windows server 2016安全基線設定指令碼

阿新 • • 發佈：2020-08-18

:: 賬號安全
@prompt # 
echo [version] >account.inf
echo signature="$CHICAGO$" >>account.inf
echo [System Access] >>account.inf
REM 修改帳戶密碼最小長度為8
echo MinimumPasswordLength=8 >>account.inf
REM 開啟帳戶密碼複雜性要求
echo PasswordComplexity=1 >>account.inf
REM 修改帳戶密碼最長留存期為180天
echo MaximumPasswordAge=180 >>account.inf
REM 禁用Guest帳戶
echo EnableGuestAccount=0 >>account.inf
REM 設定帳戶鎖定閥值為6次
echo LockoutBadCount=6 >>account.inf
secedit /configure /db account.sdb /cfg account.inf /log account.log /quiet
del account.*
 
:: 授權許可權設定
@prompt #
REM 授權配置
echo [version] >rightscfg.inf
echo signature="$CHICAGO$" >>rightscfg.inf
echo [Privilege Rights] >>rightscfg.inf
REM 從遠端系統強制關機只指派給Administrators組
echo seremoteshutdownprivilege=Administrators >>rightscfg.inf
REM 關閉系統僅指派給Administrators組
echo seshutdownprivilege=Administrators >>rightscfg.inf
REM 取得檔案或其它物件的所有權僅指派給Administrators
echo setakeownershipprivilege=Administrators >>rightscfg.inf
REM 在本地登陸許可權僅指派給Administrators
echo seinteractivelogonright=Administrators >> rightscfg.inf
secedit /configure /db rightscfg.sdb /cfg rightscfg.inf /log rightscfg.log /quiet
del rightscfg.*
 
:: 認證安全
@prompt # 
echo [version] >audit.inf
echo signature="$CHICAGO$" >>audit.inf
echo [Event Audit] >>audit.inf
REM 開啟稽核系統事件
echo AuditSystemEvents=3 >>audit.inf
REM 開啟稽核物件訪問
echo AuditObjectAccess=3 >>audit.inf
REM 開啟稽核特權使用
echo AuditPrivilegeUse=3 >>audit.inf
REM 開啟稽核策略更改
echo AuditPolicyChange=3 >>audit.inf
REM 開啟稽核帳戶管理
echo AuditAccountManage=3 >>audit.inf
REM 開啟稽核過程跟蹤
echo AuditProcessTracking=2 >>audit.inf
REM 開啟稽核目錄服務訪問
echo AuditDSAccess=3 >>audit.inf
REM 開啟稽核登陸事件
echo AuditLogonEvents=3 >>audit.inf
REM 開啟稽核帳戶登陸事件
echo AuditAccountLogon=3 >>audit.inf
echo AuditLog >>audit.inf
secedit /configure /db audit.sdb /cfg audit.inf /log audit.log /quiet
del audit.*
 
:: 系統日誌
@prompt # 
echo [version] >logcfg.inf
echo signature="$CHICAGO$" >>logcfg.inf
REM 設定系統日誌
echo [System Log] >>logcfg.inf
REM 設定系統日誌檔案最大8192KB
echo MaximumLogSize=8192 >>logcfg.inf
REM 設定當達到最大的日誌尺寸時按需要改寫事件
echo AuditLogRetentionPeriod=0 >>logcfg.inf
REM 設定限制GUEST訪問應用日誌
echo RestrictGuestAccess=1 >>logcfg.inf
REM 設定安全日誌
echo [Security Log] >>logcfg.inf
REM 設定安全日誌檔案最大8192KB
echo MaximumLogSize=8192 >>logcfg.inf 
REM 設定當達到最大的日誌尺寸時按需要改寫事件
echo AuditLogRetentionPeriod=0 >>logcfg.inf
REM 設定限制GUEST訪問安全日誌
echo RestrictGuestAccess=1 >>logcfg.inf
echo [Application Log] >>logcfg.inf REM 設定應用程式日誌
REM 設定應用程式日誌檔案最大8192KB
echo MaximumLogSize=8192 >>logcfg.inf
REM 設定當達到最大的日誌尺寸時按需要改寫事件
echo AuditLogRetentionPeriod=0 >>logcfg.inf
REM 設定限制GUEST訪問應用程式日誌
echo RestrictGuestAccess=1 >>logcfg.inf
secedit /configure /db logcfg.sdb /cfg logcfg.inf /log logcfg.log
del logcfg.*
 
REM 關閉自動播放
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers" /v DisableAutoplay /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
 
@Rem 啟用“不顯示最後使用者名稱”策略
echo **** 配置登入螢幕上不要顯示上次登入的使用者名稱
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v DontDisplayLastUserName /t REG_DWORD /d 1 /f
 
:: 刪除預設共享，請自行增刪碟符
@prompt # 
REM 刪除當前預設共享
net share c$ /delete
net share admin$ /delete
sc stop browser
sc stop dfs
sc stop lanmanserver
sc config browser start= demand
sc config dfs start= demand
sc config lanmanserver start= demand
 
REM 修改共享的登錄檔
@echo Windows Registry Editor Version 5.00>>share.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>share.reg
@echo "AutoShareWks"=dword:0>>share.reg
@echo "AutoShareServer"=dword:0>>share.reg
@regedit /s share.reg
@del share.reg
 
REM 限制IPC共享(禁止SAM帳戶和共享的匿名列舉)
@echo Windows Registry Editor Version 5.00>>ipc.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>>ipc.reg
@echo "RestrictAnonymous"=dword:1>>ipc.reg
@echo "restrictanonymoussam"=dword:1>>ipc.reg
@regedit /s ipc.reg
@del ipc.reg
 
@Rem 啟用並正確配置WSUS（自定義WSUS地址）
echo **** 啟用並正確配置WSUS（自動下載並通知安裝）
::--啟用策略組“配置自動更新”
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 3 /f
::--啟用策略組（指定Intranet Microsoft更新服務位置）
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /t REG_SZ /d http://10.10.100.10 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d http://10.10.100.10 /f
 
 
@Rem 只允許執行帶網路級身份驗證的遠端桌面的計算機連線
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f
 
@Rem 啟用windows防火牆
netsh advfirewall set allprofiles state on
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v EnableFirewall /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v EnableFirewall /t REG_DWORD /d 1 /f
 
@Rem 防火牆入站規則啟用“回顯請求-ICMPv4-In”和“遠端桌面服務”
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v FPS-ICMP4-ERQ-In /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=1|ICMP4=8:*|[email protected],-28543|[email protected],-28547|[email protected],-28502|" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v RemoteDesktop-In-TCP /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=3389|App=System|[email protected],-28753|[email protected],-28756|[email protected],-28752|" /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v RemoteDesktop-UserMode-In-TCP /t REG_SZ /d "v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|LPort=3389|App=%SystemRoot%\system32\svchost.exe|Svc=termservice|[email protected],-28853|[email protected],-28856|[email protected],-28852|" /f
 
::-------------上面為原基線配置END 
 
::-------------下面是新增部分
REM 禁用匿名訪問命名管道和共享
@echo Windows Registry Editor Version 5.00>>nss.reg
@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]>>nss.reg
@echo "NullSessionShares"=->>nss.reg
@regedit /s nss.reg
@del nss.reg
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters" /v NullSessionShares /t REG_MULTI_SZ /d "" /f
 
REM 禁用可遠端訪問的登錄檔路徑和子路徑
@echo Windows Registry Editor Version 5.00>>aep.reg
@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths]>>aep.reg
@echo "Machine"=->>aep.reg
@echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths]>>aep.reg
@echo "Machine"=->>aep.reg
@regedit /s aep.reg
@del aep.reg
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths" /v Machine /t REG_MULTI_SZ /d "" /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths" /v Machine /t REG_MULTI_SZ /d "" /f
 
REM 源路由欺騙保護
@echo Windows Registry Editor Version 5.00>>route.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]>>route.reg
@echo "DisableIPSourceRouting"=dword:2>>route.reg
@regedit /s route.reg
@del route.reg
 
REM 碎片攻擊保護
@echo Windows Registry Editor Version 5.00>>sp.reg
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]>>sp.reg
@echo "EnablePMTUDiscovery"=dword:1>>sp.reg
@regedit /s sp.reg
@del sp.reg
 
REM 防syn洪水攻擊 
@prompt #
@echo Windows Registry Editor Version 5.00>>SynAttack.reg 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]>>SynAttack.reg 
@echo "SynAttackProtect"=dword:2>>SynAttack.reg
@echo "TcpMaxPortsExhausted"=dword:5>>SynAttack.reg
@echo "TcpMaxHalfOpen"=dword:500>>SynAttack.reg
@echo "TcpMaxHalfOpenRetried"=dword:400>>SynAttack.reg
@REM DDOS
@echo "EnableICMPRedirect"=dword:0>>SynAttack.reg
@regedit /s SynAttack.reg
@del SynAttack.reg
 
echo ">>更改完成 任意鍵退出！！！"
pause

windows server 2016安全基線設定指令碼

:: 賬號安全 @prompt # echo [version] >account.inf echo signature=\"$CHICAGO$\" >>account.inf

Windows Server 2019 AD 使用組策略控制上網頁。在 Windows 10/Windows Server 2016 上通過 GPO 配置代理設定

本文介紹瞭如何使用 Active Directory 組策略 (GPO) 在執行 Windows 10 和 Windows Server 2019/2016/2012R2 的已加入域的計算機上配置代理設定。所有現代瀏覽器都使用這些代理伺服器設定，包括 Internet Explorer 1

Windows server 2016 安裝oracle的教程圖解

1.安裝oracle Oracle的安裝網上太多了，我這就不重複了，主要是講解一下連線。

Windows Server 2016 - 關閉windows defender後臺服務

因為我的伺服器的CPU僅僅是一個AMD的速龍3000G，所以計算能力有限。虛擬機器的黑群暉和CentOS7還沒開的時候，我發現CPU的佔用率已經有點起來了，一看windows defender服務佔用了很多的CPU資源。因為是區域網的伺服器

從Windows Server 2016到Windows Server 2019升級案例

Microsoft在2018年下半年釋出了Windows Server 2019的正式版，近期我將我將我的實驗環境中的伺服器升級到了Windows Server 2019，升級也越來越簡單，整個升級過程比較順利，基本上沒有問題，就是升級的過程比較慢，一

Windows Server 2016之RDS部署之新增RD虛擬化主機

根據以下概述，可以看到RDS環境已經搭建好了，緊跟著下面我們要陸續的完善RDS整個部署，敬請期待吧！進入“伺服器管理器”-“遠端桌面服務”-“概述”，右擊“RD虛擬化主機”-“新增RD虛擬化主機伺服器”選

Windows Server 2016之RDS部署之新增RD連線代理的高可用

根據以下概述，上片我簡單寫了一下RDS新增RD虛擬化主機，如下簡單介紹RD連線代理的高可用；慢慢完善RDS整個部署，請敬請期待吧！

[轉載]Windows Server 2016中部署AD

搬運來源:https://blog.51cto.com/lumay0526/2046844 簡述 AD是Active Directory的簡寫，中文稱活動目錄。活動目錄(Active Directory)主要提供以下功能：1、伺服器及客戶端計算機管理，2、使用者服務，3、資源管理

[轉載]Windows Server 2016中新增AD域控制器

搬運地址:https://blog.51cto.com/lumay0526/2051317?source=drt AD域控制器一臺往往都是不夠的，一般都是需要兩臺或者兩臺以上，這樣不至於一臺AD域控制器癱瘓，導致整個架構無法執行，AD域是整個架構的核心；在上

Windows Server 2016 安裝AD和Exchange

一、AD虛擬機器操作 1、安裝net framework 4.8 下載連結：https://dotnet.microsoft.com/download/dotnet-framework/net48

Windows Server 2012R2 補丁更新設定自動更新後不重啟自動重啟系統更新機制設定重啟後生效

　　首先說明一點，絕大部分的系統補丁更新，必須重啟後才生效，這是windows系統中的一項技術導致的後果。Windows系統會人為鎖定正在執行的檔案，如果電腦想要更新這些檔案，只能在重啟或者關機的時候進行操作。當然

windows server 2016

這篇文章主要介紹了Windows Server 2016 Standard Key啟用金鑰序列號,非常不錯，具有一定的參考借鑑價值，需要的朋友可以參考下

Windows Server 2016 域控制器搭建NTP服務，並分發NTP策略

配置本地ntp伺服器外部ntp伺服器選擇：最快ntp伺服器選擇：http://www.ntp.org.cn/pool

windows Server 2016 遠端桌面多使用者登入

預設情況下，同時最多2個使用者通過遠端桌面的方式登入Windows Server 2016伺服器，通過配置實現多使用者登入：

windows server 2016 安裝IIS失敗

windows server 2016預設是不安裝.netframework3.5的，可以在新增刪除程式中單獨新增。但是有時候系統安裝檔案不在的時候，找不到安裝程式就不能安裝成功。

如何在Windows Server 2016上重置使用者“管理員”的密碼

方法來自如何在Windows Server 2016上重置使用者“管理員”的密碼 - AleAdmin.it 如果您忘記了裝有 Windows Server 2016（物理或虛擬）的伺服器上的本地管理員密碼，則可以從作業系統的 ISO 映像開始重置密碼。

Windows server 2008R2域控升級到Windows server 2016

隨著微軟釋出的Windows server 2016版本，現在市場上大都使用Windows server 2008R2，升級到Windows server 2016是必然趨勢，所以今天就先簡單介紹一下Windows server 2008R2如何升級到Windows server 2016。

Windows作業系統安全加固基線檢測指令碼

一.背景資訊在我們的安全運維工作中經常需要進行安全基線配置和檢查，所謂的安全基線配置就是系統的最基礎的安全配置，安全基線檢查涉及作業系統、中介軟體、資料庫、甚至是交換機等網路基礎裝置的檢查，面對如此

server 2016 WDS服務批量部署windows系統

windows server2016 遠端安裝windows系統一、緒論二、需要條件三、環境介紹四、WDS部署服務4.1 開啟伺服器管理器4.2 新增角色和功能4.3 安裝型別4.4伺服器選擇4.5 勾選Windows部署服務4.6功能，預設下一步4.7 WDS，預

編寫vbs指令碼獲取Windows server的系統資訊

因為公司最近讓我寫指令碼來監控Windows Server的使用情況，考慮了好久決定使用vbs和bat結合來完成對Windows Server伺服器資源的監控。

windows server 2016安全基線設定指令碼

相關推薦