【应急响应】Windows 安全部署

2021-05-04 18:27

阅读:541

标签:ipconfig   sof   world   工具   还原   nts   work   管理   cer   

一、补丁管理

运行cmd,输入systeminfo查看目前补丁信息

二、账户管理

gpedit.msc —>Windows设置—>安全设置—>本地设置—>账户设置

密码策略:

1、密码必须符合复杂性要求(启用)
2、密码长度最小值(83、密码最长使用期限(90天)
4、密码最短使用期限(1天)
5、强制密码历史(246、用可还原的加密来储存密码(禁用)

账户锁定策略:

1、复位帐户锁定计数器(15分钟之后)
2、帐户锁定时间(15分钟)
3、帐户锁定阀值(3次无效登录)

三、审核策略

gpedit.msc —>Windows设置—>安全设置—>本地设置—>本地策略

1、审核策略更改(成功和失败)
2、审核登录事件(成功和失败)
3、审核对象访问(失败)
4、审核过程跟踪(可选)
5、审核目录服务访问(未定义)
6、审核特权使用(失败)
7、审核系统事件(成功和失败)
8、审核帐户登录事件(成功和失败)
9、审核帐户管理(成功和失败)

四、不必要的服务

已启动且需要停止的服务包括:

Alerter – 禁止
Clipbook – 禁止
Computer Browser – 禁止
Internet Connection Sharing – 禁止
Messenger – 禁止
Remote Registry Service –禁止
Routing and Remote Access – 禁止
Server – 禁止
Simple Mail Trasfer Protocol(SMTP) – 禁止
Simple Network Management Protocol(SNMP) Service – 禁止
Simple Network Management Protocol(SNMP) Trap – 禁止
Telnet – 禁止
World Wide Web Publishing Service – 禁止
IPSEC Policy Agent– 禁止
Microsoft Search– 禁止
Print Spooler– 禁止
RunAs Service– 禁止
Security Accounts Manager – 禁止
Task Scheduler– 禁止

五、修改部分命令权限

 

xcopy.exe 
wscript.exe 
cscript.exe 
net.exe  
arp.exe 
edlin.exe 
ping.exe 
route.exe  
posix.exe 
Rsh.exe 
atsvc.exe 
Copy.exe 
cacls.exe 
ipconfig.exe 
rcp.exe 
cmd.exe 
debug.exe 
regedt32.exe 
regedit.exe 
edit.com  
telnet.exe
Finger.exe
Nslookup.exe
Rexec.exe 
ftp.exe 
at.exe
runonce.exe 
nbtstat.exe  
Tracert.exe
netstat.exe

 

六、日志审核

控制面板—>管理工具—>计算机管理—>系统工具—>本地策略

16382K 覆盖早于30天的时间

七、注册表安全

    禁止匿名用户连接:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa
"restrictanonymous"值为1

删除主机默认共享
:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
修改或增加键值 AutoShareServer REG_DWORD 0

【应急响应】Windows 安全部署

标签:ipconfig   sof   world   工具   还原   nts   work   管理   cer   

原文地址:http://www.cnblogs.com/sqyysec/p/7702467.html


评论


亲,登录后才可以留言!