·
目录
·对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。
·对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次后,锁定该用户使用的帐户。
·设置应用日志文件大小至少为 20480 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
定期删除或锁定与设备运行、维护等与工作无关的帐户。
操作步骤:
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 中,删除或锁定与设备运行、维护等与工作无关的帐户。
·
配置登录登出后,不显示用户名称。
·操作步骤:
①打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。
②在gpedit.msc(组策略)中的计算机配置中的本地策略进行配置
·密码复杂度要求必须满足以下策略:
最短密码长度要求六个字符。
启用本机组策略中密码必须符合复杂性要求的策略。
即密码至少包含以下四种类别的字符中的三种:
英语大写字母 A, B, C, … Z
英语小写字母 a, b, c, … z
西方阿拉伯数字 0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
·操作步骤
①打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,确认密码必须符合复杂性要求策略已启用。
②在gpedit.msc(组策略)中的计算机配置中的帐户策略的密码策略进行配置
·对于采用静态口令认证技术的设备,帐户口令的留存期不应长于90天。
·操作步骤:
①打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 密码策略 中,配置 密码最长使用期限 不大于90天。
②在gpedit.msc(组策略)中的计算机配置中的帐户策略的密码策略进行配置
·对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次后,锁定该用户使用的帐户。
·操作步骤
①打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于5次。
②在gpedit.msc(组策略)中的计算机配置中的帐户策略的帐户锁定策略进行配置
审核登录
·设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
·操作步骤:
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。
审核策略
·启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需 要审核。
审核对象访问
·启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
审核过程追踪
·启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核
审核事件目录服务访问
·启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。
审核特权使用
·启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。
审核系统事件
·启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
审核帐户管理
·启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。
·设置应用日志文件大小至少为 20480 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
操作步骤
①打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略,选择不进行日志的覆盖
②eventvwr.msc直接打开事件查看器
禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。(断开重连网络后生效)
操作步骤
①在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
②servers.msc直接打开服务也可以
安全选项-禁用未登录前关机
服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。
·操作系统
打开 控制面板 > 管理工具 > 本地安全策略,在本地策略 > 安全选项 中,禁用关机: 允许系统在未登录前关机策略。