Windows基线安全检测-安全配置检测

Windows安全配置检查与加固指南

最新推荐文章于 2025-10-20 16:37:45 发布

原创

最新推荐文章于 2025-10-20 16:37:45 发布 · 1.5k 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#windows #安全

本文详述了Windows基线安全检测的多个方面，包括系统账号安全、Sysmon服务设置、补丁更新配置、远程桌面限制、SMBv1禁用、日志管理和审核策略等，旨在提升Windows系统的安全性，防止未经授权的访问和恶意攻击。

Windows基线安全检测-安全配置检测

前言

Windows在生产环境中是使用最多的一个系统，大部分为客户端，少部分为服务端；
然而其实很多用户对windows系统不是很了解，安全配置更是如此；
因此我们安全人员要定期对员工的主机做必要的安全检测，其中基线的定期检测就是方式之一；

以下则是我亲自编写测试上线使用的检测和修复脚本，如有不对的地方，欢迎大家留言，我会立马改正！！！

各模块检测

1、系统账号安全

内容：
账号策略：失败锁定次数(5次)、时长(15min)；
根据实际情况调整即可；
检测方式：
组策略–>计算机配置–>windows设置–>安全设置–>帐户策略–>账户锁定策略–>(账户锁定时间15min，账户锁定阈值5次)

2、设置Sysmon服务开机自启

内容：
Sysmon作为windows下系统监控工具，通过编写配置文件，能够发现windows系统的部分异常操作行为，建议该服务设置为开机自启；
检测方式：

function Check-SysmonService {
   
     
    $service = Get-Service -Name Sysmon64  
    if ($service.Status -eq "Running") {
   
     
        Write-Output "Sysmon服务正在运行"  
    } else {
   
     
        Write-Output "Sysmon服务未运行"  
    }  
}  
  
Check-SysmonService


function Check-SysmonServiceStartup {
   
     
    $service = Get-Service -Name Sysmon64  
    $status = $service.StartType  
    if ($status -eq "Automatic") {
   
     
        Write-Output "Sysmon服务已设置为开机自启"  
    } else {
   
     
        Write-Output "Sysmon服务未设置为开机自启"  
    }  
}  
  
Check-SysmonServiceStartup

修复方式：
控制面板–>管理工具–>服务–>Sysmon/Sysmon32/Sysmon64–>
右键属性–>启动类型–>自动

3、补丁更新配置

内容：
配置对应的补丁更新服务器【wsus】，及时获取到最新的补丁更新详情；
根据实际情况调整即可；
检测方式：
1、组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>配置自动更新(4-自动下载并计划安装、计划安装日期-每天、计划安装时间-03:00、每周)；
2、组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>指定Intranet Microsoft 更新服务位置；
3、组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>自动更新检测频率(22小时)；
4、组策略–>计算机配置–>管理模板–>Windows组件–>Windows更新–>允许非管理员接收更新通知；
根据实际情况调整即可；
修复方式：

Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate",0,"REG_DWORD"
OperationRegistry.RegWri