windows 系统简单加固
2020-01-13 本文已影响0人
KK7384
windows 系统简单加固
账户配置
打开 compmgmt.msc 本地用户和组
禁用多余账户,管理员账户改名,并设置强密码。
防火墙配置
运行以下命令,禁用 135/tcp, 137/udp, 138/udp, 139/tcp, 445/tcp, 123/udp 端口
sc start mpssvc
netsh advfirewall set allprofiles state on
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
netsh advfirewall set allprofiles settings inboundusernotification enable
netsh advfirewall firewall add rule name="!!0_rpc_block" dir=in action=block localport=135 protocol=tcp
netsh advfirewall firewall add rule name="!!1_nbscan_block" dir=in action=block localport=137,138 protocol=udp
netsh advfirewall firewall add rule name="!!2_smb_block" dir=in action=block localport=139,445 protocol=tcp
netsh advfirewall firewall add rule name="!!3_ntp_block" dir=in action=block localport=123 protocol=udp
打开 wf.msc 观察效果
修改 rdp 端口
运行以下命令,修改远程桌面端口,将新端口添加到防火墙,重启远程桌面服务
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 38901 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 38901 /f
netsh advfirewall firewall add rule name="rdp" dir=in action=allow localport=38901 protocol=tcp
net stop TermService /y
net start TermService
安全策略配置
打开 secpol.msc
- 账户策略---账户锁定策略
- 账户锁定阈值:9次无效登录
- 账户锁定时间:30分钟
- 重置账户锁定计数器:30分钟
- 本地策略---审核策略
- 审核策略更改 成功 失败
- 审核登陆事件 成功 失败
- 审核对象访问 失败 (开启防火墙会产生大量失败记录,非服务器建议关闭)
- 审核进程跟踪 关闭
- 审核目录访问 失败 (非服务器建议关闭)
- 审核特权使用 失败 (非服务器建议关闭)
- 审核系统事件 成功 失败 (非服务器建议关闭)
- 审核账户登录事件 成功 失败
- 审核账户管理 成功 失败
- 本地策略---安全选项
- 启用 不显示最后的用户名
- 锁定会话时不显示用户信息
- 禁用 允许系统在未登录的情况下关闭
- 网络安全: LAN管理器身份验证级别--仅发送NTLMv2相应 (会影响远程桌面兼容性)
- 网络安全: 限制NTLM: 传入NTLM流量--拒绝所有账户的审核 (会影响远程桌面兼容性)
- 网络安全: 限制NTLM: 审核传入NTLM流量--启用对所有 (会影响远程桌面兼容性)
- 启用 在下一次更改密码时不存储LAN管理器哈希值
- 启用 不允许SAM账户和共享的匿名枚举
- 启用 不允许存储网络身份验证的密码和凭据
- 删除 可匿名访问的共享及命名管道
- 删除 可远程访问的注册表路径和子路径
- 启用 限制对命名管理和共享的匿名访问
- 标准用户的提升行为,需要提示凭据
- 运行命令
gpupdate /force更新策略
Windows 更新设置
打开 wuapp.exe 设置 Windows 更新策略
fail2ban 防止暴力破解
wail2ban 是用于 windows 系统的防暴力破解工具, 功能类似 fail2ban.
下载地址: https://github.com/glasnt/wail2ban
将脚本保存在 C:\scripts\wail2ban
打开任务计划程序 taskschd.msc 导入 C:\scripts\wail2ban\start wail2ban onstartup.xml, 添加 wail2ban 的开机启动项.
这套脚本调用windows防火墙屏蔽登录尝试失败超过5次的IP, 可以在 wf.msc 里手动解封.
