windows 系统简单加固

账户配置

打开 compmgmt.msc 本地用户和组

禁用多余账户，管理员账户改名，并设置强密码。

防火墙配置

运行以下命令，禁用 135/tcp, 137/udp, 138/udp, 139/tcp, 445/tcp, 123/udp 端口

sc start mpssvc
netsh advfirewall set allprofiles state on
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound
netsh advfirewall set allprofiles  settings inboundusernotification enable
netsh advfirewall firewall add rule name="!!0_rpc_block" dir=in action=block localport=135 protocol=tcp
netsh advfirewall firewall add rule name="!!1_nbscan_block" dir=in action=block localport=137,138 protocol=udp
netsh advfirewall firewall add rule name="!!2_smb_block" dir=in action=block localport=139,445 protocol=tcp
netsh advfirewall firewall add rule name="!!3_ntp_block" dir=in action=block localport=123 protocol=udp

打开 wf.msc 观察效果

修改 rdp 端口

运行以下命令，修改远程桌面端口，将新端口添加到防火墙，重启远程桌面服务

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 38901 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 38901 /f
netsh advfirewall firewall add rule name="rdp" dir=in action=allow localport=38901 protocol=tcp
net stop TermService /y
net start TermService

安全策略配置

打开 secpol.msc

• 账户策略---账户锁定策略
• 账户锁定阈值：9次无效登录
• 账户锁定时间：30分钟
• 重置账户锁定计数器：30分钟
• 本地策略---审核策略
• 审核策略更改 成功 失败
• 审核登陆事件 成功 失败
• 审核对象访问 失败 （开启防火墙会产生大量失败记录，非服务器建议关闭）
• 审核进程跟踪 关闭
• 审核目录访问 失败 （非服务器建议关闭）
• 审核特权使用 失败 （非服务器建议关闭）
• 审核系统事件 成功 失败 （非服务器建议关闭）
• 审核账户登录事件 成功 失败
• 审核账户管理 成功 失败
• 本地策略---安全选项
• 启用 不显示最后的用户名
• 锁定会话时不显示用户信息
• 禁用 允许系统在未登录的情况下关闭
• 网络安全: LAN管理器身份验证级别--仅发送NTLMv2相应 (会影响远程桌面兼容性)
• 网络安全: 限制NTLM: 传入NTLM流量--拒绝所有账户的审核 (会影响远程桌面兼容性)
• 网络安全: 限制NTLM: 审核传入NTLM流量--启用对所有 (会影响远程桌面兼容性)
• 启用 在下一次更改密码时不存储LAN管理器哈希值
• 启用 不允许SAM账户和共享的匿名枚举
• 启用 不允许存储网络身份验证的密码和凭据
• 删除 可匿名访问的共享及命名管道
• 删除 可远程访问的注册表路径和子路径
• 启用 限制对命名管理和共享的匿名访问
• 标准用户的提升行为，需要提示凭据
• 运行命令 gpupdate /force 更新策略

Windows 更新设置

打开 wuapp.exe 设置 Windows 更新策略

fail2ban 防止暴力破解

wail2ban 是用于 windows 系统的防暴力破解工具, 功能类似 fail2ban.

下载地址: https://github.com/glasnt/wail2ban

将脚本保存在 C:\scripts\wail2ban

打开任务计划程序 taskschd.msc 导入 C:\scripts\wail2ban\start wail2ban onstartup.xml, 添加 wail2ban 的开机启动项.

这套脚本调用windows防火墙屏蔽登录尝试失败超过5次的IP, 可以在 wf.msc 里手动解封.