《网络空间安全导论》 课件 21-系统安全 .pptx

Windows安全配置;理解windows安全配置维度

掌握Windows安全配置的方法;Windows安全配置简介

Windows账户配置

Windows本地配置

Windows防火墙配置

Windows高级审核策略配置

;通常在Windows安全配置中有两类对象

一类是WindowsServer，如winserver2012、winserver2016、winserver2019等

一类是WindowsClient，如win7、win8、win10等

在Windows安全配置中，如果组织有条件，对WindowsClient的安全配置我们可以借助微软的活动目录来实现自动化。

而对WindowsServer通常为保障服务器稳定运行，我们倾向于的是手动配置。

本文我们以WindowsServer2012R2为例，进行加固讲解;Windows安全配置方法

通常我们使用组策略对windows进行安全配置

组策略中的安全配置与注册表也可以对应，但注册表可读性较差。组策略有详细的说明，所以我们通常使用组策略

在windows客户端系统中，HOME版本是没有组策略的的功能。

打开组策略的方法是

右键开始--运行--gpedit.msc

WIN+R--gpedit.msc;Windows不论什么版本，进行安全配置均包含以下两个常用维度

账户策略

密码策略

账户锁定策略

本地策略

审计策略

用户权限策略

安全选项;除了上述常用的配置，还会包含以下两个维度

防火墙策略

域配置文件

私有网络配置文件

高级审计策略

账户登录

账户管理

详细跟踪

登录/注销

对象访问

策略更改;密码策略

强制密码历史，建议设置为24个

密码最长使用期限，建议设置60天

密码最短使用期限，建议设置为1天或更多

密码长度最小值，建议设置为14

密码必需符合复杂性要求，建议设置为启用

用可还原的加密码来存储密码，建议设置为禁用

;密码策略配置;密码策略配置

重点理解选项--密码最短使用期限

密码最短使用期限，表示用户更改密码后，多少天内能再次更改密码。

此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。

;账户锁定策略

账户锁定阈值，建议设置为10次或更少

账户锁定时间，建议设置为15分钟或更多

重置账户锁定计数器，建议设置为15分钟或更多

;用户权限分配

作为受信任的呼叫方访问凭据管理器，建议??置为空。默认为空

从网络访问此计算机，建议设置为Administrator,AuthenticatedUsers,ENTERPRISEDOMAINCONTROLLERS（域控设置）

以操作系统方式执行，建议设置为空，默认为空

将工作站添加到域，建议设置为Administrators

为进程调整内存配额，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE

允许本地登录，建议设置为Administrators

允许通过远程桌面服务登录，建议设置为Administrators,RemoteDesktopUsers(客户端设置);用户权限分配

备份文件和目录，建议设置为Administrators

更改系统时间，建议设置为Administrators,LOCALSERVICE

更改时区，建议设置为Administrators,LOCALSERVICE

创建页面文件，建议设置为Administrators

创建一个信息对象，建议设置为空

创建全局对象，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE

创建永久共享对象，建议设置为空

创建符号链接，建议设置为Administrators

;用户权限分配

调试程序，建议设置为Administrators

拒绝从网络访问这台计算机，建议设置为Guests,本地的administrators中的其它用户或组。

拒绝作为批处理作业登录，建议设置为Guest

拒绝以服务身份登录，建议设置为Guest

拒绝本地登录，建议设置为Guest

拒绝通过远程桌面服务登录，建议设置为Guest和需要的本地用户

信任计算机和用户账户可以执行委派，建议设置为空，域控设置为Administrators

从远程系统强制关机，建议设置为Administrators

;用户权限分配

生成安全审核，建议设置为LOCALSERVICE,NETWORKSERVICE

身份验证后模拟客户端，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE

提高计划优先