环境：本文我们以Windows Server 2012 R2为例，进行加固

Windows 不论什么版本，进行安全配置均包含以下两个常用维度

1、账户策略

①密码策略

强制密码历史，建议设置为24个

密码最长使用期限，建议设置60天

密码最短使用期限，建议设置为1天或更多

重点理解选项--密码最短使用期限

解释：密码最短使用期限，表示用户更改密码后，多少天内能再次更改密码此项设置主要是配合强

制密码历史使用。如果没有设置密码最短使用期限用户则可以循环选择密码，直到获得期望的旧密

码。

密码长度最小值，建议设置为14

密码必需符合复杂性要求，建议设置为启用

用可还原的加密码来存储密码，建议设置为禁用

②账户锁定策略

账户锁定阈值，建议设置为10次或更少

账户锁定时间，建议设置为15分钟或更多

重置账户锁定计数器，建议设置为15分钟或更多

2、本地策略

①审计策略

②用户权限策略

③安全选项

3、防火墙策略

①域配置文件

②私有网络配置文件

4、高级审计策略

①账户登录

②账户管理

③详细跟踪

④登录/注销

⑤对象访问

⑥策略更改

通常在Windows安全配置中有两类对象

一类是Windows Server，如win server 2012、win server 2016、winserver2019等

一类是Windows Client，如win7、win8、win 10等

在Windows安全配置中，如果组织有条件，对WindowsClient的安全配置 我们可以借助微软的活动

目录来实现自动化。

而对Windows Server 通常为保障服务器稳定运行，我们倾向于的是手动配置。

Windows安全配置方法

通常我们使用组策略对windows进行安全配置

组策略中的安全配置与注册表也可以对应，但注册表可读性较差。组策略有详细的说明，所以我们

通常使用组策略

在windows客户端系统中，HOME版本是没有组策略的的功能。

窗运行打开组策略的方法是

右键开始-->运行-->gpedit.msc

WIN+R -->gpedit.msc

用户权限分配

可在控制面板中搜索组策略或者在计算机配置—Windows 设置—安全设置—本地策略

①作为受信任的呼叫方访问凭据管理器，建议设置为空。默认为空

②域控设置

安全设置—本地策略—用户权限分配

作为受信任的呼叫方访问凭据管理器，建议设置为空。

默认为空从网络访问此计算机，建议设置为Administrator,AuthenticatedUSerS,ENTERPRISE

DOMAIN CONTROLLERS(域控设置)
以操作系统方式执行，建议设置为空，默认为空

将工作站添加到域，建议设置为Administrators为进程调整内存配额，建议设置为Administrators，

LOCALSERVICENETWORK SERVICE

允许本地登录，建议设置为Administrators

允许通过远程桌面服务登录，建议设置为Administrators，Remote

备份文件和目录，建议设置为Administrators

更改系统时间，建议设置为Administrators，LOCALSERVICE

更改时区，建议设置为Administrators，LOCAL SERVICE

创建页面文件，建议设置为Administrators

创建一个信息对象，建议设置为空

创建全局对象，建议设置为Administrators，LOCALSERVICE,NETWORKSERVICE,SERVICE

创建永久共享对象，建议设置为空

创建符号链接，建议设置为Administrators

设置账户：

设置审核：

设置设备：

设置交互式登录：

设置Microsoft网络客户端：

设置Microsoft网络服务器：

设置网络访问：

设置网络安全：

设置用户账户控制：

高级防火墙配置：

设置改机审核策略配置

1、账户策略

2、本地策略

3、防火墙策略

4、高级审计策略

Windows安全配置方法

环境：本文我们以Windows Server 2012 R2为例，进行加固

Windows 不论什么版本，进行安全配置均包含以下两个常用维度

1、账户策略

①密码策略

强制密码历史，建议设置为24个

密码最长使用期限，建议设置60天

密码最短使用期限，建议设置为1天或更多

重点理解选项--密码最短使用期限

解释：密码最短使用期限，表示用户更改密码后，多少天内能再次更改密码此项设置主要是配合强

制密码历史使用。如果没有设置密码最短使用期限用户则可以循环选择密码，直到获得期望的旧密

码。

密码长度最小值，建议设置为14

密码必需符合复杂性要求，建议设置为启用

用可还原的加密码来存储密码，建议设置为禁用

②账户锁定策略

账户锁定阈值，建议设置为10次或更少

账户锁定时间，建议设置为15分钟或更多

重置账户锁定计数器，建议设置为15分钟或更多

2、本地策略

①审计策略

②用户权限策略

③安全选项

3、防火墙策略

①域配置文件

②私有网络配置文件

4、高级审计策略

①账户登录

②账户管理

③详细跟踪

④登录/注销

⑤对象访问

⑥策略更改

通常在Windows安全配置中有两类对象

一类是Windows Server，如win server 2012、win server 2016、winserver2019等

一类是Windows Client，如win7、win8、win 10等

在Windows安全配置中，如果组织有条件，对WindowsClient的安全配置 我们可以借助微软的活动

目录来实现自动化。

而对Windows Server 通常为保障服务器稳定运行，我们倾向于的是手动配置。

Windows安全配置方法

通常我们使用组策略对windows进行安全配置

组策略中的安全配置与注册表也可以对应，但注册表可读性较差。组策略有详细的说明，所以我们

通常使用组策略

在windows客户端系统中，HOME版本是没有组策略的的功能。

窗运行打开组策略的方法是

右键开始-->运行-->gpedit.msc

WIN+R -->gpedit.msc

用户权限分配

可在控制面板中搜索组策略或者在计算机配置—Windows 设置—安全设置—本地策略

①作为受信任的呼叫方访问凭据管理器，建议设置为空。默认为空

②域控设置

安全设置—本地策略—用户权限分配

作为受信任的呼叫方访问凭据管理器，建议设置为空。

默认为空从网络访问此计算机，建议设置为Administrator,AuthenticatedUSerS,ENTERPRISE

DOMAIN CONTROLLERS(域控设置)
以操作系统方式执行，建议设置为空，默认为空

将工作站添加到域，建议设置为Administrators为进程调整内存配额，建议设置为Administrators，

LOCALSERVICENETWORK SERVICE

允许本地登录，建议设置为Administrators

允许通过远程桌面服务登录，建议设置为Administrators，Remote

备份文件和目录，建议设置为Administrators

更改系统时间，建议设置为Administrators，LOCALSERVICE

更改时区，建议设置为Administrators，LOCAL SERVICE

创建页面文件，建议设置为Administrators

创建一个信息对象，建议设置为空

创建全局对象，建议设置为Administrators，LOCALSERVICE,NETWORKSERVICE,SERVICE

创建永久共享对象，建议设置为空

创建符号链接，建议设置为Administrators

设置账户：

设置审核：

设置设备：

设置交互式登录：

设置Microsoft网络客户端：

设置Microsoft网络服务器：

设置网络访问：

设置网络安全：

设置用户账户控制：

高级防火墙配置：

设置改机审核策略配置

1、账户策略

2、本地策略

3、防火墙策略

4、高级审计策略

Windows安全配置方法