Windows系统安全基线

---

前言

系统安全基线

---

一、安全基线概述

1.操作系统安全基线

服务器安全基线是为了满足安全规范要求，服务器必须要达到的安全（最低）标准

• 主要有以下作用
  1）设置口令复杂度策略，防止暴力破解密码；
  2）控制用户或文件权限，减少被攻击后的影响；
  3）最小化安装操作系统，防止不必要的服务带来的安全问题。
• 安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛
• 通常包含：操作系统、网络设备、数据库等
• Windows系统安全配置
  1）用户管理
  2）密码策略管理
  3）共享管理
  4）文件权限管理
  5）用户权限管理
  6）日志审核管理
  7）远程管理
  8）其他安全选项

二、系统账户安全

1.控制密码安全

本地安全策略：指的是为保护本计算机资源而配置的规则
本地安全策略工具：开始→管理工具→本地安全策略

• 账户策略：控制用户账户如何与计算机交互
  密码策略：确定密码的设置，如密码复杂性和密码长度等
  账户锁定策略：确定账户锁定的条件和时间
  
• 本地策略：审核策略、用户权限分配、安全选项

2.密码策略

1）密码必须符合复杂性要求

• 不能包含用户的账户名
• 包含以下四类字符中的三类字符：大写字母（A到Z），小写字母（a到z），数字（0到9），非字母字符（例如!、$、#、%）等
  

2）密码长度最小值
3）密码最长使用期限（默认42天）
4）密码最短使用期限
5）强制密码历史

3.账户锁定策略

配置账户锁定策略，防止暴力破解攻击

• 账户锁定时间（在自动解锁之前保持锁定的分钟数）
• 账户锁定阈值（登陆尝试失败的次数）
• 重置账户锁定计数器（多长时间内累加失败次数）

例：密码策略应用

本案例要求在WinSvr2016中设置密码策略，以实现账户安全的要求，相关说明如下：
1）以管理员登录，打开“本地安全策略”
2）设置账户策略中密码策略，密码必须符合复杂性要求：启用
3）设置密码长度最小值：8个
4）验证密码策略

• 步骤一：以管理员登录，打开“本地安全策略”
  以administrator登录电脑，依次单击“开始”–>“Windows管理工具”–>“本地安全策略”
  
  打开“本地安全策略”窗口
  
• 步骤二：设置账户策略中密码策略
  1）依次展开“账户策略”–>“密码策略”
  
  2）双击窗口右侧“密码必须符合复杂性要求”，设置为“开启”
  
  3）双击窗口右侧“密码长度最小值”，设置为“8个”
  
  4）最终“密码策略”设置结果
  
• 步骤三：验证密码策略、
  1）验证密码策略，打开“本地用和组”管理窗口，修改用户“guojing”的密码