1. 設置密碼使用期限策略身份鑒別
描述:
設置密碼使用期限策略,減少密碼被泄漏和猜測風險
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\密碼策略,將密碼最長使用期限設置為30-180之間,建議值為90,將密碼最短使用期限設置為1-14之間,建議值為7.
2. 密碼復雜性配置身份鑒別
描述:
設置強密碼,減少密碼被泄漏和猜測風險
加固建議:
在管理工具打開本地安全策略,打開路徑:(計算機策略\計算機配置\Windows設置)安全設置\帳戶策略\密碼策略,將密碼必須符合復雜性要求設置為已啟用,將密碼最小長度設置為8以上。 注:配置路徑如下:
控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼必須符合復雜性要求->屬性:啟用啟用密碼必須符合復雜性要求
控制面板->管理工具->本地安全策略->帳戶策略->密碼策略->密碼長度最小值->屬性->設置最小密碼長度為8
3. 強制密碼歷史'設置為5-24之間身份鑒別
描述:
設置強制密碼歷史,防止重復使用最近使用過的密碼
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\密碼策略,將強制密碼歷史設置為5-24之間
4. 配置賬戶鎖定策略身份鑒別
描述:
配置賬戶鎖定策略,降低被爆破和猜測風險
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\賬戶鎖定策略。將賬戶鎖定閾值設置為3-8之間,建議值為5,輸錯5次密碼鎖定賬戶;然后將賬戶鎖定時間和重置賬戶鎖定計數器設置為10-30之間,建議值為15,賬戶鎖定時間為15分鍾。
5. 配置安全選項賬戶策略身份鑒別
描述:
配置安全選項賬戶策略,限制空密碼賬戶和禁用guest賬戶
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將"賬戶:來賓賬戶狀態"設置為:已禁用;將"賬戶:使用空密碼的本地賬戶只允許控制台登陸"設置為:啟用。
6. 設置空閑會話斷開時間訪問控制
描述:
設置空閑會話斷開時間和啟用登陸時間過期后斷開與客戶端的連接設置
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將Microsoft網絡服務器中的"暫停會話之前所需的空閑時間數量"設置為:5-30之間,建議值為15;將"登陸時間過期后斷開與客戶端的連接"設置為:已啟用。
7. 密碼使用到期修改提醒身份鑒別
描述:
'交互式登錄:提示用戶在過期前修改密碼',提示時間設置為5到14天之間
加固建議:
在GP(組策略)中將以下路徑中設置為5~14:本地計算機策略\計算機配置\Windows 設置\安全設置\本地策略\安全選項\交互式登錄:提示用戶在過期前修改密碼
8. 禁止未登錄強制關機訪問控制
描述:
禁止未登錄強制關機
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將"關機:允許在未登錄時關閉系統"設置為:已禁用
9. 應啟用安全審計功能
審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計安全審計
描述:
開啟審核策略,對重要的用戶行為和重要安全事件進行審計
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\審核策略,將全部審核策略配置為:成功,失敗。包括審核策略更改、審核對象訪問、審核進程跟蹤、審核目錄服務訪問、審核賬戶登陸事件、審核特權使用、審核系統事件、審核賬戶管理、審核登陸事件共九項。
10. 匿名賬戶訪問控制訪問控制
描述:
匿名賬戶訪問控制
加固建議:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將網絡訪問中“Everyone權限應用於匿名用戶“設置為:已禁用,將“不允許SAM帳戶的匿名枚舉“設置為:已啟用,將“不允許SAM帳戶和共享的匿名枚舉”設置為:已啟用,將”允許匿名SID/名稱轉換“設置為:已禁用。
11. 風險賬戶檢查身份鑒別
描述:
檢查Windows系統可疑的隱藏賬號
加固建議:
如果存在可疑隱藏賬號,建議確認后刪除
12. 注冊表自啟動項服務配置
描述:
檢查項注冊表路徑HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中可疑啟動項
加固建議:
檢查注冊表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中的危險啟動項並刪除,注意不要刪除系統默認啟動項C:\\Windows\\system32\\Userinit.exe
13. 將本地管理員帳號重命名
將Administrator帳號重命名為其它。
14. 禁用SMBv1入侵防范
描述
Windows SMBv1中存在多個遠程代碼執行漏洞,需關閉此服務以提高安全性
加固建議
可參考Windows文檔禁用SMBv1。參考鏈接https://help.aliyun.com/document_detail/57499.html, https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3, https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858