Windows等级保护2.0笔记

查看版本

1
systeminfo

命令行合集

1
2
3
4
5
6
7
8
9
10
systeminfo #查看系统版本
compmgmt.msc #计算机管理
secpol.msc #本地安全策略
gpedit.msc #组策略编辑器
appwiz.cpl #程序和功能
dcomcnfg #组件服务
firewall.cpl #防火墙	
lusrmgr.msc #本地用户和组
eventvwr.msc #事件查看器
services.msc #系统服务

身份鉴别

密码策略

  • 本地安全策略
命令行打开
1
secpol.msc

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→密码策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 默认值
密码必须符合复杂性要求:已禁用
密码长度最小值:0个字符
密码最短使用期限:0天
密码最长使用期限:42天
强制密码历史:0个记住的密码
用可还原的加密来储存密码:已禁用
# 推荐值
密码必须符合复杂性要求:已启用
密码长度最小值:8个字符
密码最短使用期限:1天
密码最长使用期限:90天
强制密码历史:5个记住的密码
用可还原的加密来储存密码:已禁用

密码定期更换设置需在 计算机管理→本地用户和组→用户 每个账户属性中取消勾选密码永不过期

  • 查看账户信息
1
net user administrator
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
用户名                 Administrator
全名
注释                   管理计算机(域)的内置帐户
用户的注释
国家/地区代码          000 (系统默认值)
帐户启用               No
帐户到期               从不

上次设置密码           2020/5/22 1:34:25
密码到期               从不
密码可更改             2020/5/23 1:34:25
需要密码               No
用户可以更改密码       Yes

允许的工作站           All
登录脚本
用户配置文件
主目录
上次登录               2020/5/22 17:40:51

可允许的登录小时数     All

本地组成员             *Administrators
全局组成员             *None
命令成功完成。

登录失败

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→账户锁定策略

1
2
3
4
5
6
7
8
# 默认值
账户锁定时间:不适用
账户锁定阈值:0次无效登陆
重置账户锁定计数器:不适用
# 推荐值
账户锁定时间:30分钟
账户锁定阈值:5次无效登陆
重置账户锁定计数器:30分钟

登录超时

  • 屏幕保护程序
    需要密码保护,时间不超过30分钟。

  • 远程桌面会话设置

    • Windows xp/Vista/2008/2008R2
      管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性,选择会话

      • 替代用户设置
        空闲会话限制:10分钟
      • 替代用户设置
      • 从会话断开
      • 结束会话

    • Windows 2012以上
      打开本地组策略编辑器

      1
      gpedit.msc

      管理模板→windows组件→远程桌面服务→会话时间限制

活动但空闲的远程桌面服务会话的时间限制 设置为10分钟
达到时间限制终止会话 设置为启用

远程桌面

  • Windows xp/Vista/2008/2008R2

管理工具→Terminal Servers-终端服务配置/终端服务配置,选择RDP-tcp查看属性

1
2
3
安全层:协商
加密级别:客户端兼容
仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:
  • Windows 2012以上

注册表:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
SecurityLayer #安全层
0-RDPSecurity Layer
1-Negotiate
2-SSL(TLS1.0)

MinEncryptionLevel #加密级别
1-Low
2-ClientCompatible
3-High
4-FIPSCompliant

UserAuthentication
0-未勾选
1-勾选
推荐值
1
2
3
4
安全层:SSL
机密级别:客户端兼容/高/符合FIPS标准
仅允许运行使用网络级别的身份验证的远程桌面的计算机连接:勾选
证书:使用默认SSL证书/使用CA机构签发的证书

双因子身份鉴别

访问控制

命令行打开本地账户和组
1
lusrmgr.msc

安全审计

审核策略

控制面板→管理工具→本地安全策略→本地策略→审核策略

主题 说明
审核帐户登录事件 确定是审核登录到此设备的用户的每个实例,还是从用于验证帐户的另一台设备注销。
审核帐户管理 确定是否审核设备上每个帐户管理事件。
审核目录服务访问 确定是否审核用户访问 Active Directory 对象的事件,该对象具有其自己的系统访问控制列表 (SACL) 指定。
审核登录事件 确定是审核用户登录到设备还是从设备注销的每个实例。
审核对象访问 确定是否审核用户访问对象(例如文件、文件夹、注册表项、打印机等)的事件,该对象具有自己的系统访问控制列表 (SACL) 指定。
审核策略更改 确定是否审核用户权限分配策略、审核策略或信任策略的每次更改事件。
审核特权使用 确定是否审核用户行使用户权限的每个实例。
审核进程跟踪 确定是否审核程序激活、进程退出、处理重复以及间接对象访问等事件的详细跟踪信息。
审核系统事件 确定用户何时重新启动或关闭计算机或者何时发生影响系统安全或安全日志的事件进行审核。
推荐值
1
2
3
4
5
6
7
8
9
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:成功,失败
审核进程追踪:成功,失败
审核目录服务访问:成功,失败
审核特权使用:成功,失败
审核系统事件:成功
审核帐户登录事件:成功,失败
审核帐户管理:成功,失败

默认设置则查看各个选项属性中的说明,不同windows版本略有差异

日志内容

计算机管理→事件查看器

命令行打开事件查看器
1
eventvwr.msc

入侵防范

程序

命令行打开安装的程序
1
appwiz.cpl

服务

命令行
1
services.msc
  • 可能的多余服务
服务名称 说明
Alerter 警示器,xp/03版本可见
Computer Browser 计算机浏览器服务
DHCP Client DHCP客户端服务
Messsenger 信使服务,xp/03版本可见
Print Spooler 打印服务
Remote Registry 远程注册表
server 共享服务
Task Scheduler 计划任务
TCP\IP NetBIOS Helper 主机解析服务

端口

协议 端口号 说明
TCP 135 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。
UDP 135 微软终端映射器(End Point Mapper,EPMAP)
TCP 139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows”文件和打印机共享”和SAMBA。
TCP 445 server(共享服务),共享文件夹或共享打印机
UDP 445 Microsoft-DS SMB file sharing
TCP 593 是针对DCOM(Distributed Component Object Model,分布式组件对象模型)协议的。它允许C/S结构的应用通过DCOM使用RPC over HTTP service。
TCP 1025 Windows动态分配的监听端口(listen port)。匿名接入该端口后,就可获取Windows网络的服务器信息与用户信息等。
UDP 137 在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。
UDP 138 提供NetBIOS环境下的计算机名浏览功能。
TCP 2745 病毒后门端口
TCP 3127 病毒后门端口
TCP 6129 病毒后门端口 
1
2
3
4
5
6
7
8
9
netstat -ano | more
netstat -ano #端口以及进程
netstat -anb #端口以及执行文件,需管理员权限

netstat -ano | findstr :135
netstat -ano | findstr :139
netstat -ano | findstr :445
netstat -ano | findstr :137
netstat -ano | findstr :138

关闭445

  • 关闭并禁止ServerComputer Browser
bat脚本方式,以管理员方式运行
1
2
3
4
5
sc config Browser start= disabled
sc stop Browser

sc config LanmanServer start= disabled
sc stop LanmanServer

Computer Browser(Browser)服务属于SMB服务1.0/CIFS,如windows10默认关闭SMB1.0,仅关闭并禁用Server即可。

默认共享:

  • 查看默认共享
查看默认共享命令
1
net share
参数
1
2
3
4
5
6
7
8
9
10
C:\Documents and Settings\Administrator>net share

共享名       资源                            注释

----------------------------------------------------------
IPC$                                         远程 IPC
ADMIN$       C:\WINDOWS                      远程管理
D$           D:\                             默认共享
C$           C:\                             默认共享
命令成功完成。
测试默认共享能否被访问
1
\\ip\c$
  • 删除共享,重启后失效

计算机管理→系统工具→共享文件夹→共享中删除

命令行
1
2
3
4
net share C$ /del
net share D$ /del
net share IPC$ /del
net share ADMIN$ /del
  • 永久生效需修改注册表:

关闭C$、D$、E$一类的共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer设置为0。
关闭ADMIN$共享:在同样的分支下,将右侧窗口中的AutoShareWKs设置为0。