系統加固之Windows操作系統加固

本文轉載自查看原文 2020-05-03 15:43 654 運維相關

https://mp.weixin.qq.com/s/KZVon_aU5sUqQFBVhXzWNg

windows常見目錄：

system32	存放系統配置文件
Syswow64	windows操作系統的子系統
Config/SAM	存放windows賬號和密碼
etc/hosts	DNS解析文件
Program files/Program files(x86)	64位系統安裝在windows操作系統的子系統，32位下會安裝在x86下
perflogs	日志目錄

windows常用系統命令：

命令	說明
ver	查看系統版本
hostname	查看主機名
ipconfig /all	查看網絡配置
net user /localgroup/share/config	查看用戶/用戶組/共享/當前運行可配置服務
at	建立或查看系統作業
netstat	查看開放端口
secpol.msc	查看和修改本地安全設置
services.msc	查看和修改服務
eventvwr.msc	查看日志
regedit	打開注冊表
whoami	查看當前操作用戶的用戶名

window常見端口：

端口	說明
80/8080/8081	http協議代理服務器常用端口號
443	https協議代理服務器常用端口號
21	FTP協議代理服務器常用端口號
23	Telnet協議代理服務器常用端口號
22	ssh（安全登陸）、scp(文件傳輸）
1521	Oracle數據庫
1433	MS SQL SERVER數據庫
1080	QQ
3306	Mysql數據庫
25	SMTP

net命令的使用：

創建（空密碼）賬號abc	net user abc /add
查看賬號abc詳細信息	net user abc
刪除賬號abc	net user abc /del
創建普通賬號abc，密碼為123	net user abc 123 /add
把abc用戶加入管理員組	net localgroup administrators abc /add
把abc用戶退出管理員組	net localgroup administrators /del
啟用【停用】abc賬號	net user abc /active:yes[no]
新建【刪除】組admin	net localgroup admin /add[del]
查看本地開啟的共享	net share
查看開啟那些端口	netstat

windows系統加固

賬號及安全策略

賬號安全是計算機系統安全的第一關，如果計算機系統賬號被盜用，那么計算機將非常危險，入侵者可以任意控制計算機系統，如果計算機中存在着重要的機密文件，或者銀行卡號和密碼，那么損失會非常嚴。

賬號密碼策略：

賬號鎖定策略：

禁用Guest賬號權限

“我的電腦 “右擊 ”管理 “打開 —配置 —本地用戶和組 —用戶 —Guest Guest—右鍵 —屬性 — 常規 —選擇 “賬戶已禁用 ”。

net user guest /active:no

Administrator 賬號、組重命名

Administrator賬號、組重命名，可增加賬號安全性

wmic useraccount where name='Administrator' call Rename admin

日志及審核策略

對重要事件進行審核記錄，方便日后出現問題時查找根源。

審核策略：

審核策略更改	成功，失敗
審核登錄事件	成功，失敗
審核對象訪問	失敗
審核進程跟蹤	成功，失敗
審核目錄服務	失敗
審核特權使用	失敗
審核系統事件	成功，失敗
審核賬戶登陸事件	成功，失敗
審核帳戶管理	成功，失敗

調整事件日志的大小及覆蓋策略

日志安全設置

設置方法：“開始” —“運行”輸入 eventvwr.msc

增大日志小，避免由於文件容量過小導致重要記錄遺漏

日志類型	日志大小	覆蓋策略
應用程序	80000KB	覆蓋早於 30 天的日志
安全日志	80000 KB	覆蓋早於 30 天的日志
系統日志	80000 KB	覆蓋早於 30 天的日志

在一個完整的信息系統里面，日志系統是一個非常重要的功能組成部分。它可以記錄下系統所產生的所有行為，並按照某種規范表達出來。我們可以使用日志系統所記錄的信息為系統進行排錯，優化的性能，或者根據這些信息調整系統的行為。在安全領域，日志系統的重要地位尤甚，可以說是安全審計方面最主要的工具之一。

安全選項策略設置

Microsoft網絡服務器：登錄時間過期后斷開與客戶端的連接（啟用）

目的：可以避免用戶在不適合的時間登錄到系統，或者用戶登錄到系統后忘記退出登錄

Microsoft網絡服務器：暫停會話前所需的空閑時間數量（小於等於15分鍾）

目的：設置暫停會話前所需2的空閑時間為15分鍾

Microsoft網絡服務器：將為加密的密碼發送到第三方SMB服務器

目的：禁止發送未加密的密碼到第三方SMB服務器

恢復控制台：允許軟盤復制並訪問所有驅動器和所有文件夾

目的：禁止他訪問驅動器上的所有文件和目錄，僅允許訪問每個卷的根目錄%systemroot%目錄及子目錄，即使是這樣它還現在不允許拷貝驅動器上的文件到軟盤上

恢復控制台：允許自動管理登錄

目的：可能會導致任何可以重啟系統的人繞過賬號口令限制和其它安全設置而訪問系統

關機：清除虛擬內存頁面文件（啟用）

目的：某些第三方的程序可能把一些沒有加密的密碼存在內存中，頁面文件中也可能含有另外一些敏感的資料。關機的時候清除頁面文件，防止造成意外的信息泄露。

關機：允許系統在未登錄的情況下關閉（禁用）

目的：在未登錄前不能關閉計算機

交互式登錄：不顯示最后的用戶名（啟用）

目的：登錄時不顯示最后的用戶，防止暴力用戶名

交互式登錄：無須按Ctrl+Alt+Del（禁用）

目的：登錄時需要按Ctrl+Alt+Del

交互式登錄：之前登錄到緩存的次數（域控制器不可用時）

目的：登錄時不顯示上次的用戶名，防止暴露用戶名

網絡訪問：不允許SAM賬戶和共享的匿名枚舉（啟用）

目的：禁止使用匿名用戶空連接枚舉系統敏感信息

網絡訪問：不允許存儲網絡身份驗證的密碼和憑證（啟用）

網絡訪問：本地賬號的恭喜和安全模型：僅來賓--本地賬號已來賓身份驗證

網絡訪問：可匿名訪問的共享（全部刪除）

網絡訪問：可匿名訪問的命名管道（全部刪除）

網絡訪問：可遠程訪問的注冊表路徑（全部刪除）

網絡訪問：可遠程訪問的注冊表路徑和子路徑

審核：如果無法記錄安全審核則立即關閉系統（啟用）

審核：對全局系統對象的訪問進行審核（啟用）

用戶權限策略設置

“拒絕通過遠程桌面服務登錄”中加入Guests、User組

“允許通過遠程桌面服務登錄”中只加入Administrators組

“拒絕本地登錄”中添加web和guest用戶

"從網絡訪問此計算機”中刪除PowerUser和BackupOperators

NTFS安全

文件系統又被稱作文件管理系統，它是指操作系統中負責管理和存儲文件的軟件機構。文件系統由與文件管理有關的軟件、被管理的文件以及實施文件管理所需的數據結構這三部分構成。

從系統角度來看，文件系統是對文件存儲器空間進行組織和分配，負責文件的存儲並對存入的文件進行保護和檢索的系統。具體地說，它負責為用戶建立文件，存入、讀出、修改、轉儲文件，控制文件的存取，當用戶不再使用時撤銷文件等。

Windows權限的繼承性、累加性、優先性、交叉性和四項基本原則

Windows NT以后的文件，及文件夾共享設置有以下特性:繼承性、累加性、優先性、交叉性。

●繼承性: 下級的目錄在沒有經過重新設置之前，是擁有上一級目錄權限設置的。

●累加性:是說如一個組GROUP1中有兩個用戶USER1、 USER2，他們同時對某文件或目錄的訪問權限分別為“讀取”和“寫入”，那么組GROUP1對該文件或目錄的訪問權限就為USER1和USER2的訪問權限之和。

.●優先性:權限的這--特性又包含兩種子特性，其一是文件的訪問權限優先目錄的權限，也就是說文件權限可以越過目錄的權限，不顧上一級文件夾的設置。另- -特性就是“拒絕”權限優先其它權限，也就是說“拒絕”權限可以越過其它所有其它權限，一旦選擇了“拒絕”權限，則箕它權限也就不能取任何作用，相當於沒有設置。

●交叉性:指當同一文件夾在為某一用戶設置了共享權限的同時又為用戶設置了該文件夾的訪問權限，且所設權限不一致時，它的取舍原則是取兩個權限的交集，也即最嚴格、最小的那種權限。如目錄A為用戶USER1設置的共享權限為“只讀”,，同時目錄A為用戶USER1設置的訪問權限為“完全控制”，那用戶USER1的最終訪問權限為“只讀”。

權限設置