Windows系统安全基线_本地discovery服务没有运行

文章目录

• 前言
• 一、安全基线概述

• * 1.操作系统安全基线
  1

• 二、系统账户安全

• * 1.控制密码安全
  1

  • 2.密码策略
  • 3.账户锁定策略
  • 例：密码策略应用
  • 例：账户锁定策略应用
• 三、本地策略

• * 1.审核策略
  1

  • 2.用户权限分配
  • 3.安全选项配置
  • 例：审核策略应用
  • 例：用户权限配置应用
  • 例：安全选项配置应用
• 四、系统账户安全加固

• * 1.Windows账户管理
  1

  • 2.共享安全加固
  • 例：查看账户信息
  • 例：关闭默认共享
  • 例：系统服务加固

---

前言

系统安全基线

---

一、安全基线概述

1.操作系统安全基线

服务器安全基线是为了满足安全规范要求，服务器必须要达到的安全（最低）标准

• 主要有以下作用
  1）设置口令复杂度策略，防止暴力破解密码；
  2）控制用户或文件权限，减少被攻击后的影响；
  3）最小化安装操作系统，防止不必要的服务带来的安全问题。

• 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛

• 通常包含：操作系统、网络设备、数据库等

• Windows系统安全配置
  1）用户管理
  2）密码策略管理
  3）共享管理
  4）文件权限管理
  5）用户权限管理
  6）日志审核管理
  7）远程管理
  8）其他安全选项

二、系统账户安全

1.控制密码安全

本地安全策略：指的是为保护本计算机资源而配置的规则
本地安全策略工具：开始→管理工具→本地安全策略

• 账户策略：控制用户账户如何与计算机交互
  密码策略：确定密码的设置，如密码复杂性和密码长度等
  账户锁定策略：确定账户锁定的条件和时间
  

• 本地策略：审核策略、用户权限分配、安全选项

2.密码策略

1）密码必须符合复杂性要求

• 不能包含用户的账户名
• 包含以下四类字符中的三类字符：大写字母（A到Z），小写字母（a到z），数字（0到9），非字母字符（例如!、$、#、%）等
  

2）密码长度最小值
3）密码最长使用期限（默认42天）
4）密码最短使用期限
5）强制密码历史

3.账户锁定策略

配置账户锁定策略，防止暴力破解攻击

• 账户锁定时间（在自动解锁之前保持锁定的分钟数）
• 账户锁定阈值（登陆尝试失败的次数）
• 重置账户锁定计数器（多长时间内累加失败次数）

例：密码策略应用

本案例要求在WinSvr2016中设置密码策略，以实现账户安全的要求，相关说明如下：
1）以管理员登录，打开“本地安全策略”
2）设置账户策略中密码策略，密码必须符合复杂性要求：启用
3）设置密码长度最小值：8个
4）验证密码策略

• 步骤一：以管理员登录，打开“本地安全策略”
  以administrator登录电脑，依次单击“开始”–>“Windows管理工具”–>“本地安全策略”
  
  打开“本地安全策略”窗口
  

• 步骤二：设置账户策略中密码策略
  1）依次展开“账户策略”–>“密码策略”
  
  2）双击窗口右侧“密码必须符合复杂性要求”，设置为“开启”
  
  3）双击窗口右侧“密码长度最小值”，设置为“8个”
  
  4）最终“密码策略”设置结果
  

• 步骤三：验证密码策略、
  1）验证密码策略，打开“本地用和组”管理窗口，修改用户“guojing”的密码
  
  输入简单的密码“123456”，弹出对话框显示“密码不满足密码策略的要求”
  
  输入复杂的密码“Aa123456”，弹出对话框显示“密码已设置”
  

例：账户锁定策略应用

本案例要求在WinSvr2016中设置账户锁定策略，以实现账户安全的要求，相关说明如下。
1）以管理员登录，打开“本地安全策略”
2）设置账户策略中账户锁定策略，账户锁定阈值：3
3）账户锁定时间：10分钟
4）验证账户锁定策略

• 步骤一：设置账户策略中账户锁定策略
  1）依次展开“账户策略”–>“账户锁定策略”
  
  2）双击窗口右侧“账户锁定阈值”，修改为“3次无效登录”锁定账户
  
  3）双击窗口右侧“账户锁定时间”，修改为“10分钟“
  
  4）最终“账户锁定策略”设置结果
  

• 步骤二：验证账户锁定策略
  1）验证“账户锁定策略”，切换账户使用“guojing”登录，先输入3次错误的密码，当输入第4次时，显示“引用的账户当前已锁定，且可能无法登录
  
  需要等待10分钟后账户“guojing”自动解锁，或使用管理员登录后到“本地用和组”管理窗口中“手动解锁”
  

三、本地策略

本地策略适用于计算机，包括以下策略：

• 审核策略：设置计算机上的安全日志中的日志记录
• 用户权限分配：设置用户和组的权限
• 安全选项：为计算机指定安全设置
  

1.审核策略

配置以安全日志的方式记录安全相关事件

• 审核策略更改，记录对策略的修改事件
• 审核登陆事件，记录用户登陆成功或失败事件
• 审核账户管理，记录用户添加/删除/重命名/禁用/启用等事件
• 审核对象访问，记录对非目录（Active Directory）访问的事件
• 审核进程跟踪，记录与进程相关的事件
• 审核目录服务访问，记录对目录（Active Directory）访问的事件
• 审核权限使用，记录用户权限使用的事件
• 审核系统事件，记录对OS进行以下设置的事件（更改系统事件、安全启动或关闭系统、加载可扩展身份验证组件、由于审核系统失败而导致已审核事件丢失、安全日志大小超过可配置的警告或阈值级别）
• 审核账户登陆事件，记录每次验证账户凭证时的事件
  

2.用户权限分配

设置用户和组的权限

• 允许通过远程桌面服务登陆
• 允许本地登陆
• 拒绝本地登陆
• 更改系统时间
• 备份文件和目录
  
  

3.安全选项配置

• 交互式登陆：无需按Ctrl+Alt+Del，默认禁用
• 交互式登陆：提示用户在密码过期之前更改密码，默认5天
• 交互式登陆：不显示最后的用户名，默认禁用
• 关机：允许系统在未登录的情况下关闭，默认禁用
• …
  

例：审核策略应用

本案例要求在WinSvr2016中设置审核策略，以实现本地计算机安全的要求，相关说明如下。
1）以管理员登录，打开“本地安全策略”
2）设置审核策略，设置审核账户管理：成功、失败
3）分别验证设置本地策略的效果

• 步骤一：设置审核策略
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“审核策略”
  
  2）在窗口右侧，双击“审核账户管理”，在“审核账户管理属性”对话框中，勾选“成功”和“失败”
  
  3）验证审核策略效果，重命名guojing帐户名为jinggege，在控制面板中，双击“管理工具-事件查看器-Windows日志-
  安全”，双击“用户账户管理事件”在弹出的对话框中，查看账户管理事件
  

例：用户权限配置应用

本案例要求在WinSvr2016中设置用户权限策略，以实现本地计算机安全的要求，相关说明如下：
1）以管理员登录，打开“本地安全策略”设置用户权限分配
2）设置拒绝本地登录：huangrong
3）设置本地关机：只有管理员用户可以本地关系统操作系统
4）验证设用户权限分配效果

• 步骤一：设置用户权限分配
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“用户权限分配”
  
  2）在窗口右侧双击“拒绝本地登录”，在“拒绝本地登录属性”对话框，添加“huangrong”用户
  
  3）在窗口右侧双击“关闭系统”，在“关闭系统属性”对话框，删除其他用户及组仅保留Administrators组
  
  4）验证用户权限分配，注销登录系统输入用户名huangrong和正确的密码，显示“不允许使用你正在尝试的登录方式，……”
  

例：安全选项配置应用

本案例要求在WinSvr2016中设置安全选项策略，以实现本地计算机安全的要求，相关说明如下：
1）设置安全选项，交互式登录: 不显示最后的用户名：启用
2）设置安全选项， 交互式登录: 无需按 Ctrl+Alt+Del：启用
3）验证安全选项策略的效果

• 步骤一：设置安全选项
  1）打开“本地安全策略”窗口，依次展开“本地策略”–>“安全选项”
  
  2）在窗口右侧双击“交互式登录:不显示最后的用户名”，在其属性对话框，选中“已启用”
  

3）在窗口右侧双击“交互式登录: 无需按 Ctrl+Alt+Del”，在其属性对话框，选中“已启用”

4）最终“安全选项”设置结果

• 步骤二：验证设置本地策略的效果
  1）验证“安全选项”，切换到用户登录界面，发现“无需按Ctrl+Alt+Del” ，而且不显示“最后的登录名”
  
  2）输入用户名huangrong和正确的密码，显示“不允许使用你正在尝试的登录方式，……”
  

四、系统账户安全加固

1.Windows账户管理

• 多用户系统
  Windows不应只有一个管理员用户，应根据业务需求，设定不同的用户和用户组，如管理员用户、web用户、数据库用户

• 定期检查用户，删除无用、过期的账户
  应保证所有用户均为有效且在用

• 禁用Guest用户
  系统应禁用Guest账户，Guest账户默认不开启

• 账户管理
  更改默认管理员账户（应更改默认管理员administrator的名称，防止暴力破解等问题）
  不显示最后得到用户名（用户登陆出后，下次登陆时，不应显示上次登陆用户的名称）

• 检测方法
  控制面板-系统和安全-管理工具-计算机管理
  控制面板-系统和安全-管理工具-本地安全策略

• 查看当前系统账户
  1）打开cmd查看当前系统账户
  2）开始→控制面板→管理工具→计算机管理，进入本地用户和组，查看用户
  3）打开注册表，查看用户和组HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
  

2.共享安全加固

• 关闭默认共享
  关闭Windows默认共享
  例如：Admin$，C $，D $等

• 检测方法
  打开cmd，输入net share查看目前的共享
  控制面板→系统和安全→管理工具→计算机管理→共享文件夹→共享

• 删除本机默认共享
  1）利用net命令删除（本方法停止共享，立即生效，但是重启系统后，默认共享会自动恢复）
  net share ipc$ /delete
  net share admin$ /delete
  net share c$ /delete
  net share c$ /delete
  net share c$ /delete
  2）关闭磁盘与Admin默认共享
  ①在注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  ②双击右侧窗口的“AutoShareServer”项将键值由1改为0，“AutoShareSks”项将键值由1改为0
  ③如果没有“AutoShareServer”项或“AutoShareSks”项，可新建一个再改键值
  ④重启后生效，以后重启也不会再出现共享
  

• 停止共享服务
  1）打开服务管理器
  2）共享服务对应的名称时“Server”（在进程中的名称为services）
  3）双击“Server”，在“常规”标签中把“启动类型”更改为“已禁用”
  4）单击下面“服务状态”的“停止”按钮，再确认就可以

例：查看账户信息

本案例要求在Windows系统中查看用户信息，相关说明如下。
1）以管理员登录，进入命令提示环境查看用户
2）打开注册表查看用户

• 步骤一：以管理员登录，运行“命令提示环境”，查看用户信息
  以administrator登录电脑，运行–>“cmd”–>“打开命令提示环境”，输入net user命令查看系统用户信息
  

• 步骤二：打开注册表查看用户信息
  1）运行“regedit”打开注册表
  
  2）依次展开“HKEY_LOCAL_MACHINE\SAM\SAM”右击SAM选择权限，添加Administrator用户勾选完全控制权限
  
  3）查看HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下的键值为用户名
  
  4）用户名键值下的值，对应的Users下的键
  
  5）Users下的F键值，为权限设置信息
  

例：关闭默认共享

本案例要求在Windows系统中关闭默认共享，提高系统安全，相关说明如下。
1）在注册表编辑器，找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
2）“ AutoShareSks”项关闭磁盘默认共享
3）“AutoShareServer”项关闭Admin默认共享

• 步骤一：打开注册表找到parameters"项，编辑注册表关闭默认共享
  1）进入Windows命令提示环境，输入net share已查看默认共享有C $、Admin $
  
  2）以管理员登录，打开“注册表”，查
  找"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters"项
  
  3）“parameter”项右侧窗口中查找“AutoShareSks”项，如果没有
  “AutoShareSks”项，可自己新建一个键值DWORD(32位)值(D)，双击“AutoShareSks”项将键值由1改为0
  
  4）“parameter”项右侧窗口中查找"AutoShareServer"项，如果没有
  “AutoShareServer”项，可自己新建一个键值DWORD(32位)值(D)，双击“AutoShareServer”项将键值由1改为0
  
  5）重启系统运行命令提示环境，输入net share已查看不到磁盘与Admin共享
  

例：系统服务加固

本例要求为Windows系统服务加固，禁用以下服务：
1）IP Helper、Base Filtering Engine、Print Spooler
2）Security Center、Server、SSDP Discovery
Top
3）TCP/IP NetBIOS Helper
4）Windows Defender Service

• 步骤一：打开服务管理器
  1）右击“此电脑”–>“管理”–>“服务”，或者，运行 services.msc 都可以打开服务控制台
  
  2）双击需要关闭的系统服务（比如IP
  Helper），将启动类型设为“禁用”，如果需要立即禁用此服务，可以单击“停止”按钮，其他需要停止的有务参照此方法完成。
  

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里