Windows等级保护2.0笔记

查看版本

1
systeminfo

身份鉴别

密码策略

  • 本地安全策略
命令行打开
1
secpol.msc

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→密码策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 默认值
密码必须符合复杂性要求:已禁用
密码长度最小值:0个字符
密码最短使用期限:0天
密码最长使用期限:42天
强制密码历史:0个记住的密码
用可还原的加密来储存密码:已禁用
# 推荐值
密码必须符合复杂性要求:已启用
密码长度最小值:8个字符
密码最短使用期限:1天
密码最长使用期限:90天
强制密码历史:5个记住的密码
用可还原的加密来储存密码:已禁用

密码定期更换设置需在 计算机管理→本地用户和组→用户 每个账户属性中取消勾选密码永不过期

  • 查看账户信息
1
net user administrator
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
用户名                 Administrator
全名
注释 管理计算机(域)的内置帐户
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 No
帐户到期 从不

上次设置密码 2020/5/22 1:34:25
密码到期 从不
密码可更改 2020/5/23 1:34:25
需要密码 No
用户可以更改密码 Yes

允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2020/5/22 17:40:51

可允许的登录小时数 All

本地组成员 *Administrators
全局组成员 *None
命令成功完成。

登录失败

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→账户锁定策略

1
2
3
4
5
6
7
8
# 默认值
账户锁定时间:不适用
账户锁定阈值:0次无效登陆
重置账户锁定计数器:不适用
# 推荐值
账户锁定时间:30分钟
账户锁定阈值:5次无效登陆
重置账户锁定计数器:30分钟

登录超时

  • 屏幕保护程序
    需要密码保护,时间不超过30分钟。

  • 远程桌面会话设置

    • Windows xp/Vista/2008/2008R2
      管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性,选择会话

      • 替代用户设置
        空闲会话限制:10分钟
      • 替代用户设置
      • 从会话断开
      • 结束会话
    • Windows 2012以上
      打开本地组策略编辑器

      1
      gpedit.msc

      管理模板→windows组件→远程桌面服务→会话时间限制

活动但空闲的远程桌面服务会话的时间限制 设置为10分钟
达到时间限制终止会话 设置为启用

远程桌面

  • Windows xp/Vista/2008/2008R2

管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性

1
2
3
安全层:协商
加密级别:客户端兼容
仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:
  • Windows 2012以上

注册表:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
SecurityLayer #安全层
0-RDPSecurity Layer
1-Negotiate
2-SSL(TLS1.0)

MinEncryptionLevel #加密级别
1-Low
2-ClientCompatible
3-High
4-FIPSCompliant

UserAuthentication
0-未勾选
1-勾选
推荐值
1
2
3
4
安全层:SSL
机密级别:客户端兼容/高/符合FIPS标准
仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:勾选
证书:使用默认SSL证书/使用CA机构签发的证书

双因子身份鉴别

访问控制

命令行打开本地账户和组
1
lusrmgr.msc

安全审计

审核策略

控制面板→管理工具→本地安全策略→本地策略→审核策略

主题 说明
审核帐户登录事件 确定是审核登录到此设备的用户的每个实例,还是从用于验证帐户的另一台设备注销。
审核帐户管理 确定是否审核设备上每个帐户管理事件。
审核目录服务访问 确定是否审核用户访问 Active Directory 对象的事件,该对象具有其自己的系统访问控制列表 (SACL) 指定。
审核登录事件 确定是审核用户登录到设备还是从设备注销的每个实例。
审核对象访问 确定是否审核用户访问对象(例如文件、文件夹、注册表项、打印机等)的事件,该对象具有自己的系统访问控制列表 (SACL) 指定。
审核策略更改 确定是否审核用户权限分配策略、审核策略或信任策略的每次更改事件。
审核特权使用 确定是否审核用户行使用户权限的每个实例。
审核进程跟踪 确定是否审核程序激活、进程退出、处理重复以及间接对象访问等事件的详细跟踪信息。
审核系统事件 确定用户何时重新启动或关闭计算机或者何时发生影响系统安全或安全日志的事件进行审核。
推荐值
1
2
3
4
5
6
7
8
9
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:成功,失败
审核过程追踪:成功
审核目录服务访问:成功,失败
审核特权使用:成功
审核系统事件:成功
审核帐户登录事件:成功,失败
审核帐户管理:成功,失败

默认设置则查看各个选项属性中的说明,不同windows版本略有差异

日志内容

计算机管理→事件查看器

命令行打开事件查看器
1
eventvwr.msc

入侵防范

程序

命令行打开安装的程序
1
appwiz.cpl

服务

命令行
1
services.msc
可能的多余服务
1
2
Print Spooler、Remote Registry、server、TCP\IP NetBIOS Helper、Computer Browser、Task Scheduler
打印服务、远程注册表、文件共享、主机解析服务、计算机浏览器服务、计划任务

端口

1
2
3
4
5
6
7
8
9
10
11
netstat -ano | more
netstat -ano #端口以及进程
netstat -anb #端口以及执行文件,需管理员权限

# TCP
netstat -ano | findstr :135
netstat -ano | findstr :139
netstat -ano | findstr :445
# UDP
netstat -ano | findstr :137
netstat -ano | findstr :138

关闭445

  • 关闭并禁止ServerComputer Browser
bat脚本方式,以管理员方式运行
1
2
3
4
5
sc config Browser start= disabled
sc stop Browser

sc config LanmanServer start= disabled
sc stop LanmanServer

Computer Browser(Browser)服务属于SMB服务1.0/CIFS,如windows10默认关闭SMB1.0,仅关闭并禁用Server即可。

默认共享:

  • 查看默认共享
查看默认共享命令
1
net share
参数
1
2
3
4
5
6
7
8
9
10
C:\Documents and Settings\Administrator>net share

共享名 资源 注释

----------------------------------------------------------
IPC$ 远程 IPC
ADMIN$ C:\WINDOWS 远程管理
D$ D:\ 默认共享
C$ C:\ 默认共享
命令成功完成。
测试默认共享能否被访问
1
\\ip\c$
  • 删除共享,重启后失效

计算机管理→系统工具→共享文件夹→共享中删除

命令行
1
2
3
4
net share C$ /del
net share D$ /del
net share IPC$ /del
net share ADMIN$ /del
  • 永久生效需修改注册表:

关闭C$、D$、E$一类的共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer设置为0。
关闭ADMIN$共享:在同样的分支下,将右侧窗口中的AutoShareWKs设置为0。