【愚公系列】2024年03月 《网络安全应急管理与技术实践》 021-网络安全应急技术与实践(主机层-Windows 检查演练)

举报
愚公搬代码 发表于 2024/03/31 20:10:05 2024/03/31
【摘要】 🏆 作者简介,愚公搬代码🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。🏆《博客内容...

🏆 作者简介,愚公搬代码
🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。
🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

网络安全Windows检查演练是指对Windows操作系统进行一系列测试和检查的过程,旨在评估系统的安全性、发现存在的安全漏洞和风险,并采取相应的措施加以修复和强化。该演练通常由安全专家或团队负责进行,其目的是确保系统的网络安全措施得到有效实施,以减少系统被攻击、数据泄露或服务中断的风险。

在网络安全Windows检查演练中,安全专家会使用各种工具和技术,如漏洞扫描、强密码测试、网络流量监控等,对Windows操作系统进行全面的检查。他们会检查操作系统的安全配置、漏洞修补情况、杀毒软件和恶意软件防护等方面,同时也会评估系统的访问控制策略、身份验证措施以及数据备份和恢复机制。

通过网络安全Windows检查演练,安全专家可以识别系统中存在的潜在安全漏洞和薄弱环节,并提供相应的建议和解决方案来加强系统的安全性。此外,演练还可用于培训系统管理员和用户,提高其对安全风险和最佳实践的认识,以便能够更好地保护系统和数据免受安全威胁。

🚀一、Windows 检查演练

🔎1.身份鉴别

🦋1.1 密码策略

☀️1.1.1 概念

密码策略是指制定和执行一系列规则来管理用户的密码,以增强系统的安全性。密码策略通常包括以下要素:

  1. 密码复杂度要求:要求用户在设置密码时必须包含一定的字符类型,如数字、字母(大小写)和特殊字符,以增加密码的复杂度。

  2. 密码有效期要求:规定密码的有效期限,一旦超过规定的时间,用户必须更换密码,以防止长期使用相同的密码。

  3. 密码历史要求:限制用户在一段时间内不能重复使用之前的密码,以防止用户频繁更换密码并轮流使用相同的密码。

  4. 密码最小长度要求:规定密码的最小长度,以防止用户设置过于简单的密码。

  5. 密码锁定阈值:设定用户连续输入错误密码的次数上限,超过该次数则锁定用户账户一段时间。

通过合理设置账户锁定策略和密码策略,可以减少系统被暴力破解和字典攻击的风险,提高系统的安全性。同时,用户也需要配合并遵守这些策略,选择强密码并定期更换以保护自己的账户安全。

☀️1.1.2 案例

运行“gpedit.msc”依次选择“计算机配置→Windows 设置一安全设置→账户策略一密码策略”设置以下参数。

①密码必须符合复杂性要求:启用。
② 密码长度最小值:8。
③ 密码最长使用期限:180天
④ 密码最短使用期限:1天。
⑤ 强制密码历史:5 次。

在这里插入图片描述
使用星号(*)隐藏共享口令

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network分支,在右窗格内新建一个DWORD值为"HideSharePwds",然后双击"HideSharePwds"键值,在出现的对话框中的"键值"框内输入1。

🦋1.2 账户锁定策略

☀️1.2.1 概念

账户锁定策略是指在系统中设置一定的规则,当用户登录失败次数达到一定限制时,系统会自动锁定该用户的账户,防止未经授权的访问和恶意攻击。账户锁定策略可以有效地保护系统免受密码暴力破解和字典攻击等网络攻击手段的威胁。

☀️1.2.2 案例

运行“gpedit.msc”依次选择“计算机配置→Windows 设置一安全设置→账户策略一账户锁定策略”设置以下参数。

① 复位账户锁定计数器:3分钟。
② 账户锁定时间:5 分钟。
③ 账户锁定阈值:5次无效登录。

🦋1.3 查看用户名是否唯一

查看系统中账号名称是否唯一:运行“compmgmt.msc”在“计算机管理→本地用户和组一用户”中检查相关项目。
在这里插入图片描述

🦋1.4 用户进行身份鉴别机制

查看对用户进行身份鉴别是否采用两种或两种以上身份鉴别机制(如用户名/密码、CA、USB KEY、生物特征识别等中的两种)。

🔎2.访问控制

🦋2.1 检查重点

(1)检查多余服务是否已禁用。

(2)检查管理用户最小权限分配原则。

(3)检查系统中是否存在默认账户和默认账户的权限

🦋2.2 检查方法

(1)系统关键目录(C盘、应用软件安装目录、数据文件存储目录等)中的 everyone 用户没有写入权限;cmd.exe administrators和system 组完全控制权
限,其他用户没有权限。

(2)使用“net share”命令关闭多余的默认共享及其他文件共享。

(3)应关闭不必要的端口,如有特殊情况请说明,如 137、138、139、445、123、1900 等端口。

(4)运行“compmgmt.msc”禁用以下多余服务。

Alerter
Clipbook
Computer Browser
Messenger
Remote Registry Service
Routing and Remote Access
Simple Mail Trasfer Protocol(SMTP)(可选)
Simple Network Management Protocol(SNMP)Service (可选)
Simple Network Management Protocol(SNMP)Trap (可选)
Telnet
World Wide Web Publishing Service(可选)
Print Spooler
Automatic Updates(可选)
Terminal Service(可选)

在这里插入图片描述

(5) 查看管理用户是否分配所完成工作的最小权限。在“计算机配置→Windows 设置→安全设置→本地策略→用户权利指派”中,运行“gpedit.msc”,修改相关项目权限。特别注意“从远端系统强制关机”和“关闭系统”应只有Administrators组具有权限。

(6) 询问主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。

(7) 查看系统中特权用户的权限是否进行分离。在“计算机管理→本地用户和组→用户”中,运行“compmgmt.msc”,检查相关项目,并分别使用不同用户登录,测试用户权限是否分离。

(8) 查看系统中是否存在默认账户和默认账户的权限。在“计算机管理→本地用户和组→用户”中,运行“compmgmt.msc”,检查相关项目。管理员默认账号名administrator需要重新命名。

(9) 查看系统中是否存在多余账户。在“计算机管理→本地用户和组→用户”中,运行“compmgmt.msc”,禁用guest、internet 来宾账户等多余账户。

(10) 查看操作系统功能手册或设计文档,该系统是否有对信息资源设置敏感标记,是否采用EFS加密,或其他类似方式加密,并将资源分类成不同安全等级。

(11) 查看操作系统功能手册或设计文档,该系统是否有对信息资源设置敏感标记,是否采用EFS加密,或其他类似方式加密,并将资源分类成不同安全等级,且依据安全等级控制访问权限。

(12) 运行“gpedit.msc”,依次选择“计算机配置→管理模板→Windows组件→自动播放策略”,在设置中选择“关闭自动播放”。

(13) 打开“控制面板→系统和安全→系统→高级系统设置→高级”,单击“启动和故障恢复”中的“设置”按钮,选中“系统失败”选项下的“自动重新启动”复选框。

(14) 打开“控制面板→系统和安全→管理工具→计算机管理→存储→磁盘管理”,查看文件系统是否为NTFS。

🦋2.3 安全审计

(1) 检查安全审计配置。运行“gpedit.msc”,依次选择“计算机配置→Windows 设置→安全设置→本地策略→审核策略”,建议至少配置以下参数:

① 审核登录事件:成功、失败。
② 审核账户管理:成功、失败。
③ 审核目录服务访问:成功。
④ 审核对象访问:无审核。
⑤ 审核策略更改:成功、失败。
⑥ 审核特权使用:无审核。
⑦ 审核过程跟踪:无审核。
⑧ 审核系统事件:成功。

(2) 如果采用第三方的审计工具,检查第三方审计工具是否覆盖所有用户操作。如果开启了Windows审计功能,则Windows提供了相关保护机制。

(3) 检查日志最大容量是否满足要求:应用日志为50~1024MB,安全日志为50~1024MB,系统日志为50~1024MB。

(4) 日志要求保存6个月以上。

(5) 检查是否存在专门的审计设备或审计软件。若存在,则检查是否有对审计记录生成报表,是否可以对审计记录进行分析。

(6) 如果没有专门审计工具,检查是否存在工具(如脚本)对系统日志进行处理,以便分析。

🦋2.4 剩余信息保护

(1) 查看操作系统用户的鉴别信息在分配给其他用户前是否释放。运行“gpedit.msc”,在“计算机配置→Windows 设置→安全设置→本地策略→安全选项”中检查系统是否启用“不显示上次的用户名”。

(2) 查看操作系统用户的鉴别信息在分配给其他用户前是否释放。运行“gpedit.msc”,在“计算机配置→Windows 设置→安全设置→本地策略→安全选项”中检查系统是否启用“关机:清除虚拟内存页面文件”。

🦋2.5 入侵防范

(1) 检查是否存在多余的软件。运行“compmgmt.msc”,查看“添加和删除程序”中的列表。

(2) 查看系统补丁升级方式,是否及时更新到最新补丁和安全服务包。检查“添加和删除程序”中的补丁编号 KBxxxxxx。

(3) 询问系统管理员补丁安装前是否进行安全性和兼容性测试。

(4) 在注册表中启用 SYN 攻击保护:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect 推荐值: 2
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted 推荐值: 5
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen 推荐值: 500
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried 推荐值: 400

(5) 查看入侵防范系统,确认是否能够记录攻击者的源 IP、攻击类型、攻击目标、攻击时间等,并在发生严重入侵事件时提供报警,例如声音、短信和电子邮件等功能。

(6) 禁止匿名枚举SAM账号与共享,禁止匿名枚举ASM账号。

🦋2.6 恶意代码防范

(1) 查看系统是否安装防恶意代码的杀毒软件,并确认病毒库是否及时更新。

(2) 查看主机防恶意代码产品和网络防恶意代码产品分别采用何种病毒库,并确认它们是否不同。

(3) 查看防恶意代码产品是否支持统一集中管理。

🦋2.7 资源控制

(1) 对于 Windows Server 2008 及之后的操作系统,在 Windows 防火墙的高级设置中,可以设置出站或入站规则来进行 TCP/IP 筛选。对于 Windows Server 2008 及之前的操作系统,可以在网卡的高级设置中启用 TCP/IP 筛选功能控制接入终端。

(2) 通过网络安全设备限制访问本机的 IP 地址。

(3) 检查系统是否配置操作超时锁定。运行“gpedit.msc”,打开“计算机配置→管理模板→Windows 组件→远程桌面服务→远程桌面会话主机→会话时间限制”,启用“设置已中断的会话时间限制”,设置时间为5分钟。对于屏幕保护的设置,在桌面空白处单击鼠标右键,打开“个性化→锁屏界面→屏幕保护程序设置”,设置等待时间,最多为3分钟。

(4) 询问系统是否使用第三方工具或系统限制单个用户对系统资源的最大或最小使用限度。

(5) 询问系统管理员是否经常查看“系统资源监控器”,或是否使用第三方工具来实现上述要求。

(6) 询问系统是否使用第三方工具或系统,在系统服务降至预定义警戒值时发出报警。

🦋2.8 软件安装限制

(1) 对于安装在主机服务器上的第三方软件,进行规范化管理。
(2) 在安装第三方软件之前,进行安全审核。
(3) 限制第三方软件对系统资源的访问权限。
(4) 查找第三方软件是否存在后门漏洞等安全风险。


🚀感谢:给读者的一封信

亲爱的读者,

我在这篇文章中投入了大量的心血和时间,希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验,我相信这些信息对您非常有帮助。

如果您觉得这篇文章对您有所帮助,我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担,但它会对我继续创作高质量的内容产生积极的影响。

我之所以写这篇文章,是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命,也鼓励我花更多的时间和精力创作更多有价值的内容。

如果您愿意支持我的创作,请扫描下面二维码,您的支持将不胜感激。同时,如果您有任何反馈或建议,也欢迎与我分享。

在这里插入图片描述

再次感谢您的阅读和支持!

最诚挚的问候, “愚公搬代码”

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。