安全基线之“一键实现Windows安全配置”

所谓安全基线，是为了明确企业网络环境中相关设备与系统达到最基本的防护能力而制定的一系列安全配置基准。在等级保护的要求下，针对操作系统也有了比较明确的安全基线标准。在这里，通过批处理脚本，结合等级保护的要求，一键实现操作系统基线标准。

安全基线内容

（脚本实现的配置更加丰富，本文仅举例说明）

一、账户管理、认证授权

1.1 管理缺省账户

安全基线名称	操作系统账户管理安全基线要求项
安全基线说明	对于管理员账户，应使用非缺省Administrator账户名称，即重命名管理员账户；禁用guest账户
基线符合性判定依据	缺省账户Adminstrator已更名、guest已停用
备注	应删除或锁定与系统运行、维护等工作无关的账户

1.2 密码复杂度

安全基线名称	操作系统账户密码管理安全基线要求项
安全基线说明	最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含数字，字母，特殊字符
基线符合性判定依据	查看本地安全策略，“密码必须符合复杂性要求”选择已启用
备注

另外还包括密码历史；账户锁定策略；远程关机授权；文件或其他对象的所有权授权；禁止Windows自动登录等。

二、日志配置操作

2.1 审核登录

安全基线名称	操作系统审核登录策略安全基线要求项
安全基线说明	应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址
基线符合性判定依据	查看本地安全策略，审核登录时间，设置为成功和失败都审核
备注	配置日志记录有利于系统故障排查与安全事件取证

2.2 审核策略更改

安全基线名称	操作系统审核策略更改安全基线要求项
安全基线说明	启用组策略中对Windows系统的审核策略更改，成功和失败都要审核
基线符合性判定依据	查看本地安全策略，“审核策略更改”设置为成功和失败都审核
备注

另外还包括审核对象访问；审核事件目录服务器访问；审核特权使用；审核系统事件；审核账号管理；审核过程追踪等。

三、IP协议安全配置

3.1 启用SYN攻击保护

安全基线名称	操作系统SYN攻击保护安全基线要求项
安全基线说明	启用SYN攻击保护；指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500等
基线符合性判定依据	查看注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect=2 TcpMaxPortsExhausted=5 TcpMaxHalfOpen=500 TcpMaxHalfOpenRetried=400
备注	SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源

另外还包括ICMP攻击保护；启用SNMP攻击保护；禁用IP源路由；启用碎片攻击保护等。

四、设备其他配置操作

4.1 网络访问用户授权

安全基线名称	操作系统网络访问用户授权安全基线要求项
安全基线说明	授权指定系统用户，防止用户非法从网络访问主机
基线符合性判定依据	查看系统本地策略“从网络访问此计算机”的用户是否已删除“Guest”用户，“everyone”组
备注	只允许存在Administrators,Backup Operators,power users.users

另外还包括匿名用户连接权限管理；远程桌面服务端口管理；终端服务登录服务；系统登录管理；用户登录超时；虚拟内存管理等。

可根据实际情况选择是否启用Windows自动更新功能

更多安全基线策略详情可参考阿里云操作系统安全配置：

https://www.alibabacloud.com/help/zh/faq-detail/49781.htm

脚本使用说明

共包括3个文件

build_security_Strategy.bat：批处理脚本，用于实现相关策略

security.inf：安全配置选项，请根据需求增加或删除相关策略

readme.md：策略说明文件

在执行时，以上三个文件放在同一文件夹，以管理员身份运行build_security_Strategy.bat文件，即可使配置策略生效。执行结果图如下

脚本下载地址

链接：https://pan.baidu.com/s/1LqpjRPrgst8KMVEZBOCfTw

提取码：f0ed

作者：美创科技安全实验室发布日期： 12月27日