Windows基线安全检测-安全配置检测

这篇具有很好参考价值的文章主要介绍了Windows基线安全检测-安全配置检测。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Windows基线安全检测-安全配置检测

前言

Windows在生产环境中是使用最多的一个系统,大部分为客户端,少部分为服务端;
然而其实很多用户对windows系统不是很了解,安全配置更是如此;
因此我们安全人员要定期对员工的主机做必要的安全检测,其中基线的定期检测就是方式之一;

以下则是我亲自编写测试上线使用的检测和修复脚本,如有不对的地方,欢迎大家留言,我会立马改正!!!

各模块检测

1、系统账号安全

内容:
账号策略:失败锁定次数(5次)、时长(15min);
根据实际情况调整即可;
检测方式:
组策略–>计算机配置–>windows设置–>安全设置–>帐户策略–>账户锁定策略–>(账户锁定时间15min,账户锁定阈值5次)

2、设置Sysmon服务开机自启

内容:
Sysmon作为windows下系统监控工具,通过编写配置文件,能够发现windows系统的部分异常操作行为,建议该服务设置为开机自启;
检测方式:

function Check-SysmonService {  
    $service = Get-Service -Name Sysmon64  
    if ($service.Status -eq "Running") {  
        Write-Output "Sysmon服务正在运行"  
    } else {  
        Write-Output "Sysmon服务未运行"  
    }  
}  
  
Check-SysmonService


function Check-SysmonServiceStartup {  
    $service = Get-Service -Name Sysmon64  
    $status = $service.StartType  
    if ($status -eq "Automatic") {  
        Write-Output "Sysmon服务已设置为开机自启"  
    } else {  
        Write-Output "Sysmon服务未设置为开机自启"  
    }  
}  
  
Check-SysmonServiceStartup

修复方式:
控制面板–>管理工具–>服务–>Sysmon/Sysmon32/Sysmon64–>
右键属性–>启动类型–>自动

3、补丁更新配置

内容:
配置对应的补丁更新服务器【wsus】,及时获取到最新的补丁更新详情;
根据实际情况调整即可;
检测方式:
1、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>配置自动更新(4-自动下载并计划安装、计划安装日期-每天、计划安装时间-03:00、每周);
2、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>指定Intranet Microsoft 更新服务位置;
3、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>自动更新检测频率(22小时);
4、 组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>允许非管理员接收更新通知;
根据实际情况调整即可;
修复方式:

Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions",4,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AutomaticMaintenanceEnabled",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallDay",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallTime",3,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallEveryWeek",1,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer","Intranet Microsoft 更新服务位置","REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer","Intranet Microsoft 更新服务位置","REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequencyEnabled",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequency",22,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins",1,"REG_DWORD"

4、禁止远程桌面的文件拷贝

内容:
部分Windows属于服务器,会有限制此功能的需求;
跳板机应该禁止rdp远程桌面使用剪贴板功能,此策略设置指定是否阻止在远程桌面服务会话期间远程计算机和客户端计算机之间共享剪贴板内容(剪贴板重定向);
检测方式:
1、组策略–>计算机配置–>管理模板–>Windows组件–>远程桌面服务–>远程桌面会话主机–>设备和资源重定向–>“不允许剪贴板重定向” 是否设置为:已启用;
修复方式:

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableClip",1,"REG_DWORD"

5、禁止远程桌面的共享盘挂载、远程打印

内容:
1、 此策略设置允许您指定是否阻止在远程桌面服务会话中映射客户端打印机;
2、 此策略设置指定是否阻止在远程桌面服务会话中映射客户端驱动器(驱动器重定向);
检测方式:
1、组策略–>计算机配置–>管理模板–>Windows组件–>远程桌面服务–>远程桌面会话主机–>打印机重定向–> “不允许客户端打印机重定向” 是否设置为:已启用;
2、组策略–>计算机配置–>管理模板–>Windows组件–>远程桌面服务–>远程桌面会话主机–>设备和资源重定向–>“不允许驱动器重定向” 是否设置为:已启用;
修复方式:

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCpm",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm",1,"REG_DWORD"

6、禁用SMBv1协议

内容:
SMBv1协议目前属于不安全的协议,该协议会容易造成计算机受到蠕虫攻击,建议禁用该协议;
检测方式:

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

windows配置基线检查,WINDOWS基线之安全检测,windows,安全
SMBV2协议为True代表已禁用SM1服务

修复方式:

#禁用服务端
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters",0,"REG_DWORD"
#禁用客户端
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10\Start",4,"REG_DWORD"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService"删除MRxSMB10
#必须重新操作系统

7、开启必要日志记录

内容:
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。 用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹;
检测方式:
组策略–>计算机配置–>Windows设置–>安全设置–>高级审核策略配置–>(账户登录、账户管理、详细跟踪、DS访问、登录/注销、对象访问、策略更改、特权使用、系统),启用成功+失败;

8、日志大小设置

内容:
应用程序事件日志大小必须配置为32768 KB或更大;
安全事件日志大小必须配置为1024000 KB或更大;
系统事件日志大小必须配置为32768 KB或更大;
根据实际情况调整即可;
检测方式:
组策略–>计算机配置–>管理模板–>Windows组件–>事件日志服务–>(应用程序、安全、系统)–>指定日志文件的最大大小(KB)、控制事件日志在日志文件达到最大大小时的行为(已启用)、日志文件写满后自动备份(已启用)
修复方式

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize",32768,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention",1,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\AutoBackupLogFiles",1,"REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize",1024000,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention",0,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\AutoBackupLogFiles",1,"REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize",32768,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention",1,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\AutoBackupLogFiles",1,"REG_SZ"

9、禁用Guest账户

内容:
Guest账户通常是一个匿名用户账户,允许用户在不需要提供用户名和密码的情况下访问系统。禁用Guest账户可以有效防止未经授权的访问和潜在的安全风险。

修复方式:
1、编辑组策略–>计算机配置–>Windows设置–>安全设置–>本地策略–>安全选项–>禁用"账户:来宾账户状态"

10、必须启用Windows Defender

内容:
Windows Defender 是Windows操作系统内置的一款防病毒和反恶意软件工具。它可以帮助保护你的计算机免受病毒、恶意软件和其他安全威胁的侵害;
检测方式:
1、 编辑组策略–>计算机配置–>管理模板–>Windows组件–>Microsoft Defender 防病毒程序–>关闭 Microsoft Defender 防病毒程序,已禁用
2、 编辑组策略–>计算机配置–>管理模板–>Windows组件–>Microsoft Defender 防病毒程序–>实时保护–>关闭实时保护,已禁用
修复方式:

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring",0,"REG_DWORD"

11、修改关键服务端口

内容:
默认端口众所周知,应修改默认端口,以减少攻击
根据实际情况调整即可;
检测方式:
修改远程端口3389为31763或其他不常用端口
修复方式:

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber",31763,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber",31763,"REG_DWORD"
#修改防火墙策略
New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORTLatest-UDP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue

12、开启Windows Defender防火墙

内容:
Windows Defender防火墙有助于防止黑客和恶意软件通过 Internet 或网络访问你的电脑;
修复方式:
编辑组策略–>计算机配置–>windows设置–>安全设置–>高级安全Windows Defender防火墙–>为域、专用和公用网络设置选择“打开Windows Defender防火墙”

13、减少用户访问功能

内容:
删除不必要的桌面访问功能,避免系统不必要的信息被查看,例如:删除计算机、回收站等入口
检测方式:
1、 组策略–>用户配置–>管理模块–>桌面–>从桌面删除回收站,已启用
2、 组策略–>用户配置–>管理模块–>桌面–>删除桌面上的"计算机"图标,已启用
修复方式:

OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{645FF040-5081-101B-9F08-00AA002F954E}",1,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D}",1,"REG_DWORD"

14、时间同步服务

内容:
Win 时间同步是指确保计算机系统中各个设备的时间保持一致。这对于许多计算机操作和网络通信是至关重要的,尤其是在多台计算机协同工作或在网络环境中进行数据传输时;
修复方式:
1、组策略–>计算机配置–>管理模板 -->系统–> Windows 时间服务–>全局配置设置,设为“已启用”,不需修改参数。
2、组策略–>计算机配置 -->管理模板 --> 系统–>Windows 时间服务 -> 时间提供程序–>配置Windows NTP客户端,设置为已启用。
IP设置为与第一步相同的NTP服务器IP,IP之后的“,0x9”需要保留。
类型选择AllSync,表示即可与NTP同步,也可与域同步。
SpecialPollInterval参数设置同步周期,单位为秒,设置为600秒即为10分钟同步一次。

15、设置密码使用期限策略

内容:
密码需要定期更改;
根据实际情况调整即可;
修复方式:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码最长使用期限设置为30-180之间,建议值为90,将密码最短使用期限设置为1-14之间,建议值为7;

16、密码复杂性配置

内容:
在管理工具打开本地安全策略,打开路径:(计算机策略\计算机配置\Windows设置)安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用,将密码最小长度设置为8以上;
根据实际情况调整即可;
修复方式:
控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性:启用启用密码必须符合复杂性要求;
控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性->设置最小密码长度为8;

17、'强制密码历史’设置为5-24之间

内容:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将强制密码历史设置为5-24之间;
根据实际情况调整即可;

18、配置账户锁定策略

内容:
配置账户锁定策略,降低被爆破和猜测风险;
根据实际情况调整即可;
修复方式:
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟;

19、启用安全审计功能

内容:
开启审核策略,对重要的用户行为和重要安全事件进行审计;
修复方式:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项;

20、匿名账户访问控制

内容:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用,将“不允许SAM帐户的匿名枚举“设置为:已启用,将“不允许SAM帐户和共享的匿名枚举”设置为:已启用,将”允许匿名SID/名称转换“设置为:已禁用

21、配置安全选项账户策略

内容:
配置安全选项账户策略,限制空密码账户和禁用guest账户;
修复方式:
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将"账户:来宾账户状态"设置为:已禁用;将"账户:使用空密码的本地账户只允许控制台登陆"设置为:启用;

22、检测身份验证凭据是否为加密存储

内容:
检测身份验证凭据是否为加密存储
修复方式:

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential",0,"REG_DWORD"

23、超时锁屏时间3小时

内容:
修复完需要重启生效;
根据实际情况调整即可;

修复方式:

Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKCU\Control Panel\Desktop\ScreenSaveTimeOut",10800,"REG_DWORD"
OperationRegistry.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs",10800,"REG_DWORD"

24、禁止Windows远程管理(WinRM)客户端使用

内容:
需根据实际场景来定;
检测方式:

function Check-WinrmService {  
    $service = Get-Service -Name winrm  
    if ($service.Status -eq "Running") {  
        Write-Output "Winrm服务正在运行"  
    } else {  
        Write-Output "Winrm服务未运行"  
    }  
}  
  
Check-WinrmService

修复方式:文章来源地址https://www.toymoban.com/news/detail-852825.html

#停止winrm服务
Stop-Service WinRM
#将winrm服务设置为禁用
Set-Service -Name WinRM -StartupType Disabled

到了这里,关于Windows基线安全检测-安全配置检测的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • windows基线检测

    按照Windows基线检查模板检查设置windows安全机制: *windows基线检查选项及风险等级* 编号 检查选项 风险等级 适用类型 1 系统已安装最新的service pack Ⅰ 2 系统已经安装了最新的安全补丁 Ⅰ *本地安全策略检查选项及风险等级* 1 密码策略:密码必须符合复杂性要求(启用) Ⅱ

    2024年02月15日
    浏览(29)
  • Windows系统安全基线

    系统安全基线 服务器安全基线是为了满足安全规范要求,服务器必须要达到的安全(最低)标准 主要有以下作用 1)设置口令复杂度策略,防止暴力破解密码; 2)控制用户或文件权限,减少被攻击后的影响; 3)最小化安装操作系统,防止不必要的服务带来的安全问题。 安

    2024年02月08日
    浏览(36)
  • tomcat安全基线检查

    介绍         Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为

    2024年02月04日
    浏览(42)
  • Oracle安全基线检查

    1、禁止SYSDBA用户远程连接 用户具备数据库超级管理员(SYSDBA)权限的用户远程管理登录SYSDBA用户只能本地登录,不能远程。REMOTE_LOGIN_PASSWORDFILE函数的Value值为NONE。这意味着禁止共享口令文件,只能通过操作系统认证登录Oracle数据库。 1)检查 REMOTE_LOGIN_PASSWORDFILE  参数的值,

    2024年02月05日
    浏览(45)
  • Linux基线检查与安全加固

    账户管理 一、口令锁定策略 检查操作步骤 查看配置文件: 查看是否存在如下内容: (连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒) 基线符合性判定依据 用户连续认证失败次数设置为5次即合规,否则不合规。 安全加固方案 参考配置操作 1.执行备份 2.修改策

    2024年02月03日
    浏览(41)
  • CentOS Linux 7&8安全基线检查

    检查项 类别 描述 加固建议 等级 密码复杂度检查 身份鉴别 检查密码长度和密码是否使用多种字符类型 编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如: minlen=1

    2024年02月12日
    浏览(36)
  • Docker安全基线检查需要修复的一些问题

    限制容器之间的网络流量 限制容器的内存使用量 为Docker启用内容信任 将容器的根文件系统挂载为只读 审核Docker文件和目录   默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况

    2024年01月18日
    浏览(44)
  • 安全评估之漏洞扫描、基线检查、渗透测试

    为保证业务系统运营的安全稳定,在业务系统上线前需要开展三同步检查,针对新业务系统上线、新版本上线、项目验收前开展安全评估。可以帮助其在技术层面了解系统存在的安全漏洞。今天就来了解一下安全评估之漏洞扫描、基线检查、渗透测试。 安全评估的内容主要涉

    2024年02月11日
    浏览(51)
  • 基线扫描tomcat安全加固-检查是否支持HTTPS等加密协议

    背景:基线扫描时,docker镜像中的tomcat在检查是否支持HTTPS等加密协议这一项上未通过。 思路:先通过JDK自带的keytool工具生成证书,再从tomcat的server.xml配置文件中增加配置。 我不确定不同版本的JDK生成的证书是否可以通用,所以我使用镜像自带的jdk生成证书, 因为我使用的

    2024年01月23日
    浏览(50)
  • 【windows系统配置检查工具】微软AccessChk系统资源检查:下载地址、命令、使用示例

    目录 一、简介: 1.1、概述: 1.2、下载地址(微软): 二、命令: 三、使用方法: 3.1、启动: 3.2、示例: 3.2.1、访问权限 3.1.2、用户特定权限 3.1.3、指定用户全部权限 3.1.4、指定用户对特定服务权限 3.1.5、查出服务的权限 3.1.6、显示无权访问指定注册表对象 3.1.7、秘钥安全

    2024年02月05日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包