Windows基線安全檢測(cè)-安全配置檢測(cè)

前言

Windows在生產(chǎn)環(huán)境中是使用最多的一個(gè)系統(tǒng)，大部分為客戶(hù)端，少部分為服務(wù)端；
然而其實(shí)很多用戶(hù)對(duì)windows系統(tǒng)不是很了解，安全配置更是如此；
因此我們安全人員要定期對(duì)員工的主機(jī)做必要的安全檢測(cè)，其中基線的定期檢測(cè)就是方式之一；

以下則是我親自編寫(xiě)測(cè)試上線使用的檢測(cè)和修復(fù)腳本，如有不對(duì)的地方，歡迎大家留言，我會(huì)立馬改正?。?！

各模塊檢測(cè)

1、系統(tǒng)賬號(hào)安全

內(nèi)容：
賬號(hào)策略：失敗鎖定次數(shù)(5次)、時(shí)長(zhǎng)(15min)；
根據(jù)實(shí)際情況調(diào)整即可；
檢測(cè)方式：
組策略–>計(jì)算機(jī)配置–>windows設(shè)置–>安全設(shè)置–>帳戶(hù)策略–>賬戶(hù)鎖定策略–>(賬戶(hù)鎖定時(shí)間15min，賬戶(hù)鎖定閾值5次)

2、設(shè)置Sysmon服務(wù)開(kāi)機(jī)自啟

內(nèi)容：
Sysmon作為windows下系統(tǒng)監(jiān)控工具，通過(guò)編寫(xiě)配置文件，能夠發(fā)現(xiàn)windows系統(tǒng)的部分異常操作行為，建議該服務(wù)設(shè)置為開(kāi)機(jī)自啟；
檢測(cè)方式：

function Check-SysmonService {  
    $service = Get-Service -Name Sysmon64  
    if ($service.Status -eq "Running") {  
        Write-Output "Sysmon服務(wù)正在運(yùn)行"  
    } else {  
        Write-Output "Sysmon服務(wù)未運(yùn)行"  
    }  
}  
  
Check-SysmonService


function Check-SysmonServiceStartup {  
    $service = Get-Service -Name Sysmon64  
    $status = $service.StartType  
    if ($status -eq "Automatic") {  
        Write-Output "Sysmon服務(wù)已設(shè)置為開(kāi)機(jī)自啟"  
    } else {  
        Write-Output "Sysmon服務(wù)未設(shè)置為開(kāi)機(jī)自啟"  
    }  
}  
  
Check-SysmonServiceStartup

修復(fù)方式：
控制面板–>管理工具–>服務(wù)–>Sysmon/Sysmon32/Sysmon64–>
右鍵屬性–>啟動(dòng)類(lèi)型–>自動(dòng)

3、補(bǔ)丁更新配置

內(nèi)容：
配置對(duì)應(yīng)的補(bǔ)丁更新服務(wù)器【wsus】，及時(shí)獲取到最新的補(bǔ)丁更新詳情；
根據(jù)實(shí)際情況調(diào)整即可；
檢測(cè)方式：
1、 組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Windows更新–>配置自動(dòng)更新(4-自動(dòng)下載并計(jì)劃安裝、計(jì)劃安裝日期-每天、計(jì)劃安裝時(shí)間-03:00、每周)；
2、 組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Windows更新–>指定Intranet Microsoft 更新服務(wù)位置；
3、 組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Windows更新–>自動(dòng)更新檢測(cè)頻率(22小時(shí))；
4、 組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Windows更新–>允許非管理員接收更新通知；
根據(jù)實(shí)際情況調(diào)整即可；
修復(fù)方式：

Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions",4,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AutomaticMaintenanceEnabled",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallDay",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallTime",3,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallEveryWeek",1,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer","Intranet Microsoft 更新服務(wù)位置","REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer","Intranet Microsoft 更新服務(wù)位置","REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequencyEnabled",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\DetectionFrequency",22,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\ElevateNonAdmins",1,"REG_DWORD"

4、禁止遠(yuǎn)程桌面的文件拷貝

內(nèi)容：
部分Windows屬于服務(wù)器，會(huì)有限制此功能的需求；
跳板機(jī)應(yīng)該禁止rdp遠(yuǎn)程桌面使用剪貼板功能，此策略設(shè)置指定是否阻止在遠(yuǎn)程桌面服務(wù)會(huì)話(huà)期間遠(yuǎn)程計(jì)算機(jī)和客戶(hù)端計(jì)算機(jī)之間共享剪貼板內(nèi)容（剪貼板重定向）；
檢測(cè)方式：
1、組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>遠(yuǎn)程桌面服務(wù)–>遠(yuǎn)程桌面會(huì)話(huà)主機(jī)–>設(shè)備和資源重定向–>“不允許剪貼板重定向” 是否設(shè)置為：已啟用；
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableClip",1,"REG_DWORD"

5、禁止遠(yuǎn)程桌面的共享盤(pán)掛載、遠(yuǎn)程打印

內(nèi)容：
1、 此策略設(shè)置允許您指定是否阻止在遠(yuǎn)程桌面服務(wù)會(huì)話(huà)中映射客戶(hù)端打印機(jī)；
2、 此策略設(shè)置指定是否阻止在遠(yuǎn)程桌面服務(wù)會(huì)話(huà)中映射客戶(hù)端驅(qū)動(dòng)器（驅(qū)動(dòng)器重定向）；
檢測(cè)方式：
1、組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>遠(yuǎn)程桌面服務(wù)–>遠(yuǎn)程桌面會(huì)話(huà)主機(jī)–>打印機(jī)重定向–> “不允許客戶(hù)端打印機(jī)重定向” 是否設(shè)置為：已啟用；
2、組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>遠(yuǎn)程桌面服務(wù)–>遠(yuǎn)程桌面會(huì)話(huà)主機(jī)–>設(shè)備和資源重定向–>“不允許驅(qū)動(dòng)器重定向” 是否設(shè)置為：已啟用；
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCpm",1,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm",1,"REG_DWORD"

6、禁用SMBv1協(xié)議

內(nèi)容：
SMBv1協(xié)議目前屬于不安全的協(xié)議，該協(xié)議會(huì)容易造成計(jì)算機(jī)受到蠕蟲(chóng)攻擊，建議禁用該協(xié)議；
檢測(cè)方式：

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

SMBV2協(xié)議為T(mén)rue代表已禁用SM1服務(wù)

修復(fù)方式：

#禁用服務(wù)端
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters",0,"REG_DWORD"
#禁用客戶(hù)端
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10\Start",4,"REG_DWORD"
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService"刪除MRxSMB10
#必須重新操作系統(tǒng)

7、開(kāi)啟必要日志記錄

內(nèi)容：
Windows系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問(wèn)題的信息，同時(shí)還可以監(jiān)視系統(tǒng)中發(fā)生的事件。 用戶(hù)可以通過(guò)它來(lái)檢查錯(cuò)誤發(fā)生的原因，或者尋找受到攻擊時(shí)攻擊者留下的痕跡；
檢測(cè)方式：
組策略–>計(jì)算機(jī)配置–>Windows設(shè)置–>安全設(shè)置–>高級(jí)審核策略配置–>(賬戶(hù)登錄、賬戶(hù)管理、詳細(xì)跟蹤、DS訪問(wèn)、登錄/注銷(xiāo)、對(duì)象訪問(wèn)、策略更改、特權(quán)使用、系統(tǒng))，啟用成功+失??；

8、日志大小設(shè)置

內(nèi)容：
應(yīng)用程序事件日志大小必須配置為32768 KB或更大；
安全事件日志大小必須配置為1024000 KB或更大；
系統(tǒng)事件日志大小必須配置為32768 KB或更大;
根據(jù)實(shí)際情況調(diào)整即可；
檢測(cè)方式：
組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>事件日志服務(wù)–>(應(yīng)用程序、安全、系統(tǒng))–>指定日志文件的最大大小(KB)、控制事件日志在日志文件達(dá)到最大大小時(shí)的行為(已啟用)、日志文件寫(xiě)滿(mǎn)后自動(dòng)備份(已啟用)
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize",32768,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention",1,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\AutoBackupLogFiles",1,"REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize",1024000,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention",0,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\AutoBackupLogFiles",1,"REG_SZ"

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize",32768,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention",1,"REG_SZ"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\EventLog\System\AutoBackupLogFiles",1,"REG_SZ"

9、禁用Guest賬戶(hù)

內(nèi)容：
Guest賬戶(hù)通常是一個(gè)匿名用戶(hù)賬戶(hù)，允許用戶(hù)在不需要提供用戶(hù)名和密碼的情況下訪問(wèn)系統(tǒng)。禁用Guest賬戶(hù)可以有效防止未經(jīng)授權(quán)的訪問(wèn)和潛在的安全風(fēng)險(xiǎn)。

修復(fù)方式：
1、編輯組策略–>計(jì)算機(jī)配置–>Windows設(shè)置–>安全設(shè)置–>本地策略–>安全選項(xiàng)–>禁用"賬戶(hù)：來(lái)賓賬戶(hù)狀態(tài)"

10、必須啟用Windows Defender

內(nèi)容：
Windows Defender 是Windows操作系統(tǒng)內(nèi)置的一款防病毒和反惡意軟件工具。它可以幫助保護(hù)你的計(jì)算機(jī)免受病毒、惡意軟件和其他安全威脅的侵害；
檢測(cè)方式：
1、 編輯組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Microsoft Defender 防病毒程序–>關(guān)閉 Microsoft Defender 防病毒程序，已禁用
2、 編輯組策略–>計(jì)算機(jī)配置–>管理模板–>Windows組件–>Microsoft Defender 防病毒程序–>實(shí)時(shí)保護(hù)–>關(guān)閉實(shí)時(shí)保護(hù)，已禁用
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware",0,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring",0,"REG_DWORD"

11、修改關(guān)鍵服務(wù)端口

內(nèi)容：
默認(rèn)端口眾所周知，應(yīng)修改默認(rèn)端口，以減少攻擊
根據(jù)實(shí)際情況調(diào)整即可；
檢測(cè)方式：
修改遠(yuǎn)程端口3389為31763或其他不常用端口
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber",31763,"REG_DWORD"
OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber",31763,"REG_DWORD"
#修改防火墻策略
New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORTLatest-UDP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue

12、開(kāi)啟Windows Defender防火墻

內(nèi)容：
Windows Defender防火墻有助于防止黑客和惡意軟件通過(guò) Internet 或網(wǎng)絡(luò)訪問(wèn)你的電腦；
修復(fù)方式：
編輯組策略–>計(jì)算機(jī)配置–>windows設(shè)置–>安全設(shè)置–>高級(jí)安全Windows Defender防火墻–>為域、專(zhuān)用和公用網(wǎng)絡(luò)設(shè)置選擇“打開(kāi)Windows Defender防火墻”

13、減少用戶(hù)訪問(wèn)功能

內(nèi)容：
刪除不必要的桌面訪問(wèn)功能，避免系統(tǒng)不必要的信息被查看，例如：刪除計(jì)算機(jī)、回收站等入口
檢測(cè)方式：
1、 組策略–>用戶(hù)配置–>管理模塊–>桌面–>從桌面刪除回收站，已啟用
2、 組策略–>用戶(hù)配置–>管理模塊–>桌面–>刪除桌面上的"計(jì)算機(jī)"圖標(biāo)，已啟用
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{645FF040-5081-101B-9F08-00AA002F954E}",1,"REG_DWORD"

OperationRegistry.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D}",1,"REG_DWORD"

14、時(shí)間同步服務(wù)

內(nèi)容：
Win 時(shí)間同步是指確保計(jì)算機(jī)系統(tǒng)中各個(gè)設(shè)備的時(shí)間保持一致。這對(duì)于許多計(jì)算機(jī)操作和網(wǎng)絡(luò)通信是至關(guān)重要的，尤其是在多臺(tái)計(jì)算機(jī)協(xié)同工作或在網(wǎng)絡(luò)環(huán)境中進(jìn)行數(shù)據(jù)傳輸時(shí)；
修復(fù)方式：
1、組策略–>計(jì)算機(jī)配置–>管理模板 -->系統(tǒng)–> Windows 時(shí)間服務(wù)–>全局配置設(shè)置，設(shè)為“已啟用”，不需修改參數(shù)。
2、組策略–>計(jì)算機(jī)配置 -->管理模板 --> 系統(tǒng)–>Windows 時(shí)間服務(wù) -> 時(shí)間提供程序–>配置Windows NTP客戶(hù)端，設(shè)置為已啟用。
IP設(shè)置為與第一步相同的NTP服務(wù)器IP，IP之后的“,0x9”需要保留。
類(lèi)型選擇AllSync，表示即可與NTP同步，也可與域同步。
SpecialPollInterval參數(shù)設(shè)置同步周期，單位為秒，設(shè)置為600秒即為10分鐘同步一次。

15、設(shè)置密碼使用期限策略

內(nèi)容：
密碼需要定期更改；
根據(jù)實(shí)際情況調(diào)整即可；
修復(fù)方式：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\帳戶(hù)策略\密碼策略，將密碼最長(zhǎng)使用期限設(shè)置為30-180之間，建議值為90，將密碼最短使用期限設(shè)置為1-14之間，建議值為7；

16、密碼復(fù)雜性配置

內(nèi)容：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:(計(jì)算機(jī)策略\計(jì)算機(jī)配置\Windows設(shè)置)安全設(shè)置\帳戶(hù)策略\密碼策略，將密碼必須符合復(fù)雜性要求設(shè)置為已啟用，將密碼最小長(zhǎng)度設(shè)置為8以上；
根據(jù)實(shí)際情況調(diào)整即可；
修復(fù)方式：
控制面板->管理工具->本地安全策略->帳戶(hù)策略->密碼策略->密碼必須符合復(fù)雜性要求->屬性:啟用啟用密碼必須符合復(fù)雜性要求；
控制面板->管理工具->本地安全策略->帳戶(hù)策略->密碼策略->密碼長(zhǎng)度最小值->屬性->設(shè)置最小密碼長(zhǎng)度為8；

17、'強(qiáng)制密碼歷史’設(shè)置為5-24之間

內(nèi)容：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\帳戶(hù)策略\密碼策略，將強(qiáng)制密碼歷史設(shè)置為5-24之間；
根據(jù)實(shí)際情況調(diào)整即可；

18、配置賬戶(hù)鎖定策略

內(nèi)容：
配置賬戶(hù)鎖定策略，降低被爆破和猜測(cè)風(fēng)險(xiǎn)；
根據(jù)實(shí)際情況調(diào)整即可；
修復(fù)方式：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\帳戶(hù)策略\賬戶(hù)鎖定策略。將賬戶(hù)鎖定閾值設(shè)置為3-8之間，建議值為5，輸錯(cuò)5次密碼鎖定賬戶(hù)；然后將賬戶(hù)鎖定時(shí)間和重置賬戶(hù)鎖定計(jì)數(shù)器設(shè)置為10-30之間，建議值為15，賬戶(hù)鎖定時(shí)間為15分鐘；

19、啟用安全審計(jì)功能

內(nèi)容：
開(kāi)啟審核策略，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì);
修復(fù)方式：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\本地策略\審核策略，將全部審核策略配置為：成功,失敗。包括審核策略更改、審核對(duì)象訪問(wèn)、審核進(jìn)程跟蹤、審核目錄服務(wù)訪問(wèn)、審核賬戶(hù)登陸事件、審核特權(quán)使用、審核系統(tǒng)事件、審核賬戶(hù)管理、審核登陸事件共九項(xiàng)；

20、匿名賬戶(hù)訪問(wèn)控制

內(nèi)容：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\本地策略\安全選項(xiàng)。將網(wǎng)絡(luò)訪問(wèn)中“Everyone權(quán)限應(yīng)用于匿名用戶(hù)“設(shè)置為：已禁用，將“不允許SAM帳戶(hù)的匿名枚舉“設(shè)置為：已啟用，將“不允許SAM帳戶(hù)和共享的匿名枚舉”設(shè)置為：已啟用，將”允許匿名SID/名稱(chēng)轉(zhuǎn)換“設(shè)置為：已禁用

21、配置安全選項(xiàng)賬戶(hù)策略

內(nèi)容：
配置安全選項(xiàng)賬戶(hù)策略,限制空密碼賬戶(hù)和禁用guest賬戶(hù)；
修復(fù)方式：
在管理工具打開(kāi)本地安全策略，打開(kāi)路徑:安全設(shè)置\本地策略\安全選項(xiàng)。將"賬戶(hù)：來(lái)賓賬戶(hù)狀態(tài)"設(shè)置為:已禁用；將"賬戶(hù)：使用空密碼的本地賬戶(hù)只允許控制臺(tái)登陸"設(shè)置為:啟用；

22、檢測(cè)身份驗(yàn)證憑據(jù)是否為加密存儲(chǔ)

內(nèi)容：
檢測(cè)身份驗(yàn)證憑據(jù)是否為加密存儲(chǔ)
修復(fù)方式：

OperationRegistry.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential",0,"REG_DWORD"

23、超時(shí)鎖屏?xí)r間3小時(shí)

內(nèi)容：
修復(fù)完需要重啟生效;
根據(jù)實(shí)際情況調(diào)整即可；

修復(fù)方式：

Dim OperationRegistry
Set OperationRegistry=WScript.CreateObject("WScript.Shell")
OperationRegistry.RegWrite "HKCU\Control Panel\Desktop\ScreenSaveTimeOut",10800,"REG_DWORD"
OperationRegistry.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs",10800,"REG_DWORD"

24、禁止Windows遠(yuǎn)程管理（WinRM）客戶(hù)端使用

內(nèi)容：
需根據(jù)實(shí)際場(chǎng)景來(lái)定；
檢測(cè)方式：

function Check-WinrmService {  
    $service = Get-Service -Name winrm  
    if ($service.Status -eq "Running") {  
        Write-Output "Winrm服務(wù)正在運(yùn)行"  
    } else {  
        Write-Output "Winrm服務(wù)未運(yùn)行"  
    }  
}  
  
Check-WinrmService

修復(fù)方式：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-852825.html

#停止winrm服務(wù)
Stop-Service WinRM
#將winrm服務(wù)設(shè)置為禁用
Set-Service -Name WinRM -StartupType Disabled

到了這里，關(guān)于Windows基線安全檢測(cè)-安全配置檢測(cè)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！