自动化组策略配置检查

简单说下方法,

首先通过命令,secedit /export /cfg model.inf 导出组策略配置信息,然后根据需要的Windows安全基线修改组策略,修改后再次用之前命令导出model2.inf,然后使用脚本过滤出不同部分,具体对应信息如下:
1.1 审核口令设置安全策略

密码必须符合复杂性要求 PasswordComplexity = 1
密码长度最小值 MinimumPasswordLength = 8
密码最长使用期限 MaximumPasswordAge = 42
密码最短使用期限 MinimumPasswordAge = 1
强制密码历史 PasswordHistorySize = 5
用可还原的加密来储存密码 ClearTextPassword = 0
复位帐户锁定计时器 ResetLockoutCount = 15
帐户锁定时间 LockoutDuration = 15
帐户锁定阈值 LockoutBadCount = 15
1.2 审核策略

审核策略更改:AuditPolicyChange = 3
审核登录事件:AuditLogonEvents = 3
审核对象访问:AuditObjectAccess = 3
审计过程跟踪:AuditPrivilegeUse = 0
审计目录服务访问:AuditProcessTracking = 0
审核特权使用:AuditDSAccess = 0
审核系统事件:AuditSystemEvents = 3
审核帐户登录事件:AuditAccountLogon = 3
审核帐户管理:AuditAccountManage = 3
1.3 Microsoft网络服务器

设置在挂起会话之前的所需的空闲时间 15分钟;
MACHINESystemCurrentControlSetServicesLanManServerParametersAutoDisconnect=4,15
数字签名的通信(若客户端同意) 已启用;
MACHINESystemCurrentControlSetServicesLanManServerParametersRequireSecuritySignature=4,1
当登录时间用完时自动注销用户 已启用。
MACHINESystemCurrentControlSetServicesLanManServerParametersEnableForcedLogOff=4,1
1.4 Microsoft网络客户端

建议设置数字签名的通信(总是) 已启用;
MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersRequireSecuritySignature=4,1
数字签名的通信(若服务器同意) 已启用;
MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersEnableSecuritySignature=4,1
发送未加密的密码到第三方SMB服务器 已禁用;
MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersEnablePlainTextPassword=4,0
1.5 交互式登录设置

建议设置不显示上次登录的用户名 已启用;
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDontDisplayLastUserName=4,1
不需要按Ctrl+Alt+Del 已禁用;
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableCAD=4,0

在密码到期前提示用户更改密码建议最小设置 14天

MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonPasswordExpiryWarning=4,14
智能卡移除操作 锁定工作站
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonScRemoveOption=1,”1″
1.6 网络访问

  1. 允许匿名SID/名称 转换 已禁用;
    LSAAnonymousNameLookup = 1
  2. 不允许SAM帐户的匿名枚举 已启用;
    RestrictAnonymousSAM=4,1
  3. 不允许SAM帐户和共享的匿名枚举 已启用;
    RestrictAnonymous=4,1
  4. 不允许为网络身份验证储存凭证或.net passports 已启用;
    MACHINESystemCurrentControlSetControlLsaDisableDomainCreds=4,1
  5. 让每个人(Everyone)权限应用于匿名用户 已禁用;
    MACHINESystemCurrentControlSetControlLsaEveryoneIncludesAnonymous=4,0
  6. 限制匿名访问命名管道和共享 已启用;
    MACHINESystemCurrentControlSetServicesLanManServerParametersRestrictNullSessAccess=4,1
  7. 本地帐户的共享和安全模式 经典;
    MACHINESystemCurrentControlSetControlLsaForceGuest=4,0
  8. 可匿名访问的命名管道 无;
    MACHINESystemCurrentControlSetServicesLanManServerParametersNullSessionPipes=7,
  9. 可远程访问的注册表路径

MACHINESystemCurrentControlSetControlSecurePipeServersWinregAllowedExactPathsMachine=7,SystemCurrentControlSetControlProductOptions,SystemCurrentControlSetControlServer Applications,SoftwareMicrosoftWindows NTCurrentVersion
1.7 网络安全

不要在下次更改密码时存储LAN manager的哈希值 已启用;
MACHINESystemCurrentControlSetControlLsaNoLMHash=4,1

LAN manager身份验证级别 仅发送 NTLMv2响应拒绝 LM;
MACHINESystemCurrentControlSetControlLsaLmCompatibilityLevel=4,4

LDAP客户端签名要求 协商签名;
MACHINESystemCurrentControlSetServicesLDAPLDAPClientIntegrity=4,1

基于NTLM SSP(包括安全RPC)服务器的最小会话安全 Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption ;
MACHINESystemCurrentControlSetControlLsaMSV1_0NTLMMinServerSec=4,537395248

基于NTLM SSP(包括安全RPC)客户端的最小会话安全为Require Message Integrity, Message Confidentiality,NTLMv2 Session Security, 128-bit Encryption MACHINESystemCurrentControlSetControlLsaMSV1_0NTLMMinClientSec=4,537395248
1.8 故障恢复控制台

允许系统自动管理级登录 已禁用。
MACHINESoftwareMicrosoftWindows NTCurrentVersionSetupRecoveryConsoleSecurityLevel=4,0
1.9 关机

清除虚拟内存页面文件 已启用;
MACHINESystemCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown=4,1

允许系统在未登录前关机 已禁用。
MACHINESystemCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown=4,0
1.10 系统加密

存储在计算机上的用户密钥强制使用强密钥保护 用户每次使用密钥时必须键入密码。

MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShutdownWithoutLogon=4,1
MACHINESoftwarePoliciesMicrosoftCryptographyForceKeyProtection=4,2
1.11 系统对象

由管理员(administrators)组成员所创建的对象的默认所有者 对象创建者;

MACHINESystemCurrentControlSetControlLsaNoDefaultAdminOwner=4,1

增强内部系统对象的默认权限 已启用。

MACHINESystemCurrentControlSetControlSession ManagerProtectionMode=4,1
1.12 帐户

来宾帐户状态 已禁用;
EnableGuestAccount = 0

使用空白密码的本地帐户只允许进行控制台登录 已启用;
MACHINESystemCurrentControlSetControlLsaLimitBlankPasswordUse=4,1

重命名系统管理员帐户不要使用administrator;

NewAdministratorName = “Administrator”
1.13 设备设置

允许格式化与弹出可移动媒体 administrators;
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonAllocateDASD=1,”0″

防止用户安装打印机驱动程序 已启用
MACHINESystemCurrentControlSetControlPrintProvidersLanMan Print ServicesServersAddPrinterDrivers=4,1

未签名驱动程序的安装操作 允许安装但发出警告。
MACHINESoftwareMicrosoftDriver SigningPolicy=3,1
1.14 域成员

对安全通道数据进行数字加密或签名(总是) 已启用;
MACHINESystemCurrentControlSetServicesNetlogonParametersRequireSignOrSeal=4,1

对安全通道数据进行数字签名(如果可能) 已启用;
MACHINESystemCurrentControlSetServicesNetlogonParametersSealSecureChannel=4,1

禁用更改机器帐户密码 已禁用;

MACHINESystemCurrentControlSetServicesNetlogonParametersDisablePasswordChange=4,0

最长机器帐户密码寿命 30天;
MACHINESystemCurrentControlSetServicesNetlogonParametersMaximumPasswordAge=4,30

需要强会话密钥 已启用。

MACHINESystemCurrentControlSetServicesNetlogonParametersRequireStrongKey=4,1

有了这些对应关系,做检查时即可用脚本来自动检查,并将不合格的项排出,具体脚本可参考如下:

@echo off
:: +———————————————+
:: Script Title : Windows_Safe_Check
:: date : 2012-02-22
:: Author : FeiFei(http://jafee.net)
:: Tested on : Windows 2003 SP2
:: +———————————————+

if exist no.txt (del no.txt)
cls
echo 正在进行 “审计与帐户策略” 安全检查
echo > list.txt PasswordComplexity = 1
echo >> list.txt MinimumPasswordLength = 8
echo >> list.txt MaximumPasswordAge = 42
echo >> list.txt MinimumPasswordAge = 1
echo >> list.txt PasswordHistorySize = 5
echo >> list.txt ClearTextPassword = 0
echo >> list.txt ResetLockoutCount = 15
echo >> list.txt LockoutDuration = 15
echo >> list.txt LockoutBadCount = 15
echo >> list.txt AuditPolicyChange = 3
echo >> list.txt AuditLogonEvents = 3
echo >> list.txt AuditObjectAccess = 3
echo >> list.txt AuditPrivilegeUse = 0
echo >> list.txt AuditProcessTracking = 0
echo >> list.txt AuditDSAccess = 0
echo >> list.txt AuditSystemEvents = 3
echo >> list.txt AuditAccountLogon = 3
echo >> list.txt AuditAccountManage = 3

secedit /export /cfg model.inf >nul

for /F “tokens=1,3″ %%i in (list.txt) do (
call :Getgp %%i %%j
)
ping 127.0.0.1 /n 2 >nul
del tmp.txt
del list.txt
del model.inf
goto :EOF
:Getgp
find “%1″ model.inf >tmp.txt
for /f “skip=2 tokens=3″ %%i in (tmp.txt) do (
if “%%i”==”%2″ (echo %1=%%i ok) else (echo %1 策略不符合规则>>bad.txt)
)

goto :EOF