安全基線之“一鍵實現Windows安全配置”

所謂安全基線，是為了明確企業網絡環境中相關設備與系統達到最基本的防護能力而制定的一系列安全配置基准。在等級保護的要求下，針對操作系統也有了比較明確的安全基線標准。在這里，通過批處理腳本，結合等級保護的要求，一鍵實現操作系統基線標准。

安全基線內容

（腳本實現的配置更加豐富，本文僅舉例說明）

一、賬戶管理、認證授權

1.1 管理缺省賬戶

安全基線名稱	操作系統賬戶管理安全基線要求項
安全基線說明	對於管理員賬戶，應使用非缺省Administrator賬戶名稱，即重命名管理員賬戶；禁用guest賬戶
基線符合性判定依據	缺省賬戶Adminstrator已更名、guest已停用
備注	應刪除或鎖定與系統運行、維護等工作無關的賬戶

1.2 密碼復雜度

安全基線名稱	操作系統賬戶密碼管理安全基線要求項
安全基線說明	最短密碼長度8個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。即密碼至少包含數字，字母，特殊字符
基線符合性判定依據	查看本地安全策略，“密碼必須符合復雜性要求”選擇已啟用
備注

另外還包括密碼歷史；賬戶鎖定策略；遠程關機授權；文件或其他對象的所有權授權；禁止Windows自動登錄等。

二、日志配置操作

2.1 審核登錄

安全基線名稱	操作系統審核登錄策略安全基線要求項
安全基線說明	應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址
基線符合性判定依據	查看本地安全策略，審核登錄時間，設置為成功和失敗都審核
備注	配置日志記錄有利於系統故障排查與安全事件取證

2.2 審核策略更改

安全基線名稱	操作系統審核策略更改安全基線要求項
安全基線說明	啟用組策略中對Windows系統的審核策略更改，成功和失敗都要審核
基線符合性判定依據	查看本地安全策略，“審核策略更改”設置為成功和失敗都審核
備注

另外還包括審核對象訪問；審核事件目錄服務器訪問；審核特權使用；審核系統事件；審核賬號管理；審核過程追蹤等。

三、IP協議安全配置

3.1 啟用SYN攻擊保護

安全基線名稱	操作系統SYN攻擊保護安全基線要求項
安全基線說明	啟用SYN攻擊保護；指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5；指定處於SYN_RCVD狀態的TCP連接數的閾值為500等
基線符合性判定依據	查看注冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect=2 TcpMaxPortsExhausted=5 TcpMaxHalfOpen=500 TcpMaxHalfOpenRetried=400
備注	SYN攻擊屬於DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源

另外還包括ICMP攻擊保護；啟用SNMP攻擊保護；禁用IP源路由；啟用碎片攻擊保護等。

四、設備其他配置操作

4.1 網絡訪問用戶授權

安全基線名稱	操作系統網絡訪問用戶授權安全基線要求項
安全基線說明	授權指定系統用戶，防止用戶非法從網絡訪問主機
基線符合性判定依據	查看系統本地策略“從網絡訪問此計算機”的用戶是否已刪除“Guest”用戶，“everyone”組
備注	只允許存在Administrators,Backup Operators,power users.users

另外還包括匿名用戶連接權限管理；遠程桌面服務端口管理；終端服務登錄服務；系統登錄管理；用戶登錄超時；虛擬內存管理等。

可根據實際情況選擇是否啟用Windows自動更新功能

更多安全基線策略詳情可參考阿里雲操作系統安全配置：

https://www.alibabacloud.com/help/zh/faq-detail/49781.htm

腳本使用說明

共包括3個文件

build_security_Strategy.bat：批處理腳本，用於實現相關策略

security.inf：安全配置選項，請根據需求增加或刪除相關策略

readme.md：策略說明文件

在執行時，以上三個文件放在同一文件夾，以管理員身份運行build_security_Strategy.bat文件，即可使配置策略生效。執行結果圖如下

腳本下載地址

鏈接：https://pan.baidu.com/s/1LqpjRPrgst8KMVEZBOCfTw

提取碼：f0ed

作者：美創科技安全實驗室發布日期： 12月27日