Windows等级保护笔记

查看版本

1
systeminfo

身份鉴别

密码策略

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→密码策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 默认值
密码必须符合复杂性要求:已禁用
密码长度最小值:0个字符
密码最短使用期限:0天
密码最长使用期限:42天
强制密码历史:0个记住的密码
用可还原的加密来储存密码:已禁用
# 推荐值
密码必须符合复杂性要求:已启用
密码长度最小值:8个字符
密码最短使用期限:0天
密码最长使用期限:90天
强制密码历史:0个记住的密码
用可还原的加密来储存密码:已禁用

口令更换时间

1
net user administrator

登录失败

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→账户锁定策略

1
2
3
4
5
6
7
8
# 默认值
账户锁定时间:不适用
账户锁定阈值:0次无效登陆
重置账户锁定计数器:不适用
# 推荐值
账户锁定时间:30分钟
账户锁定阈值:5次无效登陆
重置账户锁定计数器:30分钟

远程桌面

  • Windows xp/Vista/2008/2008R2
    管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性

    1
    2
    3
    安全层:协商
    加密级别:客户端兼容
    仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:
  • Windows 2012以上
    注册表:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    SecurityLayer #安全层
    0-RDPSecurity Layer
    1-Negotiate
    2-SSL(TLS1.0)

    MinEncryptionLevel #加密级别
    1-Low
    2-ClientCompatible
    3-High
    4-FIPSCompliant

    UserAuthentication
    0-未勾选
    1-勾选
  • 推荐值

    1
    2
    3
    4
    安全层:SSL
    机密级别:客户端兼容/高/符合FIPS标准
    仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:勾选
    证书:使用默认SSL证书/使用CA机构签发的证书

访问控制

默认共享:

1
2
3
4
5
6
7
8
9
10
C:\Documents and Settings\Administrator>net share

共享名 资源 注释

----------------------------------------------------------
IPC$ 远程 IPC
ADMIN$ C:\WINDOWS 远程管理
D$ D:\ 默认共享
C$ C:\ 默认共享
命令成功完成。

删除共享,重启后失效
计算机管理→系统工具→共享文件夹→共享中删除

命令行
1
2
3
4
net share C$ /del
net share D$ /del
net share IPC$ /del
net share ADMIN$ /del

永久生效需修改注册表:
关闭C\$、D\$、E\$一类的共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer设置为0。
关闭ADMIN$共享:在同样的分支下,将右侧窗口中的AutoShareWKs设置为0。

安全审计

审核策略

控制面板→管理工具→本地安全策略→本地策略→审核策略

1
2
3
4
5
6
7
8
9
审核策略更改:无审核
审核登录事件:无审核
审核对象访问:无审核
审核过程追踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核帐户登录事件:无审核
审核帐户管理:无审核

记录内容

计算机管理→事件查看器

剩余信息保护

开始→控制面板→管理工具→本地安全策略→安全设置→本地策略→安全选项→交互式登录:不显示上次的用户名/关机:清除虚拟内存页面文件

入侵防范

端口

1
2
3
4
5
netstat -anb #端口以及进程
netstat -ano
netstat -ano | findstr 135
netstat -ano | findstr 139
netstat -ano | findstr 445

服务

可能的多余服务
1
2
Print Spooler、Remote Registry、server、TCP\IP NetBIOS Helper、Task Scheduler
打印机、远程注册表、默认共享、主机解析、计划任务

补丁

资源控制

屏幕保护程序

系统应开启屏幕保护程序,时间应设置10分钟,再恢复时应该使用密码。

远程桌面会话设置

  • Windows xp/Vista/2008/2008R2
    管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性,选择会话
  • 替代用户设置
    空闲会话限制:10分钟
  • [x] 替代用户设置

    • 从会话断开
    • 结束会话
  • Windows 2012以上
    打开本地组策略编辑器

    1
    gpedit.msc

管理模板→windows组件→远程桌面服务→会话时间限制
活动但空闲的远程桌面服务会话的时间限制 设置为10分钟
达到时间限制终止会话 设置为启用

其他

本地安全策略

1
secpol.msc