系列文章目录
Windows 操作系统等保测评二级合规基线整改项-访问控制篇
Windows 操作系统等保测评二级合规基线整改项-安全审计篇
文章目录
- 系列文章目录
- 前言
- 一、密码策略:最短密码长度至少为 8 个字符,密码应包含大小写字母、数字和特殊字符。强制密码复杂性要求,密码应至少每 90 天更改一次。
- 修复措施
- 检测方法
- 二、账户锁定策略:连续登录失败 5 次后锁定账户,锁定时间为 30 分钟。
- 修复措施
- 检测方法
- 三、当服务器进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
- 修复措施
- 检测方法
- 四、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖
- 修复措施
- 检测方法
- 五、总结
前言
根据《信息安全技术网络安全等级保护基本要求》和相关法规,Windows 操作系统需要满足二级等级保护的合规要求。以下是 Windows 操作系统等保二级合规基线整改项目:
一、密码策略:最短密码长度至少为 8 个字符,密码应包含大小写字母、数字和特殊字符。强制密码复杂性要求,密码应至少每 90 天更改一次。
-
密码长度:密码长度是指密码中字符的数量。较长的密码通常更难破解,因为它们提供了更多的可能组合。建议密码长度至少为 8个字符,以提供足够的安全性。
-
密码复杂性:密码复杂性是指密码中字符的多样性。建议密码包含大小写字母、数字和特殊字符,以增加密码的强度。这样的密码更难通过暴力破解或字典攻击来破解。
-
密码更改频率:密码更改频率是指用户需要多久更改一次密码。建议密码至少每 90 天更改一次,以防止密码被他人窃取或破解。
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
修复措施
检查是否创建了除默认管理员之外的普通用户账户;
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用;
将密码最小长度设置为
8
以上;将密码最长使用期限设置为
30-180
之间,建议值为90
;将密码最短使用期限设置为
1-14
之间,建议值为7
;将强制密码历史设置为5-24之间;
打开cmd输入
regedit
,修改HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon的AutoAdminLogon
类型:REG_DWORD
值:0
(没有则新建);打开注册表
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\
,删除具有相同F值的用户。
检测方法
- 检查是否创建了除默认管理员之外的普通用户账户;
- 是否启用密码复杂性配置,密码最小长度设置为
8
以上;- 以及是否设置密码使用期限策略,最长使用期限设置为
30-180
之间,最短使用期限设置为1-14
之间;- 是否将强制密码历史设置为
5-24
之间;- 启用自动登陆策略为已禁用;无克隆帐户。
二、账户锁定策略:连续登录失败 5 次后锁定账户,锁定时间为 30 分钟。
- 账户锁定:账户锁定是一种安全措施,用于防止未经授权的用户多次尝试登录系统。当用户连续登录失败
5
次时,系统会自动锁定该账户,以防止进一步的尝试。 - 锁定时间:锁定时间是指账户被锁定后的时间长度。建议将锁定时间设置为30分钟,以给用户足够的时间来解决登录问题,同时防止恶意攻击者继续尝试登录。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
修复措施
- 在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为
3-8
之间,建议值为5
,输错5
次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30
之间,建议值为15
,账户锁定时间为15
分钟。- 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:
5-30
之间,建议值为15
;将"登陆时间过期后断开与客户端的连接"设置为:已启用。
检测方法
- 检测是否配置登陆失败锁定策略,
- 是否设置空闲会话断开时间和启用登陆时间过期后断开与客户端的连接设置
三、当服务器进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
修复措施
- 请使用运行,输入
gpedit.msc
,找到 本地计算机策略\计算机配置\管理模板\系统\远程协助\请求的远程协助,修改为:已禁用- 在命令行输入“
gpedit.msc
”,弹出“本地组策略编辑器”窗口,查看“本地计算机策略->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层,选择已启用,安全层选择SSL(TLS1.0)或RDP
检测方法
- 远程管理只启用安全的远程桌面服务,“请求的远程协助”和“提供远程协助”设置为“已禁用”
四、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖
修复措施
- [管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配],右键点击策略“管理审核和安全日志”点属性,查看是否只有系统管理员组在本地安全设置的用户列表中。
- [管理工具]->[事件查看器];查看“安全”、“系统”和“应用程序”日志的属性,存储大小不小于2M;
- 打开目录文件
C:\Windows\System32\winevt
右键logs
选择安全->编辑,删除guests
用户
检测方法
- 关注“管理审核和安全日志”的权限用户,关注“安全”、“应用程序”和“系统”日志“属性”的存储大小和覆盖周期;限制
Guest
访问
五、总结
以上就是今天要讲的内容,本文仅仅简单介绍了windows等保二级的身份鉴别。
等保二级指的是信息系统安全等级保护二级,是我国对信息系统安全等级保护的一种划分。获得等保二级认证的好处有:
- 提高信息系统的安全性:等保二级认证要求企业建立完善的信息安全管理体系,采取必要的安全措施,提高信息系统的安全性,降低信息安全风险。
- 增强企业的竞争力:在信息化时代,信息安全已经成为企业竞争力的重要组成部分。获得等保二级认证可以增强企业的竞争力,提高企业的信誉度和知名度。
- 满足法律法规要求:等保二级认证是我国信息安全管理的基本要求,获得等保二级认证可以满足法律法规要求,避免因信息安全问题引发的法律风险。
- 提高员工的信息安全意识:等保二级认证要求企业建立完善的信息安全管理体系,提高员工的信息安全意识,加强员工的信息安全培训,从而提高企业的整体信息安全水平。
总之,等保二级认证可以提高信息系统的安全性,增强企业的竞争力,满足法律法规要求,提高员工的信息安全意识,是企业信息安全管理的重要保障。
————————————————