很多企业员工的电脑在使用过程中很少会进行安全漏洞的升级检测的,这会导致基线配置工作很难展开。一般情况下在运行的系统没有出问题前都不会想到这些问题,除非遇到了上级检查或者自身发现了安全漏洞的情况才会想着解决修复漏洞等工作。这里西西列出了一些常见的高危漏洞及修复方法,大家可以按照下面的步骤来操作。
检查密码最短使用期限
Windows 安全基线建议设置为 1 天的最短密码使用期限。
设置为 0 天数允许立即更改密码,不建议这样做。 组合立即更改密码与密码历史记录让人重复更改密码,直到满足密码历史记录要求并再次重建原始密码。 例如,假设的密码是"Ra1ny day !" 和历史记录要求为 24。 如果最小密码使用期限为 0,可以更改密码 24 时间在最后更改回"Ra1ny day !"之前的行。 最短密码 13 岁以下的 1 天阻止的。
如果你的用户设置密码,并且你希望用户可以更改管理员定义的密码,你必须选择用户必须登录时须更改密码下一步复选框。 否则,用户将无法更改密码,直到指定的最短密码使用期限天数。
修复建议:
win+R打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器
浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”,在右边窗格中找到“密码最短存留期(使用期限)”,配置为非0值。如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于 0 的值。
445端口状态是否关闭:
按 WIN+R 组合键打开运行对话框(不知道哪个是WIN键?),输入 cmd ,按回车键,打开 dos 窗口。
然后输入如下命令:
netstat -ano -p tcp | find "445"
如果没有返回任何记录,则说明已经成功关闭了445端口。如果有返回记录,如下图所示,则需要在注册表中关闭该端口。
修复步骤:
1、运行regedit打开注册表
2、依次依次点击注册表选项”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“,进入NetBT这个服务的相关注册表项。
3、在右边空白处右击新建“QWORD(64位)值”,然后重命名为“SMBDeviceEnabled”,再把这个子键的值改为0。
4、之后win7还要在service中设置
依次点击“开始”,“运行”,输入services.msc,进入服务管理控制台。然后,找到server服务,双击进入管理控制页面。把这个服务的启动类型更改为“禁用”,服务状态更改为“停止”,最后点击应用即可。
现在就已经关闭了445端口。
检查是否已限制匿名用户连接
win+R打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器
浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“网络访问: 不允许 SAM 帐户和共享的匿名枚举”
配置为“启用”(在Windows2000下,将“对匿名连接的额外限制”配置为“不允许枚举SAM账号和共享”)。
检查是否已修改默认的远程桌面(RDP)服务端口:
配置远程服务器时候有一个非常重要的工作,为了远程控制方便经常要启用windows的远程桌面终端,自己使用是方便了,但也给系统留下了隐患,如 果系统安全策略配置不好很有可能被人利用而入侵,一般情况下把默认的3389端口改成其它端口可以降低风险,使入侵者不容易利用。
修复建议:
1、win+R打开命令提示符,运行命令“regedit”打开注册表编辑器
2、找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\Tcp下PortNumber键的键值:0xd3d,是16进制,也就是10进制的3389,也就是RDP协议的端口,这里可以修改成d39。
3、浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”
4、修改名称为“PortNumber”的数值的数据,使其不等于标准值(注意:标准值为16进制表示)。这里可以修改成d39。
5、然后重启电脑就可以了。
检查是否已开启Windows防火墙:
在Windows2000中,没有Windows防火墙,不检查此项;
在WindowsXP及其SP1中,打开控制面板,找到“网络连接”,打开“本地连接”的“属性”对话框,切换到“高级”选项卡,勾选“通过限制或阻止来自Internet…”,并点击下方“设置”按钮设置例外端口;
在其余版本的Windows中,打开控制面板,找到“Windows防火墙”,将当前网络位置的防火墙配置为“启用”,并根据实际需求设置例外。
检查是否已启用密码复杂性要求:
由于域的规约而导致的问题,问题在于密码设定不符合策略组的规约。此时需要到域策略中设置响应选项来降低密码的复杂度。(默认的复杂度需要至少7字符,且包含多个字母和数字)
修复建议:
win+R打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器
浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”,在右边窗格中找到“密码必须符合复杂性要求”,双击打开配置为“已启用”。
检查是否已删除可远程访问的注册表路径和子路径:
Win7系统支持远程访问,很大程度上方便了用户的许多操作,但在远程访问中,Win7也开启了风险极高的可远程访问注册表的路径,给系统安全带来了极大的隐患
修复建议:
1、单击开始按钮。在搜索栏里面输入本地安全,然后打开本地安全组策略,知道口令的可以直接在运行对话框里面打开。
2、在左侧标签,展开安全设置--本地策略--安全选项。
3、找到网络访问:可远程访问的注册表路径和子路径。
4、删除注册表路径,确定即可关闭远程访问了。