实际场景

⚠️ 政府机关单位不允许外部移动设备接入用我们自带的软件,找信息中心负责人,将我们的软件刻录成光盘,使用光盘进行检查。

Q:你现在就是一名安全服务工程师,现在要去客户现场做安全基线检查,只检查一台Windows server 2022 服务器,请问我们具体实施的工作流程是什么,具体检查哪些内容

A: 1、公司侧:询问项目经理,时间、地点、人物、客户侧:明确检查内容和范围,回滚方案(询问

客户如果造成业务崩溃,解决办法)

​ 2、保证网络的连通性,时效性(即使1个小时做完,也要等到客户下班)不要随意答应客户的其他

项目外需求,但是不要让客户感觉出来我们态度不端正。

​ 3、实施让客户觉得我们的专业性和工作量饱和度

​ 4、出报告写整改建议

​ 5、用户、账密、策略(组策略、本地安全策略、ACL)、权限、文件

自动化工具扫描结果

1751680026688-14a49aaf-3579-470c-b082-df2f62970457

1751680026688-14a49aaf-3579-470c-b082-df2f62970457

1751680038301-2188ef51-3364-464d-be29-e8c3def9ab25

检查项分类

1. 用户 (Users)

  • 涉及项目: 20 (Guest账户), 40 (Administrator), 49 (DefaultAccount), 53 (Backup User), 54 (禁止开机自启相关用户行为)
  • 问题: 默认用户账户可能未禁用或未受限,开机自启可能涉及未经授权用户。

2. 账密 (Account and Password)

  • 涉及项目: 1 (密码合规性), 3 (密码长度最小8个字符), 4 (密码复杂性), 5 (密码历史记录), 6 (账户锁定策略), 25 (密码合规性), 44 (禁止发送未加密的密码), 50 (不允许存储密码)
  • 问题: 密码策略可能较弱,账户凭据可能未加密或存储不当。

3. 策略 (Policies)

  • 涉及项目: 2 (安全基线), 7 (审核策略), 8 (防火墙设置), 9 (远程桌面配置), 10 (组策略管理), 12 (系统日志大小), 13 (应用程序日志), 14 (安全日志), 15 (事件转发), 16 (用户账户控制), 17 (服务账户权限), 18 (计划任务审查), 19 (系统还原点), 23 (电源管理), 24 (远程管理工具), 26 (安全基线), 46 (禁止上传敏感数据), 47 (关闭USB存储设备), 48 (禁止系统恢复), 55 (启用效果执行), 57 (关闭所有服务), 58 (关闭所有端口), 59 (关闭所有网络)
  • 问题: 策略配置可能未启用或未优化,存在安全漏洞。

4. 权限 (Permissions)

  • 涉及项目: 11 (网络共享权限), 21 (默认共享), 29 (远程桌面组), 30 (不允许远程登录), 31 (仅允许Administrators本地登录), 32 (远程连接), 37 (远程桌面服务), 38 (远程桌面用户), 39 (启用远程桌面的用户), 41 (删除用户访问), 42 (删除远程访问), 43 (启用系统防火墙), 45 (禁用所有远程登录), 51 (禁止从本地发送), 52 (关闭网络连接), 56 (IPC$)
  • 问题: 权限配置可能过于宽松,存在未经授权访问风险。

5. 文件 (Files)

  • 涉及项目: 22 (Internet Explorer设置), 27 (Computer Browser), 28 (远程登录设置), 33 (Internet Connection Sharing), 34 (Remote Registry), 35 (Routing and Remote Access), 36 (Simple Network Management Protocol Trap)
  • 问题: 文件相关服务或设置可能未优化,增加暴露风险。

不符合项处理方案

2. 密码长度最小8个字符(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 密码策略。
  3. 双击“密码必须符合复杂性要求”,确保已启用(符合项1)。
  4. 双击“最短密码长度”,设置为 8 个字符。
  5. 应用并关闭。

3. 密码最长存留期设置为90天(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 密码策略。
  3. 双击“最长密码使用期限”,设置为 90 天。
  4. 应用并关闭。

4. 密码最短存留期设置为5天(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 密码策略。
  3. 双击“最短密码使用期限”,设置为 5 天。
  4. 应用并关闭。

5. 强制密码历史设置为记住5个密码(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 密码策略。
  3. 双击“强制密码历史”,设置为 5 个密码。
  4. 应用并关闭。

6. 密码到期前提示用户更改密码,设置不小于14天(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“交互式登录:提示用户在密码到期前更改密码”,设置为 14 天。
  4. 应用并关闭。

7-15. 审核相关设置(对象访问、目录服务器访问、登录事件、特权使用、系统事件、账户管理、过程追踪、策略更改、账户登录事件)设置为成功和失败都要审核(不符合)

解决方法(统一配置):

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 审核策略。
  3. 对以下策略逐一配置:
    • 审核对象访问
    • 审核目录服务访问
    • 审核登录事件
    • 审核特权使用
    • 审核系统事件
    • 审核账户管理
    • 审核过程跟踪
    • 审核策略更改
    • 审核账户登录事件
  4. 双击每个策略,勾选“成功”和“失败”。
  5. 应用并关闭。
  6. 可选:运行 gpupdate /force 立即应用策略。

19. 关闭Windows自动播放功能(不符合)

解决方法

  1. 打开“组策略编辑器”(gpedit.msc)。
  2. 导航到:计算机配置 > 管理模板 > Windows组件 > 自动播放策略。
  3. 双击“关闭自动播放”,选择“已启用”,在选项中选择“所有驱动器”。
  4. 应用并关闭。
  5. 可选:运行 gpupdate /force。

20. 账户锁定标准值设置为小于等于5次(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 账户锁定策略。
  3. 双击“账户锁定阈值”,设置为 5 次(或更低)。
  4. 应用并关闭。

23. 登录时间用完时自动注销用户(不符合)

解决方法

  1. 打开“组策略编辑器”(gpedit.msc)。
  2. 导航到:计算机配置 > 管理模板 > 系统 > 登录。
  3. 双击“在用户登录时间用完时自动注销”,选择“已启用”。
  4. 应用并关闭。
  5. 可选:运行 gpupdate /force。

25. 设置复位账户锁定计数器为15分钟(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 账户锁定策略。
  3. 双击“复位账户锁定计数器”,设置为 15 分钟。
  4. 应用并关闭。

26. 设置账户锁定时间为15分钟(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 账户策略 > 账户锁定策略。
  3. 双击“账户锁定持续时间”,设置为 15 分钟。
  4. 应用并关闭。

30. 不允许枚举SAM账户和共享(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“网络访问:不允许 SAM 账户和共享的匿名枚举”,选择“已启用”。
  4. 应用并关闭。

31. 只允许Administrators本地登录、从网络访问此计算机(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 用户权限分配。
  3. 双击“允许本地登录”,仅保留“Administrators”。
  4. 双击“从网络访问此计算机”,仅保留“Administrators”。
  5. 应用并关闭。

32. 设置等待时间为“5分钟”,在恢复时使用密码保护(不符合)

解决方法

  1. 打开“电源选项”(control powercfg.cpl)。
  2. 点击“更改计划设置” > “更改高级电源设置”。
  3. 设置“显示器关闭时间”为 5 分钟。
  4. 在组策略编辑器(gpedit.msc)中:
    • 导航到:计算机配置 > 管理模板 > 系统 > 电源管理。
    • 双击“在恢复时需要密码”,选择“已启用”。
  5. 应用并关闭。

34. 禁用 Remote Registry 服务(不符合)

解决方法

  1. 打开“服务”(services.msc)。
  2. 找到“Remote Registry”服务,双击。
  3. 将“启动类型”设置为“禁用”,如果服务正在运行,点击“停止”。
  4. 应用并关闭。

36. 禁用 Simple Network Management Protocol (SNMP) Trap 服务(不符合)

解决方法

  1. 打开“服务”(services.msc)。
  2. 找到“SNMP Trap”服务,双击。
  3. 将“启动类型”设置为“禁用”,如果服务正在运行,点击“停止”。
  4. 应用并关闭。

37. 设置关闭系统只指派给Administrators组(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 用户权限分配。
  3. 双击“关闭系统”,仅保留“Administrators”。
  4. 应用并关闭。

39. 启用不显示上次的用户名(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“交互式登录:不显示上次的用户名”,选择“已启用”。
  4. 应用并关闭。

40. 重命名 Administrator(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“账户:重命名管理员账户”,输入新名称(例如“SysAdmin”)。
  4. 应用并关闭。
  5. 或者通过命令行:
wmic useraccount where name='Administrator' call rename name='NewAdminName'

42. 删除可远程访问的注册表路径和子路径(不符合)

解决方法

  1. 打开“注册表编辑器”(regedit)。
  2. 导航到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg。
  3. 如果不存在,创建 winreg 键。
  4. 设置 AllowedExactPaths 和 AllowedPaths 的值为“空”或仅允许特定路径(如 System\CurrentControlSet\Control\Print\Printers)。
  5. 重启系统。

43. 启用系统失败日志和崩溃转储(不符合)

解决方法

  1. 打开“注册表编辑器”(regedit)。

  2. 导航到:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl。

  3. 设置 CrashDumpEnabled 为 1(DWORD)。

  4. 设置 LogEvent 为 1(DWORD)。

  5. 重启系统。

47. 关机时清除虚拟内存页面文件(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“关机:清除虚拟内存页面文件”,选择“已启用”。
  4. 应用并关闭。

49. 可被缓存的前次登录个数为3(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“交互式登录:可缓存的登录次数(在域控制器不可用时)”,设置为 3。
  4. 应用并关闭。

50. 不允许存储网络身份验证的密码和凭据(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 安全选项。
  3. 双击“网络访问:不允许存储网络身份验证的密码和凭据”,选择“已启用”。
  4. 应用并关闭。

51. 禁止从本机发送远程协助邀请(不符合)

解决方法

  1. 打开“组策略编辑器”(gpedit.msc)。
  2. 导航到:计算机配置 > 管理模板 > 系统 > 远程协助。
  3. 双击“请求远程协助”,选择“已禁用”。
  4. 应用并关闭。

52. 关闭故障恢复自动重新启动(不符合)

解决方法

  1. 打开“系统属性”(sysdm.cpl)。
  2. 在“高级”选项卡下,点击“启动和故障恢复”中的“设置”。
  3. 取消勾选“自动重新启动”。
  4. 应用并关闭。

53. 限制从网络访问此计算机,删掉 Backup User(不符合)

解决方法

  1. 打开“本地安全策略”(secpol.msc)。
  2. 导航到:安全设置 > 本地策略 > 用户权限分配。
  3. 双击“从网络访问此计算机”,删除“Backup Operators”或任何非必要用户/组,仅保留“Administrators”。
  4. 应用并关闭。

56. 删掉默认的 IPC$、C$、D$ 等默认共享以及不必要的共享目录(不符合)

解决方法

  1. 打开“注册表编辑器”(regedit)。

  2. 导航到:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters。

  3. 设置 AutoShareServer 和 AutoShareWks 为 0(DWORD)。

  4. 打开“命令提示符”(以管理员身份运行): 

    net <font style="color:rgb(198, 120, 221);">share</font> IPC$ /<font style="color:rgb(198, 120, 221);">delete</font>

    net <font style="color:rgb(198, 120, 221);">share</font> C$ /<font style="color:rgb(198, 120, 221);">delete</font>

    net <font style="color:rgb(198, 120, 221);">share</font> D$ /<font style="color:rgb(198, 120, 221);">delete</font>

  5. 检查并删除其他不必要共享: cmd收起自动换行复制

    net <font style="color:rgb(198, 120, 221);">share</font>

    net <font style="color:rgb(198, 120, 221);">share</font> <共享名> /<font style="color:rgb(198, 120, 221);">delete</font>

  6. 重启系统。