等保测评(整改建议)

已于 2024-02-04 17:29:55 修改
阅读量797 收藏 15
点赞数 8
分类专栏: 等保测评 文章标签: 网络 运维
于 2024-02-04 16:52:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52527037/article/details/136029011
版权
本文提供了针对不同厂商的网络设备、Linux服务器、Windows服务器以及安全设备的密码策略整改建议,包括定期更换口令、密码有效期、复杂度、失败策略和超时自动退出设置,以提升系统安全性。
摘要由CSDN通过智能技术生成

整改建议篇(一)

一、口令定期更换策略要求即密码有效期不符合条件。  

锐捷交换机

建议修改配置,使通过show run 可查询到:password policy life-cycle 90

迈普交换机

建议修改配置,使通过show run 可查询到:password-control livetime 2160

                            

华三交换机

建议修改配置,使通过dis cur 可查询到:password-control aging 90

                                         

华为交换机  

建议修改配置,使通过dis cur可查询到:local-user policy password expire 90 prompt 15                    

                            

Linux服务器

建议修改配置,使通过cat /etc/login.defs|grep PASS可查询到:PASS_MAX_DAYS:90,PASS_MIN_DAYS   0,PASS_MIN_LEN   8, PASS_WARN_AGE   7

建议通过以下命令对服务器中所有用户进行修改:

chage -M 90 用户名设置密码最长有效期为90天 //举例 chage -M 90 root

Chage -m 2 用户名 设置密码可修改的天数为2天

Chage -W 7 用户名 设置密码过期告警天数为7天。

Windows服务器 

建议通过控制面板-管理工具-本地安全策略-帐户策略-密码策略,设置为:

密码长度最小值:8字符,密码最短使用期限:2天,密码最长使用期限:90天,强制密码历史:5个记住的密码。   

安全设备

建议设置设备密码过期时间为90天

二、密码复杂度不符合要求。      

锐捷交换机  

建议修改配置,使通过show run 可查询到:password policy min-size 8,password policy strong,password policy forced-password-modify                                                                                                  

迈普交换机  

建议修改配置,使通过show run 可查询到:password-control complexity min-length 8,password-control complexity composition type-number 4                                                                                                     

华三交换机  

建议修改配置,使通过dis cur 可查询到:password-control length 8,password-control composition type-number 3 type-length 1                                                                                                       

华为交换机  

建议修改配置,使通过dis cur在aaa里可查询到:local-user policy password min-len 8,local-user policy password complexity-enhance                                                                                                      

Linux服务器

建议修改配置,使通过cat /etc/pam.d/system-auth可查询到:password    requisite  pam_cracklib.so retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1                                                                                                       

Windows服务器 

建议通过控制面板-管理工具-本地安全策略-帐户策略-密码策略,设置为

密码长度最小值:8字符

密码最短使用期限:2天

密码最长使用期限:90天

强制密码历史:5个记住的密码

安全设备      

建议设置设备登录密码策略为:密码最小长度为8位,密码包含数字、大写字母、小写字母、特殊字符其中至少两位                          

三、登录失败策略不符合要求。                

锐捷交换机

建议修改配置,使通过show aaa lockout 可查询到:Lock tries:    3 ,Lock timeout:  10 minutes

迈普交换机  

建议修改配置,使通过login-secure ssh ip-addr forbid-time可查询到Forbidden login time,unit is minute(default:10m),使通过#login-securessh ip-addr max-try-time可查询到Max try time(default:5),但默认策略就已满足

华三交换机  

建议修改配置,使通过dis cur可查询到 password-control login-attempt 5 exceed lock-time 10                

                           

华为交换机  

建议修改配置,使通过dis cur在aaa里可查询到:local-user authentication lock times 5 10                                                

Linux服务器

建议修改配置,使通过cat /etc/pam.d/system-auth可查询到:auth required pam_tally2.so  onerr=fail  deny=5  unlock_time=600 even_deny_root root_unlock_time=600                                                                                                 

Windows服务器 

建议设置登录失败处理功能,win+r快捷键运行secpol.msc,找到帐户策略下的帐户锁定策略,按照以下参数配置:

1.账户锁定时间:30分钟;

2.锁定阈值无效登录次数:5次;

3.重置账户锁定计数器:30分钟。                                                                                      

安全设备      

建议设置设备登录失败策略为:最大登录次数为5次以内,锁定时间为10分钟以上

四、登录超时自动退出策略不符合要求。

锐捷交换机  

建议修改配置,使通过show aaa lockout 可查询到:exec-timeout 10 0                                                                               

华三交换机  

建议修改配置,使通过dis cur可查询到: authorization-attribute idle-cut 10                                                                      

华为交换机

建议修改配置,使通过dis cur可查询到:idle-timeout 10 0                                                                                                  

Linux服务器

建议修改配置,使通过cat /etc/profile可查询到:export TMOUT=600                                                            

Windows服务器

1.建议设置远程登录超时限制,win+r快捷键运行gpedit.msc,在管理模板下的”Windows组件”找到”远程桌面服务”下的”远程桌面会话主机”中的”会话时间限制”,设置“活动但空闲的远程桌面服务会话时间的限制”:配置并启用登录连接超时时间为15分钟

2.建议启用屏幕保护程序,等待时间15分钟,勾选了“在恢复时显示登录屏幕”。                                                                 

安全设备

建议设置设备登录超时自动退出策略为:10分钟以上无操作自动退出

泙渊
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
测评2.0关于安全通信网络三级等保测评
华龙在飞翔
03-01 2786
等保测评2.0关于安全通信网络三级等保测评项 1.安全通信网络测评项(二级4项、三级8项) 1.1.网络架构(二级c/d项、三级5项) a)应保证网络设备的业务处理能力满足业务高峰期需要;(通过进入设备检查路由器、交换机、设备的cpu和内存使用率不超过70%,是否存在因设备性能问题导致的宕机情况)。cpu检查命令:(华为:display cpu-usage 思科:show processes cpu sorted),内存检查命令(华为:display memory 思科:show processes mem
信息安全等级保护测评实施H3C交换机三级作业指导书.doc
08-11
等级保护-交换机-三级测评指导书
等级保护测评基本要求安全通信网络笔记
最新发布
weixin_54799594的博客
06-01 1127
等保测评师基本要求学习笔记随手一记
5. 3级等保-安全通信网络-网络架构测评
土豆123的博客
07-08 3533
1. 应保证网络设备的业务处理能力满足业务高峰期需要 (1) 应核查业务高峰时期一段时间内主要网络设备的 CPU 使用率和内存使用率是否满足需要; 华为/H3C: 思科/锐捷: (2) 应核查网络设备是否从未出现过宕机情况; 查看设备在线时长 华为/H3C: 思科/锐捷: (3)应测试验证设备是否满足业务高峰期需求。 查看各设备日志,看是否出现性能告警信息 华为/H3C: 思科/锐捷: 2. 应保证网络各个部分的带宽满足业务高峰期需要; 通过网络管理平台查看,或在业务高峰时段登录登录链路接入设.
第九节Windows等保测评服务器配置修改
zjltianxin的博客
11-03 1190
5.1.tomcat禁用3DES和DES算法:
等保测评——常见的现场测评命令
城下深蓝的博客
09-04 991
等保测评——常见的现场测评命令
等保测评-交换机测评命令
qq_37542883的博客
06-07 3095
show run | i line ssh/telnet/console 查看ssh/telnet/console管理的超时时间。show run | b router ospf 查看ospf路由认证相关信息。show run | b logging 查看是否开启日志,是否配置日志服务器。show run | i ssh server 查看是否采用ssh方式进行管理。show run | b bgp ospf 查看bgp路由认证相关信息。
等保测评linux主机整改
01-20
对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令. 1)/etc/login.defs,参考以下设置: PASS_MAX_DAYS 90; PASS_MIN_DAYS 1; PASS_WARN_AGE 28;密码失效28天通知...
等保测评方案.docx
09-01
4. **时间规划**:等级保护工作需合理规划,包括前期准备、实施测评、整改、复核等阶段,以确保在规定时间内完成。 5. **软硬件清单**:等保二级和三级的软硬件清单提供了参考,以满足不同等级的防护需求,包括...
信息系统安全整改建议报告模板
04-07
信息系统安全整改建议报告
等保测评报告模板.pdf
11-01
系统安全建设、整改建议等保测评报告的重要组成部分,主要对系统存在的主要问题提出安全建设、整改建议,是对第七章内容的提炼和简要描述。 在系统安全建设、整改建议中,需要对信息系统存在的主要问题提出详细的...
信息安全等级保护测评实施H3C和华为二级作业指导书.doc
09-02
H3C和华为交换机-等保二级测评指导书
网络安全等级保护测评 信息系统安全策略建议整改措施
06-18
网络安全等级保护测评 信息系统安全策略建议整改措施; 等保相关资料
等保2.0标准.rar
05-13
测评过程包括前期准备、现场测评、结果分析、报告编写和整改建议等步骤,确保发现并解决安全隐患。 五、实施指南(GBT25058-2019信息安全技术网络安全等级保护实施指南) 实施指南提供了实施等保2.0的具体操作指导...
等保基线核查——交换机
weixin_43965325的博客
10-25 2753
交换机基线核查常用命令行
等保测评——常见的现场测评命令_思科等保命令,2024年最新2024-2024历年字节跳动网络安全面试真题解析
2401_83946261的博客
04-16 346
朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~| 查看日志 | tail -20 /var/log/audit/audit.log || 是否安装最新的补丁 | rpm -qa grep patch || 查看已安装的包 | yum list installed || 查看备份时间 | more /etc/crontab || 查看所有端口 | netstat -ntlp || 查看当前系统版本 | uname -a |
等保测评——常见的现场测评命令_思科等保命令(1),2024年最新花了19998买的学习教程
2401_83946261的博客
04-16 562
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!如果你能答对70%,找一个安全工作,问题不大。最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
华为交换机-关于等保“身份鉴别”的配置
学无止境
12-11 8797
+++++++++++++++++++++++口令长度要求++++++++++++++++++++++++ password说明: 字符串形式,长度范围是8~16或长度是56或68。输入的密码可以是明文或者密文。 当明文输入时,长度范围为8~16,区分大小写,输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。 当密文输入时,长度是56或68。该密文密码必须以$1a$开始,以$结束;或者以%^%#开始,以%^%#结束。 说明: 如果升级前版本支持设置长度为24
等级保护2.0基础要求 具体测评方法
Mercure's Home
11-11 3831
安全咨询, 等级保护2.0(三级) 测评方法
centos三级等保评测表
09-14
CentOS三级等保评测表是由中国信息安全测评中心(CCSS)编制的一份评估表格,用于评估CentOS操作系统在信息安全等级保护中的安全性能。 评测表中包含了多个方面的内容,如安全需求、技术要求、测试方法和结果等。具体包括硬件环境安全、操作系统安全、网络安全、应用软件安全和安全管理等方面。 在硬件环境安全中,评测表要求评估CentOS系统是否合规的部署在安全的硬件环境中,包括服务器机房的防护措施、服务器硬件配置和安全设备等。 操作系统安全方面,评测表要求评估CentOS系统在访问控制、身份认证、系统日志和审计等方面的安全性能,以及漏洞管理和安全更新的能力。 评测表还关注网络安全方面,要求评估CentOS系统在网络拓扑、网络传输机制、远程访问和网络隔离等方面的安全性能。 在应用软件安全方面,评测表要求评估CentOS系统运行的应用软件是否有漏洞和可以进行恶意攻击,以及对应用软件的安全配置和控制。 最后,评测表中还强调了安全管理方面的评估,包括安全策略和规范制定、安全事件管理和应急响应能力的评估等。 通过对CentOS三级等保评测表的评估,可以检验CentOS操作系统在信息安全方面是否符合国家的等级保护要求,为用户提供一个安全可靠的操作系统环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值