整改建议篇(一)
一、口令定期更换策略要求即密码有效期不符合条件。
锐捷交换机
建议修改配置,使通过show run 可查询到:password policy life-cycle 90
迈普交换机
建议修改配置,使通过show run 可查询到:password-control livetime 2160
华三交换机
建议修改配置,使通过dis cur 可查询到:password-control aging 90
华为交换机
建议修改配置,使通过dis cur可查询到:local-user policy password expire 90 prompt 15
Linux服务器
建议修改配置,使通过cat /etc/login.defs|grep PASS可查询到:PASS_MAX_DAYS:90,PASS_MIN_DAYS 0,PASS_MIN_LEN 8, PASS_WARN_AGE 7
建议通过以下命令对服务器中所有用户进行修改:
chage -M 90 用户名设置密码最长有效期为90天 //举例 chage -M 90 root
Chage -m 2 用户名 设置密码可修改的天数为2天
Chage -W 7 用户名 设置密码过期告警天数为7天。
Windows服务器
建议通过控制面板-管理工具-本地安全策略-帐户策略-密码策略,设置为:
密码长度最小值:8字符,密码最短使用期限:2天,密码最长使用期限:90天,强制密码历史:5个记住的密码。
安全设备
建议设置设备密码过期时间为90天
二、密码复杂度不符合要求。
锐捷交换机
建议修改配置,使通过show run 可查询到:password policy min-size 8,password policy strong,password policy forced-password-modify
迈普交换机
建议修改配置,使通过show run 可查询到:password-control complexity min-length 8,password-control complexity composition type-number 4
华三交换机
建议修改配置,使通过dis cur 可查询到:password-control length 8,password-control composition type-number 3 type-length 1
华为交换机
建议修改配置,使通过dis cur在aaa里可查询到:local-user policy password min-len 8,local-user policy password complexity-enhance
Linux服务器
建议修改配置,使通过cat /etc/pam.d/system-auth可查询到:password requisite pam_cracklib.so retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
Windows服务器
建议通过控制面板-管理工具-本地安全策略-帐户策略-密码策略,设置为
密码长度最小值:8字符
密码最短使用期限:2天
密码最长使用期限:90天
强制密码历史:5个记住的密码
安全设备
建议设置设备登录密码策略为:密码最小长度为8位,密码包含数字、大写字母、小写字母、特殊字符其中至少两位
三、登录失败策略不符合要求。
锐捷交换机
建议修改配置,使通过show aaa lockout 可查询到:Lock tries: 3 ,Lock timeout: 10 minutes
迈普交换机
建议修改配置,使通过login-secure ssh ip-addr forbid-time可查询到Forbidden login time,unit is minute(default:10m),使通过#login-securessh ip-addr max-try-time可查询到Max try time(default:5),但默认策略就已满足
华三交换机
建议修改配置,使通过dis cur可查询到 password-control login-attempt 5 exceed lock-time 10
华为交换机
建议修改配置,使通过dis cur在aaa里可查询到:local-user authentication lock times 5 10
Linux服务器
建议修改配置,使通过cat /etc/pam.d/system-auth可查询到:auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600
Windows服务器
建议设置登录失败处理功能,win+r快捷键运行secpol.msc,找到帐户策略下的帐户锁定策略,按照以下参数配置:
1.账户锁定时间:30分钟;
2.锁定阈值无效登录次数:5次;
3.重置账户锁定计数器:30分钟。
安全设备
建议设置设备登录失败策略为:最大登录次数为5次以内,锁定时间为10分钟以上
四、登录超时自动退出策略不符合要求。
锐捷交换机
建议修改配置,使通过show aaa lockout 可查询到:exec-timeout 10 0
华三交换机
建议修改配置,使通过dis cur可查询到: authorization-attribute idle-cut 10
华为交换机
建议修改配置,使通过dis cur可查询到:idle-timeout 10 0
Linux服务器
建议修改配置,使通过cat /etc/profile可查询到:export TMOUT=600
Windows服务器
1.建议设置远程登录超时限制,win+r快捷键运行gpedit.msc,在管理模板下的”Windows组件”找到”远程桌面服务”下的”远程桌面会话主机”中的”会话时间限制”,设置“活动但空闲的远程桌面服务会话时间的限制”:配置并启用登录连接超时时间为15分钟
2.建议启用屏幕保护程序,等待时间15分钟,勾选了“在恢复时显示登录屏幕”。
安全设备
建议设置设备登录超时自动退出策略为:10分钟以上无操作自动退出