組策略檢測會檢測如下賬號相關安全策略：

1.密碼復雜度(數(shù)字、大小寫字母、特殊字符組合)
2.賬號密碼長度最小值
3.檢查密碼更新時與原密碼不同
4.檢測登錄框是否顯示上次登錄賬號
5.登錄事件記錄是否開啟
6.登錄過程中事件記錄是否開啟

修復方案：

在運行窗口中輸入：gpedit.msc，打開組策略控制面板，依次選擇：計算機配置>Windows設置>安全設置>賬戶策略>密碼策略，配置密碼策略

• 1.密碼必須符合復雜性要求，已啟用。
• 2.密碼長度最小值，建議10位以上。
• 3.強制密碼歷史，建議6個以上
  依次選擇：計算機配置>Windows設置>安全設置>本地策略>安全選項，配置登錄策略。
• 4.交互式登錄 不顯示最后的用戶名(已啟用)
  依次選擇：計算機配置>Windows設置>安全設置>本地策略>審核策略，配置審核策略-------全部。
• 5.將全部審核策略配置為：成功,失敗。包括審核策略更改、審核對象訪問、審核進程跟蹤、審核目錄服務訪問、審核賬戶登陸事件、審核特權使用、審核系統(tǒng)事件、審核賬戶管理、審核登陸事件共九項。

阿里云信息

在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\安全選項。
將"關機:允許在未登錄時關閉系統(tǒng)"設置為:已禁用
將網(wǎng)絡訪問中“Everyone權限應用于匿名用戶“設置為：已禁用，
將網(wǎng)絡訪問中“不允許SAM帳戶的匿名枚舉“設置為：已啟用，
將網(wǎng)絡訪問中“不允許SAM帳戶和共享的匿名枚舉”設置為：已啟用，
將網(wǎng)絡訪問中”允許匿名SID/名稱轉換“設置為：已禁用。--加固腳本中無此條

策略 安全設置

DCOM: 使用安全描述符定義語言(SDDL)語法的計算機啟動限制 沒有定義
Microsoft 網(wǎng)絡服務器: 登錄時間過期后斷開與客戶端的連接 已啟用
Microsoft 網(wǎng)絡服務器: 對通信進行數(shù)字簽名(如果客戶端允許) 已禁用
Microsoft 網(wǎng)絡服務器: 對通信進行數(shù)字簽名(始終) 已禁用
Microsoft 網(wǎng)絡服務器: 服務器 SPN 目標名稱驗證級別 沒有定義
Microsoft 網(wǎng)絡服務器: 暫停會話前所需的空閑時間數(shù)量 15 分鐘
Microsoft 網(wǎng)絡客戶端: 對通信進行數(shù)字簽名(如果服務器允許) 已啟用
Microsoft 網(wǎng)絡客戶端: 對通信進行數(shù)字簽名(始終) 已禁用
Microsoft 網(wǎng)絡客戶端: 將未加密的密碼發(fā)送到第三方 SMB 服務器 已禁用
關機: 清除虛擬內存頁面文件 已禁用
關機: 允許系統(tǒng)在未登錄的情況下關閉 已禁用
恢復控制臺: 允許軟盤復制并訪問所有驅動器和所有文件夾 已禁用
恢復控制臺: 允許自動管理登錄 已禁用
交互式登錄: 不顯示最后的用戶名 已啟用
交互式登錄: 試圖登錄的用戶的消息標題
交互式登錄: 試圖登錄的用戶的消息文本
交互式登錄: 鎖定會話時顯示用戶信息 沒有定義
交互式登錄: 提示用戶在過期之前更改密碼 5 天
交互式登錄: 無須按 Ctrl+Alt+Del 已禁用
交互式登錄: 需要域控制器身份驗證以對工作站進行解鎖 已禁用
交互式登錄: 需要智能卡 已禁用
交互式登錄: 之前登錄到緩存的次數(shù)(域控制器不可用時) 10 登錄
交互式登錄: 智能卡移除行為 無操作
設備: 防止用戶安裝打印機驅動程序 已啟用
設備: 將 CD-ROM 的訪問權限僅限于本地登錄的用戶 沒有定義
設備: 將軟盤驅動器的訪問權限僅限于本地登錄的用戶 沒有定義
設備: 允許對可移動媒體進行格式化并彈出 沒有定義
設備: 允許在未登錄的情況下彈出 已啟用
審核: 對備份和還原權限的使用進行審核 已禁用
審核: 對全局系統(tǒng)對象的訪問進行審核 已禁用
審核: 強制審核策略子類別設置(Windows Vista 或更高版本)替代審核策略類別設置 沒有定義
審核: 如果無法記錄安全審核則立即關閉系統(tǒng) 已禁用
網(wǎng)絡安全: LAN 管理器身份驗證級別 沒有定義
網(wǎng)絡安全: LDAP 客戶端簽名要求 協(xié)商簽名
網(wǎng)絡安全: 基于 NTLM SSP 的(包括安全 RPC)服務器的最小會話安全 要求 128 位加密
網(wǎng)絡安全: 基于 NTLM SSP 的(包括安全 RPC)客戶端的最小會話安全 要求 128 位加密
網(wǎng)絡安全: 配置 Kerberos 允許的加密類型 沒有定義
網(wǎng)絡安全: 限制 NTLM: 傳入 NTLM 流量 沒有定義
網(wǎng)絡安全: 限制 NTLM: 此域中的 NTLM 身份驗證 沒有定義
網(wǎng)絡安全: 限制 NTLM: 到遠程服務器的傳出 NTLM 流量 沒有定義
網(wǎng)絡安全: 限制 NTLM: 審核傳入 NTLM 流量 沒有定義
網(wǎng)絡安全: 限制 NTLM: 審核此域中的 NTLM 身份驗證 沒有定義
網(wǎng)絡安全: 限制 NTLM: 添加此域中的服務器例外 沒有定義
網(wǎng)絡安全: 限制 NTLM: 為 NTLM 身份驗證添加遠程服務器例外 沒有定義
網(wǎng)絡安全: 允許 LocalSystem NULL 會話回退 沒有定義
網(wǎng)絡安全: 允許本地系統(tǒng)將計算機標識用于 NTLM 沒有定義
網(wǎng)絡安全: 允許對該計算機的 PKU2U 身份驗證請求使用聯(lián)機標識 沒有定義
網(wǎng)絡安全: 在超過登錄時間后強制注銷 已禁用
網(wǎng)絡安全: 在下一次更改密碼時不存儲 LAN 管理器哈希值 已啟用
網(wǎng)絡訪問: 本地帳戶的共享和安全模型 經(jīng)典 - 對本地用戶進行身份驗證，不改變其本來身份
網(wǎng)絡訪問: 不允許 SAM 帳戶的匿名枚舉 已啟用
網(wǎng)絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉 已啟用
網(wǎng)絡訪問: 不允許存儲網(wǎng)絡身份驗證的密碼和憑據(jù) 已禁用
網(wǎng)絡訪問: 將 Everyone 權限應用于匿名用戶 已禁用
網(wǎng)絡訪問: 可匿名訪問的共享 沒有定義
網(wǎng)絡訪問: 可匿名訪問的命名管道
網(wǎng)絡訪問: 可遠程訪問的注冊表路徑 System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion
網(wǎng)絡訪問: 可遠程訪問的注冊表路徑和子路徑 System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Services\Eventlog,Software\Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Control\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog
網(wǎng)絡訪問: 限制對命名管道和共享的匿名訪問 已啟用
網(wǎng)絡訪問: 允許匿名 SID/名稱轉換 已禁用
系統(tǒng)對象: 非 Windows 子系統(tǒng)不要求區(qū)分大小寫 已啟用
系統(tǒng)對象: 加強內部系統(tǒng)對象的默認權限(例如，符號鏈接) 已啟用
系統(tǒng)加密: 將 FIPS 兼容算法用于加密、哈希和簽名 已禁用
系統(tǒng)加密: 為計算機上存儲的用戶密鑰強制進行強密鑰保護 沒有定義
系統(tǒng)設置: 將 Windows 可執(zhí)行文件中的證書規(guī)則用于軟件限制策略 已禁用
系統(tǒng)設置: 可選子系統(tǒng) Posix
以安全描述符定義語言(SDDL)語法表示的計算機訪問限制 沒有定義
用戶帳戶控制: 標準用戶的提升提示行為 提示憑據(jù)
用戶帳戶控制: 管理員批準模式中管理員的提升權限提示的行為 不提示，直接提升
用戶帳戶控制: 檢測應用程序安裝并提示提升 已啟用
用戶帳戶控制: 將文件和注冊表寫入錯誤虛擬化到每用戶位置 已啟用
用戶帳戶控制: 僅提升安裝在安全位置的 UIAccess 應用程序 已啟用
用戶帳戶控制: 提示提升時切換到安全桌面 已禁用
用戶帳戶控制: 以管理員批準模式運行所有管理員 已禁用
用戶帳戶控制: 用于內置管理員帳戶的管理員批準模式 已禁用
用戶帳戶控制: 允許 UIAccess 應用程序在不使用安全桌面的情況下提升權限 已禁用
用戶帳戶控制: 只提升簽名并驗證的可執(zhí)行文件 已禁用
域成員: 對安全通道數(shù)據(jù)進行數(shù)字加密(如果可能) 已啟用
域成員: 對安全通道數(shù)據(jù)進行數(shù)字加密或數(shù)字簽名(始終) 已啟用
域成員: 對安全通道數(shù)據(jù)進行數(shù)字簽名(如果可能) 已啟用
域成員: 計算機帳戶密碼最長使用期限 30 天
域成員: 禁用計算機帳戶密碼更改 已禁用
域成員: 需要強(Windows 2000 或更高版本)會話密鑰 已啟用
域控制器: LDAP 服務器簽名要求 沒有定義
域控制器: 拒絕計算機帳戶密碼更改 沒有定義
域控制器: 允許服務器操作者計劃任務 沒有定義
帳戶: 管理員帳戶狀態(tài) 已啟用
帳戶: 來賓帳戶狀態(tài) 已禁用
帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄 已啟用
帳戶: 重命名來賓帳戶 Guest
帳戶: 重命名系統(tǒng)管理員帳戶 Nvic.nerc

---

檢查項目: '交互式登錄：不顯示最后的用戶名'設置為'已啟用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已啟用\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\交互式登錄: 不顯示最后的用戶名

檢查項目: 設置'交互式登錄：之前登錄到緩存的次數(shù)(域控制器不可用的情況下)'為'0~4'
加固建議: 在GP(組策略)中將以下路徑中的值設置為0~4:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\交互式登錄：之前登錄到緩存的次數(shù)(域控制器不可用的情況下)

檢查項目: 將'交互式登錄：需要域控制器身份驗證以對工作站進行解鎖'設置為'已啟用'-------------
加固建議: 在GP建立的推薦配置，將以下UI路徑設置為以下值:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\交互式登錄:需要域控制器身份驗證以對工作站進行解鎖

檢查項目: 網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉'設置為'已啟用'
加固建議: 在GP建立的推薦配置，將以下UI路徑設置為：已啟用:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\網(wǎng)絡訪問:不允許SAM帳戶和共享的匿名枚舉

檢查項目: '網(wǎng)絡訪問：不允許存儲網(wǎng)絡身份驗證的密碼和憑證' 設置為'已啟用'
加固建議: 在GP建立的推薦配置，將以下UI路徑設置為：已啟用:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\網(wǎng)絡訪問:網(wǎng)絡訪問：不允許存儲網(wǎng)絡身份驗證的密碼和憑證

檢查項目: 網(wǎng)絡訪問: 可匿名訪問的共享 置為空
加固建議: 在GP建立的推薦配置，將以下UI路徑設置為:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\網(wǎng)絡訪問: 可匿名訪問的共享

檢查項目: '關機:允許系統(tǒng)在未登錄的情況下關閉'設置為'已禁用'
加固建議: 在GP建立的推薦配置，將以下UI路徑設置為：已禁用 \n計算機配置\Windows 設置\安全設置\本地策略\安全選項\關機:允許系統(tǒng)在未登錄的情況下關閉

檢查項目: 關機:清除虛擬內存頁面'設置為'已啟用'
加固建議: 在運行中輸入gpedit.msc打開“組策略”，在GP建立的推薦配置，將以下UI路徑設置為：\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\關機:清除虛擬內存頁面，已啟用

檢查項目: 將MSS中的'IP源路由保護級別(防止數(shù)據(jù)包欺騙)'設置為'最高級別的保護，源路由完全禁用'https://blogs.technet.microsoft.com/secguide/2016/10/02/the-mss-settings/加固建議: 在GP(組策略)中將以下路徑中的值設置為：已啟用 Highest protection, source routing is completely disabled: \n計算機配置\管理模板\MSS (Legacy)\MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) \n\n注意： 此組策略路徑默認情況下不存在。 還需要其他組策略模板(MSS-legacy.admx / adml) - ------------------------它包含在Microsoft安全合規(guī)性管理器(SCM)中，或可從以下TechNet博客文章獲得：

檢查項目: 在遠程協(xié)助相關設置中，將'提供遠程協(xié)助'設置為'已禁用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已禁用 \n計算機配置\管理模板\系統(tǒng)\遠程協(xié)助\提供遠程協(xié)助

檢查項目: 在遠程協(xié)助相關設置中，將'請求的遠程協(xié)助'被設置為'已禁用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已禁用 \n計算機配置\管理模板\系統(tǒng)\遠程協(xié)助\請求的遠程協(xié)助

檢查項目: 將'自動運行的默認行為'設置為'不執(zhí)行任何自動運行命令'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：不執(zhí)行任何自動運行命令: \n計算機配置\管理模板\Windows 組件\自動播放策略\自動運行的默認行為-----啟用后設置

檢查項目: 在憑據(jù)用戶界面相關設置中，將'不顯示密碼顯示按鈕'被設置為'已啟用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已啟用\n 計算機配置\管理模板\Windows 組件\憑據(jù)用戶界面\不顯示密碼顯示按鈕\n 如果未找到此路徑,請設置注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredUI,鍵名DisablePasswordReveal的值為1 --------------------

檢查項目: 在憑據(jù)用戶界面相關設置中，'提升時枚舉管理員帳戶'被設置為'已禁用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已禁用 \n計算機配置\管理模板\Windows 組件\憑據(jù)用戶界面\提升時枚舉管理員帳戶

檢查項目: 在遠程桌面相關設置中，設置'不允許保存密碼'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已啟用 \n計算機配置\管理模板\Windows 組件\遠程桌面服務\遠程桌面連接客戶端\不允許保存密碼

檢查項目: 確保'根據(jù)安全策略設置登錄終端的操作超時鎖定,設置為15分鐘或者更少'
加固建議: 在運行中輸入gpedit.msc打開“組策略”，在計算機配置\管理模板\Windows組件\遠程桌面服務\遠程桌面會話主機\會話時間限制中，查看是否設置“活動但空閑的遠程桌面服務會話時間的限制,如沒有，請設置為啟用，并將空閑會話時間設置為15分鐘(900000亳秒)

檢查項目: 確保'允許通過WinRM進行遠程服務器管理'項目被設置為'已禁用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已禁用\n 計算機配置\管理模塊\Windows組件\Windows遠程管理(WinRM)\WinRM服務\允許通過WinRM進行遠程服務器管理

檢查項目: 確保'不允許WinRM存儲RunAs憑據(jù)'被設置為'已啟用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已啟用\n 計算機配置\管理模板\Windows組件\Windows遠程服務(WinRM)\WinRM服務\不允許WinRM存貯RunAs 憑據(jù)

檢查項目: 確保'允許遠程Shell(遠程解釋器)訪問'被設置為'已禁用'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：已禁用,\n計算機配置\管理模板\Windows組件\Windows遠程Shell(遠程解釋器)\允許遠程shel(遠程解釋器)l訪問

檢查項目: '審核:強制審核策略子類別設置(Windows Vista 或更高版本)可替代審核策略類別設置'設置為'已啟用'
加固建議: 在運行中輸入gpedit.msc打開“組策略”，在GP建立的推薦配置，將以下UI路徑設置為：\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\審核:強制審核策略子類別設置(Windows Vista 或更高版本)可替代審核策略類別設置'，已啟用

檢查項目: 將帳戶登錄審核策略中的'審核憑據(jù)驗證'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗 \n計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\帳戶登錄\審核憑據(jù)驗證

檢查項目: 將帳戶管理審核策略中的'審核計算機帳戶管理'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗\n 計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\帳戶管理\審核計算機帳戶管理

檢查項目: 將帳戶管理審核策略中的'審核用戶帳戶管理'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗\n 計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\帳戶管理\審核用戶帳戶管理

使用Win+R,在運行框內輸入 gpedit.msc，打開本地安全策略，依次打開計算機配置 - windows設置 - 安全設置 - 本地策略 - 用戶權限分配，在右側選項中找到“拒絕通過遠程桌面服務登錄”，雙擊，在彈出窗口內添加要禁止登錄的用戶即可

檢查項目: 將登錄/注銷審計策略中的'審核帳戶鎖定'項設置為'成功'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗 \n計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\登錄/注銷\審核帳戶鎖定
檢查項目: 將登錄/注銷審核策略中的'審核注銷'項設置為'成功'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗 \n計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\登錄/注銷\審核注銷
檢查項目: 將登錄/注銷審計策略中的'審核登錄'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗\n 計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\登錄/注銷\審核登錄
檢查項目: 將登錄/注銷審計策略中的'審核其他登錄/注銷事件'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗 \n計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\登錄/注銷\審核其他登錄/注銷事件
檢查項目: 將登錄/注銷審計策略中的'審核特殊登錄'項設置為'成功'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功 \n計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\登錄/注銷\審核特殊登錄
檢查項目: 將政策變更審計政策中的'審核審核策略更改'項設置為'成功和失敗'
加固建議: 在GP(組策略)中將以下路徑中的值設置為：成功和失敗\n 計算機配置\Windows 設置\安全設置\高級審核策略配置\系統(tǒng)審核策略\策略更改\審核審核策略更改
檢查項目: 確保'強制密碼歷史'設置為'24個或更多'
加固建議: 在GP(組策略)中將以下路徑的值設置為24個或更多:\n計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略\強制密碼歷史
檢查項目: 確保'密碼最短使用期限'設置為'1天或更多天'
加固建議: 在GP(組策略)中將以下路徑的值設置1天或更多天:\n計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略\密碼最小使用期限
檢查項目: 確保'密碼長度最小值'設置為'14個字符或更多字符'
加固建議: 在GP(組策略)中將以下路徑的值設置14或更多字符:\n計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略\密碼長度最小值
檢查項目: 確保'密碼必須符合復雜性要求'設置為'已啟用'
加固建議: 在GP(組策略)中將以下路徑的值設置已啟用:\n計算機配置\Windows 設置\安全設置\帳戶策略\密碼策略\密碼必須符合復雜性要求
檢查項目: 配置'賬戶：重命名系統(tǒng)管理員賬戶'
加固建議: GP(組策略)中，請配置以下UI路徑:\n計算機配置\Windows 設置\安全設置\本地策略\安全選項\帳戶: 重命名系統(tǒng)管理員帳戶
檢查項目: 確保'復位賬戶鎖定計數(shù)'至少為5分鐘
加固建議: [開始]->([控制面板] ->)[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'復位賬戶鎖定計數(shù)器'，至少為5分鐘
檢查項目: 確保'賬戶鎖定時間'設置為5分鐘或更多
加固建議: [開始]->([控制面板] ->)[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'賬戶鎖定時間'，至少為5分鐘
檢查項目: 確保'賬戶鎖定閾值'不多于10次，但不為0
加固建議: [開始]->([控制面板] ->)[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'賬戶鎖定閾值'，最多不超過10次,不能為0文章來源地址http://www.zghlxwxcb.cn/news/detail-824557.html