Windows-安全加固安全基线

01、开启密码复杂度

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码必须符合复杂性要求配置为：已启用

系统密码复杂性说明：

不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分

至少有六个字符长

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

在更改或创建密码时执行复杂性要求。

02、密码长度最小值

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码长度最小值配置为：8个字符

03、密码最短使用天数

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码最短使用期限为：1天

04、密码最长使用期限

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将密码最长使用期限配置为：90天

05、强制密码历史

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将强制密码历史配置为：5个记住的密码

06、禁用可还原加密

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户策略-密码策略：将用可还原的加密来存储密码配置为：已禁用

07、账户锁定策略

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->账户锁定策略：将账户锁定时间配置为：30分钟，将账户锁定阈值设置为：5次无效登录，将重置账户锁定计数器配置为：5分钟之后

08、屏幕保护策略

Server2012以下系统，运行“control /name Microsoft.Display”选择更改屏幕保护程序：勾选“在恢复时显示登录屏幕”并配置等待3分钟。

Server2016-右键选择个性化->锁屏界面->屏幕保护程序设置-勾选“在恢复时显示登录屏幕”并配置等待3分钟。

09、是否存在多余管理员账号

服务器管理-工具-计算机管理-本地用户和组-组-administrators中查看是否存在多余用户

10、是否存在隐藏账号

服务器管理-工具-计算机管理-本地用户和组-用户-查看是否存在后缀带$的用户（用 net user 是看不出来隐藏用户的）

11、停用Guest用户

服务器管理-工具-计算机管理-本地用户和组-用户-查看并禁用Guest用户

12、修改默认管理员名称

使用默认用户容易遭到爆破，更改默认管理员名称增加爆破难度

13、不允许匿名枚举SAM账号与共享的匿名枚举；

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，将“网络访问：不允许SAM账户和共享的匿名枚举”配置为：已启用

14、禁用自动播放功能

运行“gpedit.msc”在计算机配置->管理模板->Windows组件->自动播放策略->启用“关闭自动播放

15、默认共享和高危端口

删除默认磁盘共享C 、 I P C 、IPC 、IPC、admin$,配置防火墙入站规则阻止危险端口135、139、445访问

16、禁用Everyone用于匿名用户

运行“gpedit.msc”在本地计算机策略计算机配置Windows设置安全设置本地策略安全选项网络访问: 将 Everyone 权限应用于匿名用户`策略配置为：已禁用

17、防病毒软件安装

检查是否安装有杀毒软件（火绒、360等）

检查病毒库版本

18、日志存放模式设置

事件查看器-Windows日志，安全日志、应用日志、系统日志三个类型，选择属性，选择-日志满时将其存档，不覆盖事件

19、配置审核策略

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略：将开启如下策略：

审核策略更改:成功，失败

审核登录事件:成功，失败

审核对象访问:成功，失败

审核进程跟踪:成功，失败

审核特权使用:成功，失败

审核系统事件:成功，失败

审核账户登录事件:成功，失败

审核帐户管理:成功，失败

20、不显示上次登录名

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，启用“不显示上次登录用户名”选项

21、关机前清除虚拟内存页面

运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->安全选项，启用“关机清除虚拟内存页面文件”

22、关闭不需要的系统服务

关闭多余服务，如Print spooler、蓝牙相关、Fax及其他未提供业务使用的服务（关闭前请确认服务是否在使用）

23、开启防火墙

检查防火墙状态是否开启（需确认业务端口开放情况，先放开了端口，再开启）

24、操作系统补丁更新

及时更新微软推送的系统补丁，每月更新、专项漏洞修复更新

25、修改默认的RDP端口

[HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp]

重启Remote Desktop Services 服务

26、禁用多余的任务计划程序

关闭多余的计划任务，记录异常的任务计划程序，打开“运行” taskschd.msc进行查看

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

原文链接：https://blog.csdn.net/heike_Ch/article/details/141644027