Windows安全加固 # 账户管理和认证授权 # 1.1 账户 # 默认账户安全 # 禁用Guest账户. 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除.) 操作步骤 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定. 按照用户类别分配帐户 # 按照用户分配帐户.根据业务要求,设定不同的用户和用户组.例如,管理员用户,数据库用户,审计用户,来宾用户等. 定期检查并删除与无关帐户 # 定期删除或锁定与设备运行.维护等与工作无关的帐户.…

1      身份鉴别 1.1         密码安全策略 要求:操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换. 目的:设置有效的密码策略,防止攻击者破解出密码. 操作步骤: [位置]开始-管理工具-本地安全策略-帐户策略-密码策略,加固设置为下图所示: 1.2         帐号锁定策略 要求:应启用登录失败处理功能,可采取结束会话.限制非法登录次数和自动退出等措施. 目的:遭遇密码破解时,暂时锁定帐号,降低密码被猜解的可能性. 操作步骤:…

微软计划于2020年1月推出补丁更新,启用LDAP签名.虽然目前版本的操作系统已经包含了这个功能,但是微软并没有将它启用.随着时间推移,网络上的威胁越来越多.凭据重放和中间人攻击在LDAP的攻击中显得极为有效.所以,我们需要尽快启用LDAP签名这个安全特性.值得注意的是微软的目录服务通常在企业内部用作最基本的身份验证,很多其它系统也依赖于Windows提供的LDAP服务,这些三方系统的兼容性需要得到足够的测试.建议先在某些域控上启用策略,完成测试验证. 先来看一下当前默认情况下的域环境的LDAP…

一.补丁管理 运行cmd,输入systeminfo查看目前补丁信息 二.账户管理 gpedit.msc —>Windows设置—>安全设置—>本地设置—>账户设置 密码策略: .密码必须符合复杂性要求(启用) .密码长度最小值() .密码最长使用期限(90天) .密码最短使用期限(1天) .强制密码历史() .用可还原的加密来储存密码(禁用) 账户锁定策略: .复位帐户锁定计数器(15分钟之后) .帐户锁定时间(15分钟) .帐户锁定阀值(3次无效登录) 三.审核策略 gpedit…

之前两篇文章介绍了LDAP的安全加固,其中提到了TLS加密LDAP通信.对于通常的网页加密,RDP加密都可以在对应的管理界面中选择使用哪个证书来加密.那么对于LDAP服务,怎么确定当前使用的是哪张证书,如何更换对应的证书呢? 首先需要确定当前域控上使用哪个证书来加密LDAP.可以在本地的证书管理单元中查看计算机证书,但是对于有多张证书的服务器来说,需要确定具体哪张证书来加密LDAP就比较重要了.做了几次实验,发现后申请的证书会被优先用于加密.但是必须要有确实的证据证明使用了哪个证书.这里需要用到…

很多网络通信都可以用SSL来加密的,LDAP也不列外,同样可以用SSL加密. LDAPS使用的证书必须满足以下几个条件: 1.证书的增强性密钥用法中必须有服务器身份验证Server Authentication 2.证书的名称或者SAN名称中的第一个是域控的FQDN 3.服务器端有证书的私钥 4.证书被客户端信任 如果看不到图,请点我. 从客户端上测试一下基于LDAPS的Simple Binding,结果也是可以正常连接的. 注意,由于加入域的客户端会自动添加域后缀,所以对于非域客户端测试,请使…

最近一段时间给windows做加固防护,积累了几个小工具. 1.杀毒:火绒+火绒剑,windows10 自带的杀毒Windows Defender 2.日志记录:    sysmon sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息.细节:http://www.freebuf.com/sectool/122779.html    Applocker 开启applocker强制规则,并设置为仅审计模式 Microsft…

这篇与上一篇的win7主机加固内容大体类似,部分有些不同.这篇也可以用来尝试加固windows XP. 1. 配置管理 1.1用户策略 注意:在对Windows系统加固之前先新建一个临时的系统管理员账号:用来恢复加固中可能出现的问题 1.1.1 用户权限策略配置(适用于服务器或公用工作站) 1.按下win+R,输入框输入 winver,确认系统版本. 2.按下win+R,输入框输入 compmgmt.msc,进入“计算机管理->本地用户和 组->用户->右键-->新用户”,分别创建…

这套主机加固方案很简单,一步一步按着顺序来弄就可以,部分步骤还配有相关图片.可以先用虚拟机来做一次加固,以防弄错后不好恢复.记得弄个快照,以防万一.下次有空写个win7暴力破解~ 1. 配置管理 1.1用户策略 注意:在对Windows系统加固之前先新建一个临时的系统管理员账号:用来恢复加固中可能出现的问题 1.1.1 用户权限策略配置(适用于服务器或公用工作站) 按下win+R,输入框输入 winver,确认系统版本. 2.按下win+R,输入框输入 compmgmt.msc,进入“计算机管理…

Windows系统加固 账户管理和啊认证授权 日志配置操作 IP协议安全配置:启用SYN攻击保护 文件权限 服务安全 安全选项:启动安全选项.禁用未登录前关机 其他安全配置: 防病毒管理.设置屏幕保护密码和开启时间.限制远程登录.操作系统补丁管理 工具相关 Sysinternals Utiliteis套件 SIFT工具包…