
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了应急响应Windows 安全部署相关的知识,希望对你有一定的参考价值。
一、补丁管理
运行cmd,输入systeminfo查看目前补丁信息
二、账户管理
gpedit.msc —>Windows设置—>安全设置—>本地设置—>账户设置
密码策略:
1、密码必须符合复杂性要求(启用) 2、密码长度最小值(8) 3、密码最长使用期限(90天) 4、密码最短使用期限(1天) 5、强制密码历史(24) 6、用可还原的加密来储存密码(禁用)
账户锁定策略:
1、复位帐户锁定计数器(15分钟之后) 2、帐户锁定时间(15分钟) 3、帐户锁定阀值(3次无效登录)
三、审核策略
gpedit.msc —>Windows设置—>安全设置—>本地设置—>本地策略
1、审核策略更改(成功和失败) 2、审核登录事件(成功和失败) 3、审核对象访问(失败) 4、审核过程跟踪(可选) 5、审核目录服务访问(未定义) 6、审核特权使用(失败) 7、审核系统事件(成功和失败) 8、审核帐户登录事件(成功和失败) 9、审核帐户管理(成功和失败)
四、不必要的服务
已启动且需要停止的服务包括:
Alerter – 禁止
Clipbook – 禁止
Computer Browser – 禁止
Internet Connection Sharing – 禁止
Messenger – 禁止
Remote Registry Service –禁止
Routing and Remote Access – 禁止
Server – 禁止
Simple Mail Trasfer Protocol(SMTP) – 禁止
Simple Network Management Protocol(SNMP) Service – 禁止
Simple Network Management Protocol(SNMP) Trap – 禁止
Telnet – 禁止
World Wide Web Publishing Service – 禁止
IPSEC Policy Agent– 禁止
Microsoft Search– 禁止
Print Spooler– 禁止
RunAs Service– 禁止
Security Accounts Manager – 禁止
Task Scheduler– 禁止
五、修改部分命令权限
xcopy.exe
wscript.exe
cscript.exe
net.exe
arp.exe
edlin.exe
ping.exe
route.exe
posix.exe
Rsh.exe
atsvc.exe
Copy.exe
cacls.exe
ipconfig.exe
rcp.exe
cmd.exe
debug.exe
regedt32.exe
regedit.exe
edit.com
telnet.exe
Finger.exe
Nslookup.exe
Rexec.exe
ftp.exe
at.exe
runonce.exe
nbtstat.exe
Tracert.exe
netstat.exe
六、日志审核
控制面板—>管理工具—>计算机管理—>系统工具—>本地策略
16382K 覆盖早于30天的时间
七、注册表安全
禁止匿名用户连接:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
"restrictanonymous"值为1
删除主机默认共享:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
修改或增加键值 AutoShareServer REG_DWORD 0
以上是关于应急响应Windows 安全部署的主要内容,如果未能解决你的问题,请参考以下文章