旅游网站内容规划特点,wordpress会员可见,郑州做网站要,中国建设劳动学会官方网站是多少Windows基线安全检测-安全配置检测 前言 Windows在生产环境中是使用最多的一个系统#xff0c;大部分为客户端#xff0c;少部分为服务端#xff1b; 然而其实很多用户对windows系统不是很了解#xff0c;安全配置更是如此#xff1b; 因此我们安全人员要定期对员工的主…Windows基线安全检测-安全配置检测 前言 Windows在生产环境中是使用最多的一个系统大部分为客户端少部分为服务端 然而其实很多用户对windows系统不是很了解安全配置更是如此 因此我们安全人员要定期对员工的主机做必要的安全检测其中基线的定期检测就是方式之一 以下则是我亲自编写测试上线使用的检测和修复脚本如有不对的地方欢迎大家留言我会立马改正 各模块检测 1、系统账号安全 内容 账号策略失败锁定次数(5次)、时长(15min) 根据实际情况调整即可 检测方式 组策略–计算机配置–windows设置–安全设置–帐户策略–账户锁定策略–(账户锁定时间15min账户锁定阈值5次) 2、设置Sysmon服务开机自启 内容 Sysmon作为windows下系统监控工具通过编写配置文件能够发现windows系统的部分异常操作行为建议该服务设置为开机自启 检测方式 function Check-SysmonService { $service Get-Service -Name Sysmon64 if ($service.Status -eq Running) { Write-Output Sysmon服务正在运行 } else { Write-Output Sysmon服务未运行 } } Check-SysmonServicefunction Check-SysmonServiceStartup { $service Get-Service -Name Sysmon64 $status $service.StartType if ($status -eq Automatic) { Write-Output Sysmon服务已设置为开机自启 } else { Write-Output Sysmon服务未设置为开机自启 } } Check-SysmonServiceStartup修复方式 控制面板–管理工具–服务–Sysmon/Sysmon32/Sysmon64– 右键属性–启动类型–自动 3、补丁更新配置 内容 配置对应的补丁更新服务器【wsus】及时获取到最新的补丁更新详情 根据实际情况调整即可 检测方式 1、 组策略–计算机配置–管理模板–Windows组件–Windows更新–配置自动更新(4-自动下载并计划安装、计划安装日期-每天、计划安装时间-03:00、每周) 2、 组策略–计算机配置–管理模板–Windows组件–Windows更新–指定Intranet Microsoft 更新服务位置 3、 组策略–计算机配置–管理模板–Windows组件–Windows更新–自动更新检测频率(22小时) 4、 组策略–计算机配置–管理模板–Windows组件–Windows更新–允许非管理员接收更新通知 根据实际情况调整即可 修复方式 Dim OperationRegistry Set OperationRegistryWScript.CreateObject(WScript.Shell) OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate,0,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions,4,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AutomaticMaintenanceEnabled,1,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallDay,0,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallTime,3,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallEveryWeek,1,REG_DWORDOperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer,Intranet Microsoft 更新服务位置,REG_SZ OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer,Intranet Microsoft 更新服务位置,REG_SZOperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequencyEnabled,1,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequency,22,REG_DWORDOperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins,1,REG_DWORD4、禁止远程桌面的文件拷贝 内容 部分Windows属于服务器会有限制此功能的需求 跳板机应该禁止rdp远程桌面使用剪贴板功能此策略设置指定是否阻止在远程桌面服务会话期间远程计算机和客户端计算机之间共享剪贴板内容剪贴板重定向 检测方式 1、组策略–计算机配置–管理模板–Windows组件–远程桌面服务–远程桌面会话主机–设备和资源重定向–“不允许剪贴板重定向” 是否设置为已启用 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableClip,1,REG_DWORD5、禁止远程桌面的共享盘挂载、远程打印 内容 1、 此策略设置允许您指定是否阻止在远程桌面服务会话中映射客户端打印机 2、 此策略设置指定是否阻止在远程桌面服务会话中映射客户端驱动器驱动器重定向 检测方式 1、组策略–计算机配置–管理模板–Windows组件–远程桌面服务–远程桌面会话主机–打印机重定向– “不允许客户端打印机重定向” 是否设置为已启用 2、组策略–计算机配置–管理模板–Windows组件–远程桌面服务–远程桌面会话主机–设备和资源重定向–“不允许驱动器重定向” 是否设置为已启用 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCpm,1,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm,1,REG_DWORD6、禁用SMBv1协议 内容 SMBv1协议目前属于不安全的协议该协议会容易造成计算机受到蠕虫攻击建议禁用该协议 检测方式 Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2ProtocolSMBV2协议为True代表已禁用SM1服务 修复方式 #禁用服务端 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,0,REG_DWORD #禁用客户端 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10\Start,4,REG_DWORD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService删除MRxSMB10 #必须重新操作系统7、开启必要日志记录 内容 Windows系统日志是记录系统中硬件、软件和系统问题的信息同时还可以监视系统中发生的事件。 用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹 检测方式 组策略–计算机配置–Windows设置–安全设置–高级审核策略配置–(账户登录、账户管理、详细跟踪、DS访问、登录/注销、对象访问、策略更改、特权使用、系统)启用成功失败 8、日志大小设置 内容 应用程序事件日志大小必须配置为32768 KB或更大 安全事件日志大小必须配置为1024000 KB或更大 系统事件日志大小必须配置为32768 KB或更大; 根据实际情况调整即可 检测方式 组策略–计算机配置–管理模板–Windows组件–事件日志服务–(应用程序、安全、系统)–指定日志文件的最大大小(KB)、控制事件日志在日志文件达到最大大小时的行为(已启用)、日志文件写满后自动备份(已启用) 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize,32768,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention,1,REG_SZ OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\AutoBackupLogFiles,1,REG_SZOperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize,1024000,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention,0,REG_SZ OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\AutoBackupLogFiles,1,REG_SZOperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize,32768,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention,1,REG_SZ OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\AutoBackupLogFiles,1,REG_SZ9、禁用Guest账户 内容 Guest账户通常是一个匿名用户账户允许用户在不需要提供用户名和密码的情况下访问系统。禁用Guest账户可以有效防止未经授权的访问和潜在的安全风险。 修复方式 1、编辑组策略–计算机配置–Windows设置–安全设置–本地策略–安全选项–禁用账户来宾账户状态 10、必须启用Windows Defender 内容 Windows Defender 是Windows操作系统内置的一款防病毒和反恶意软件工具。它可以帮助保护你的计算机免受病毒、恶意软件和其他安全威胁的侵害 检测方式 1、 编辑组策略–计算机配置–管理模板–Windows组件–Microsoft Defender 防病毒程序–关闭 Microsoft Defender 防病毒程序已禁用 2、 编辑组策略–计算机配置–管理模板–Windows组件–Microsoft Defender 防病毒程序–实时保护–关闭实时保护已禁用 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware,0,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring,0,REG_DWORD11、修改关键服务端口 内容 默认端口众所周知应修改默认端口以减少攻击 根据实际情况调整即可 检测方式 修改远程端口3389为31763或其他不常用端口 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber,31763,REG_DWORD OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber,31763,REG_DWORD #修改防火墙策略 New-NetFirewallRule -DisplayName RDPPORTLatest-TCP-In -Profile Public -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue New-NetFirewallRule -DisplayName RDPPORTLatest-UDP-In -Profile Public -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue12、开启Windows Defender防火墙 内容 Windows Defender防火墙有助于防止黑客和恶意软件通过 Internet 或网络访问你的电脑 修复方式 编辑组策略–计算机配置–windows设置–安全设置–高级安全Windows Defender防火墙–为域、专用和公用网络设置选择“打开Windows Defender防火墙” 13、减少用户访问功能 内容 删除不必要的桌面访问功能避免系统不必要的信息被查看例如删除计算机、回收站等入口 检测方式 1、 组策略–用户配置–管理模块–桌面–从桌面删除回收站已启用 2、 组策略–用户配置–管理模块–桌面–删除桌面上的计算机图标已启用 修复方式 OperationRegistry.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{645FF040-5081-101B-9F08-00AA002F954E},1,REG_DWORDOperationRegistry.RegWrite HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D},1,REG_DWORD14、时间同步服务 内容 Win 时间同步是指确保计算机系统中各个设备的时间保持一致。这对于许多计算机操作和网络通信是至关重要的尤其是在多台计算机协同工作或在网络环境中进行数据传输时 修复方式 1、组策略–计算机配置–管理模板 --系统– Windows 时间服务–全局配置设置设为“已启用”不需修改参数。 2、组策略–计算机配置 --管理模板 -- 系统–Windows 时间服务 - 时间提供程序–配置Windows NTP客户端设置为已启用。 IP设置为与第一步相同的NTP服务器IPIP之后的“,0x9”需要保留。 类型选择AllSync表示即可与NTP同步也可与域同步。 SpecialPollInterval参数设置同步周期单位为秒设置为600秒即为10分钟同步一次。 15、设置密码使用期限策略 内容 密码需要定期更改 根据实际情况调整即可 修复方式 在管理工具打开本地安全策略打开路径:安全设置\帐户策略\密码策略将密码最长使用期限设置为30-180之间建议值为90将密码最短使用期限设置为1-14之间建议值为7 16、密码复杂性配置 内容 在管理工具打开本地安全策略打开路径:(计算机策略\计算机配置\Windows设置)安全设置\帐户策略\密码策略将密码必须符合复杂性要求设置为已启用将密码最小长度设置为8以上 根据实际情况调整即可 修复方式 控制面板-管理工具-本地安全策略-帐户策略-密码策略-密码必须符合复杂性要求-属性:启用启用密码必须符合复杂性要求 控制面板-管理工具-本地安全策略-帐户策略-密码策略-密码长度最小值-属性-设置最小密码长度为8 17、强制密码历史’设置为5-24之间 内容 在管理工具打开本地安全策略打开路径:安全设置\帐户策略\密码策略将强制密码历史设置为5-24之间 根据实际情况调整即可 18、配置账户锁定策略 内容 配置账户锁定策略降低被爆破和猜测风险 根据实际情况调整即可 修复方式 在管理工具打开本地安全策略打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间建议值为5输错5次密码锁定账户然后将账户锁定时间和重置账户锁定计数器设置为10-30之间建议值为15账户锁定时间为15分钟 19、启用安全审计功能 内容 开启审核策略对重要的用户行为和重要安全事件进行审计; 修复方式 在管理工具打开本地安全策略打开路径:安全设置\本地策略\审核策略将全部审核策略配置为成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项 20、匿名账户访问控制 内容 在管理工具打开本地安全策略打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为已禁用将“不允许SAM帐户的匿名枚举“设置为已启用将“不允许SAM帐户和共享的匿名枚举”设置为已启用将”允许匿名SID/名称转换“设置为已禁用 21、配置安全选项账户策略 内容 配置安全选项账户策略,限制空密码账户和禁用guest账户 修复方式 在管理工具打开本地安全策略打开路径:安全设置\本地策略\安全选项。将账户来宾账户状态设置为:已禁用将账户使用空密码的本地账户只允许控制台登陆设置为:启用 22、检测身份验证凭据是否为加密存储 内容 检测身份验证凭据是否为加密存储 修复方式 OperationRegistry.RegWrite HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential,0,REG_DWORD23、超时锁屏时间3小时 内容 修复完需要重启生效; 根据实际情况调整即可 修复方式 Dim OperationRegistry Set OperationRegistryWScript.CreateObject(WScript.Shell) OperationRegistry.RegWrite HKCU\Control Panel\Desktop\ScreenSaveTimeOut,10800,REG_DWORD OperationRegistry.RegWrite HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs,10800,REG_DWORD24、禁止Windows远程管理WinRM客户端使用 内容 需根据实际场景来定 检测方式 function Check-WinrmService { $service Get-Service -Name winrm if ($service.Status -eq Running) { Write-Output Winrm服务正在运行 } else { Write-Output Winrm服务未运行 } } Check-WinrmService修复方式 #停止winrm服务 Stop-Service WinRM #将winrm服务设置为禁用 Set-Service -Name WinRM -StartupType Disabled