windows基线排查
字数 1657 2025-08-22 12:22:24

Windows服务器安全基线排查指南

一、安全基线概述

安全基线是实现基本防护需求而制定的一系列基准,通过对系统生命周期不同阶段的安全检查,建立良好的安全配置项和安全措施,通过分析安全状态的变化趋势控制安全风险。

二、Windows服务器安全基线配置

1. 账户与认证安全配置

1.1 空密码账户检查

  • 使用命令检查空密码账户: 
    net user
  • 确保所有账户都设置了密码

1.2 管理缺省账户

  • 修改默认管理员账户名称(非administrator)
  • 禁用Guest账户: 
    net user guest /active:no
  • 创建新管理员账户并禁用默认administrator: 
    net user user_01 123.com /add
net localgroup administrators user_01 /add
net user administrator /active:no

1.3 密码策略配置

  • 打开组策略编辑器(Win+R,输入gpedit.msc
  • 配置密码复杂度、长度和有效期

1.4 账户锁定策略

  • 设置账户锁定阈值(防止暴力破解)
  • 建议设置5-10次失败尝试后锁定账户

1.5 权限限制

  • 除管理员组外,移除所有用户的远程关机权限
  • 路径:控制面板 > 管理工具 > 本地安全策略

2. 日志配置

2.1 审核登录事件

  • 路径:控制面板 > 管理工具 > 本地安全策略
  • 启用登录事件审核

2.2 日志文件配置

  • 设置日志文件大小至少为8192KB
  • 配置路径:控制面板 > 管理工具 > 事件查看器
  • 在"Windows日志"中配置:
    • 应用程序日志
    • 系统日志
    • 安全日志
  • 设置日志满时的处理策略(覆盖或保留)

3. 入侵防范与访问控制

3.1 共享文件夹权限

  • 路径:计算机管理 > 系统工具 > 共享文件夹 > 共享
  • 检查每个共享文件夹权限,移除"Everyone"组

3.2 远程桌面服务端口修改

  • 修改默认3389端口:
    • 注册表路径1: 
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
    • 注册表路径2: 
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tdstcp
    • 修改"PortNumber"值(十六进制,默认00000D3D即3389)

3.3 禁止远程连接注册表

  • 路径:gpedit.msc > 本地计算机策略 > 计算机配置 > Windows设置 > 安全设置 > 本地策略 > 安全选项
  • 将"远程访问的注册表路径和子路径配置"设置为空

3.4 杀毒软件安装

推荐杀毒软件:

  • 免费:360、火绒
  • 付费:
    • 卡巴斯基(品牌指数10)
    • 比特梵德/BitDefender(9.8)
    • Avast(9.6)
    • Norton诺顿(9.4)
    • Avira小红伞(9.2)
    • GData歌德塔(9)
    • NOD32(8.8)
    • 芬氏安全/F-Secure(8.6)
    • 趋势(8.4)
    • MCAFEE(8.2)

4. 系统服务管理

建议关闭的非必要服务:

  • Error Reporting Service(错误报告服务)
  • Computer Browser(浏览局域网计算机列表)
  • Print Spooler(打印队列服务)
  • Remote Registry(远程注册表操作)
  • Routing and Remote Access(路由与远程访问)
  • Shell Hardware Detection(为自动播放硬件事件提供通知)
  • Telnet(远程管理)
  • TCP/IP NetBIOS Helper(允许客户端共享文件、打印机和登录到网络)

操作路径:控制面板 > 管理工具 > 计算机管理 > 服务和应用程序 > 服务

5. 系统更新

  • 启用Windows自动更新
  • 定期检查并安装安全补丁

6. 基线排查脚本使用

Windows基线检查主要基于注册表项进行检查,对于不在注册表中的组策略配置,可使用组策略命令行工具secedit。

基线检查脚本使用说明:

  1. 下载两个脚本文件:security.infbuild_security_Strategy.bat
  2. 将两个脚本存放在同一目录下
  3. 以管理员身份运行build_security_Strategy.bat

三、实施建议

  1. 定期(建议每月)执行基线检查
  2. 重大系统变更后应重新检查基线配置
  3. 建立基线配置文档,记录每次检查结果
  4. 对于不符合项,应及时整改并验证
  5. 结合企业实际情况调整基线标准

通过以上Windows服务器安全基线配置,可以显著提升系统安全性,降低被攻击风险。

Windows服务器安全基线排查指南 一、安全基线概述 安全基线是实现基本防护需求而制定的一系列基准,通过对系统生命周期不同阶段的安全检查,建立良好的安全配置项和安全措施,通过分析安全状态的变化趋势控制安全风险。 二、Windows服务器安全基线配置 1. 账户与认证安全配置 1.1 空密码账户检查 使用命令检查空密码账户: 确保所有账户都设置了密码 1.2 管理缺省账户 修改默认管理员账户名称(非administrator) 禁用Guest账户: 创建新管理员账户并禁用默认administrator: 1.3 密码策略配置 打开组策略编辑器(Win+R,输入 gpedit.msc ) 配置密码复杂度、长度和有效期 1.4 账户锁定策略 设置账户锁定阈值(防止暴力破解) 建议设置5-10次失败尝试后锁定账户 1.5 权限限制 除管理员组外,移除所有用户的远程关机权限 路径:控制面板 > 管理工具 > 本地安全策略 2. 日志配置 2.1 审核登录事件 路径:控制面板 > 管理工具 > 本地安全策略 启用登录事件审核 2.2 日志文件配置 设置日志文件大小至少为8192KB 配置路径:控制面板 > 管理工具 > 事件查看器 在"Windows日志"中配置: 应用程序日志 系统日志 安全日志 设置日志满时的处理策略(覆盖或保留) 3. 入侵防范与访问控制 3.1 共享文件夹权限 路径:计算机管理 > 系统工具 > 共享文件夹 > 共享 检查每个共享文件夹权限,移除"Everyone"组 3.2 远程桌面服务端口修改 修改默认3389端口: 注册表路径1: 注册表路径2: 修改"PortNumber"值(十六进制,默认00000D3D即3389) 3.3 禁止远程连接注册表 路径:gpedit.msc > 本地计算机策略 > 计算机配置 > Windows设置 > 安全设置 > 本地策略 > 安全选项 将"远程访问的注册表路径和子路径配置"设置为空 3.4 杀毒软件安装 推荐杀毒软件: 免费:360、火绒 付费: 卡巴斯基(品牌指数10) 比特梵德/BitDefender(9.8) Avast(9.6) Norton诺顿(9.4) Avira小红伞(9.2) GData歌德塔(9) NOD32(8.8) 芬氏安全/F-Secure(8.6) 趋势(8.4) MCAFEE(8.2) 4. 系统服务管理 建议关闭的非必要服务: Error Reporting Service(错误报告服务) Computer Browser(浏览局域网计算机列表) Print Spooler(打印队列服务) Remote Registry(远程注册表操作) Routing and Remote Access(路由与远程访问) Shell Hardware Detection(为自动播放硬件事件提供通知) Telnet(远程管理) TCP/IP NetBIOS Helper(允许客户端共享文件、打印机和登录到网络) 操作路径:控制面板 > 管理工具 > 计算机管理 > 服务和应用程序 > 服务 5. 系统更新 启用Windows自动更新 定期检查并安装安全补丁 6. 基线排查脚本使用 Windows基线检查主要基于注册表项进行检查,对于不在注册表中的组策略配置,可使用组策略命令行工具secedit。 基线检查脚本使用说明: 下载两个脚本文件: security.inf 和 build_security_Strategy.bat 将两个脚本存放在同一目录下 以管理员身份运行 build_security_Strategy.bat 三、实施建议 定期(建议每月)执行基线检查 重大系统变更后应重新检查基线配置 建立基线配置文档,记录每次检查结果 对于不符合项,应及时整改并验证 结合企业实际情况调整基线标准 通过以上Windows服务器安全基线配置,可以显著提升系统安全性,降低被攻击风险。