| 操作项 | 整改建议 |
| 操作系统和数 据库系统管理 用户身份标识 应具有不易被冒用的特点,口令应有复杂度 要求并定期更 换。 | Windows 操作系统配 置“管理工具”—“本地 安全策略”—“帐户策略” --“密码策略”,启用“密 码必须符合复杂度要求” , “密码长度最小值”设定 为 8。“密码最长使用期 限”设定为 90 天。“密 码最短使用期限”设定为 2 天。“强制密码历史” 设定为 5 个可记住的密 码;配置“管理工具”— “计算机管理”—“用户 和 组 ” — “ 用 户 ” , administrator 等帐户不 勾选“密码永不过期”。 |
| 应启用登录失败处理功能,可采取结束会 话、限制非法登 录次数和自动 退出等措施。 | Windows 操作系统配 置“本地安全策略”—“帐 户策略”之下的“帐户锁 定策略”。“帐户锁定 阈值”设定为 5 次。“帐 户 锁 定 时 间 ” 设 定 为 30 分钟。“重置帐户 锁定计数器”设定为 30 分钟后。 |
| 当为服务器进 行远程管理时,应采取必要措 施,防止鉴别信 息在网络传输 过程中被窃听。 | Windows 操作系统强 制启用 SSL:配置“组策 略”—“计算机配置”— “管理模板”—“windows 组件”—“远程桌面服务” —“远程桌面会话主机”, “安全”—“设置客户端 连接加密级别”—高级, “远程(RDP)连接要求 使用指定的安全层”— SSL。 |
| 应采用两种或 两种以上组合 的鉴别技术对 管理用户进行 身份鉴别 | 增加USB KEY或数字证书 等第二种身份鉴别方式 |
| 应根据管理 用户的角色分 配权限,实现管 理用户的权限 分离,仅授予管 理用户所需的 最小权限 | 按最小授权原则分配帐户,建立权限分离的管理员、审计员、操作员帐户 |
| 应严格限制 默认帐户的访 问权限,重命名 系统默认帐户, 修改这些帐户 的默认口令。 | Windows 操作系统重 命 名 Administrator 帐 户。 |
| 审计范围应 覆盖到服务器 和重要客户端 上的每个操作 系统用户和数 据库用户。 | 在“本地安全策略”中开 启安全策略审计(相关项 参考下一项)。 |
| 审计内容应 包括重要用户 行为、系统资源 的异常使用和 重要系统命令 的使用等系统 内重要的安全 相关事件。 | Windows 操作系统在 “本地安全策略”中开启 审计, 审计策略更改:成功、失 败; 审计登录事件:成功、失 败; 审计对象访问:成功、失 败; 审计进程跟踪:成功、失 败; 审计目录服务访问:成 功、失败; 审计特权使用:成功、失 败; 审计系统事件:成功、失 败; 审计帐户登录事件:成 功、失败; 审计帐户管理:成功、失 败。 |
| 审计记录应 包括事件的日 期、时间、类型、 主体标识、客体 标识和结果等 | 开启审计功能,默认符 合 |
| 应能够根据 记录数据进行 分析,并生成审 计报表。 | 定期查看操作系统日志 内容并制定日志记录表, 并生成相应的审计报表; 或配备第三方审计分析 工具。 |
| 应保护审计 进程,避免受到 未预期的中断。 | 开启审计功能,默认符 合。 |
| 应保护审计 记录,避免受到 未预期的删除、 修改或覆盖等。 | 撤销管理员账号之外帐 户的删除日志权限 |
| 应保证操作 系统和数据库 系统用户的鉴 别信息所在的 存储空间,被释 放或再分配给 其他用户前得 到完全清除,无 论这些信息是 存放在硬盘上 还是在内存中。 | 在“本地安全策略”中开 启“不显示上次登录名 |
| 应确保系统 内的文件、目录 和数据库记录 等资源所在的 存储空间,被释 放或重新分配 给其他用户前 得到完全清除。 | 在“本地安全策略”—“帐 户策略”—“密码策略 中”,禁用“用可还原的 加密来存储密码”。在“本 地安全策略”中开启“关 机前清除虚拟内存页面” 。 此项考虑是否整改,整改 后会严重影响系统开关 机速度视情况整改 |
| 应能够检测 到对重要服务 器进行入侵的 行为,能够记录 入侵的源 IP、攻 击的类型、攻击 的目的、攻击的 时间,并在发生 严重入侵事件 时提供报警; | 在服务器上安装终端威 胁防御系统。 |
| 应能够对重 要程序的完整 性进行检测,并 在检测到完整 性受到破坏后 具有恢复的措 施。 | 在服务器上安装终端威 胁防御系统,对重要文件 进行保护。 |
| 操作系统应 遵循最小安装 的原则,仅安装 需要的组件和 应用程序,并通 过设置升级服 务器等方式保 持系统补丁及 时得到更新。 | Windows 操作系统禁 用 C/D/盘 E 默认共享,和 135/445 等危险端口; |
| 应安装防恶 意代码软件,并 及时更新防恶 意代码软件版 本和恶意代码 库 | 安装 ClamAV 、Avast 、 360 杀毒软件等防恶意代 码软件并更新防恶意代 码软件版本和恶意代码 库。 |
| 主机防恶意 代码产品应具 有与网络防恶 意代码产品不 同的恶意代码 库。 | 更换主机或者网络的防恶意代码软件,保证两者防恶意代码软件的代码库不同。 |
| 应支持防恶 意代码的统一 管理 | 统一安装、管理防恶意代 码软件并统一升级恶意 代码库。 |
| 应通过设定 终端接入方式、 网络地址范围 等条件限制终 端登录。 | (1)配 置 主 机 的 iptables 服 务 、 /etc/hosts.allow 和 /etc/hosts.deny 文件; (2)或者通过交换机的 ACL、网络防火墙、堡垒机等限制登录终端的接 入方式和网络地址范围。 |
| 应根据安全 策略设置登录 终端的操作超 时锁定。 | Windows 操作系统配 置“组策略”—“计算机 配置”—“管理模板”— “windows 组件”—“远 程桌面服务”—“远程桌 面会话主机”,“会话时 间限制”—“设置活动但 空闲的远程桌面服务会 话的时间限制”; 或者设置网络防火墙的 最长闲置连接时间。建议 值为 15 分钟。 |
| 应对重要服 务器进行监视, 包括监视服务 器的 CPU、硬 盘、内存、网络 等资源的使用 情况。 | 通过第三方工具对操作 系统的资源使用状况进 行监视和报警。在业务高峰期,保证随时监视。 |
| 应能够对系 统的服务水平 降低到预先规 定的最小值进 行检测和报警。 | 安装第三方监视工具保 证提供界面、语音、短信等主动报警方式。 |
扫一扫
2149
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
