下边是Windows2012系统的1个事例,按照等保2.0三级需求开展的安全部署。
第一,身份鉴别
(a)登陆用户的身份识别和身份鉴别应有着唯一性,身份识别信息复杂,需要定期更换。采用win+R(运行)键入netpgwiy命令,检查是不是选择“用户必须键入用户名和密码才能采用本计算机”。您还可以检查“控制面板”-“程序与系统软件”-“管理工具”-“计算机服务”-“用户键入lusrmgr.msc到本地用户或运行时,检查系统软件默认设置用户adminstrator和Guest,Guest默认设置被禁止使用,而administrator都没有默认设置口令。
单击用户以检查是不是勾选不会过期的密码等信息。如果在运行时键入secpol.msccommand--"帐户管理策略中的密码管理策略,并查看密码复杂性是不是打开、密码复杂性管理策略等信息,则不适用此操作。有着登录失败处理功能,应配备并开启结束会话、限止非法登陆频次及其在登陆网络连接超时自动退出等相应具体措施。如果在运行时键入secpol.msccommand--"帐户管理策略中的帐户锁定管理策略,检查登录失败处理功能是不是已打开,登录失败管理策略等信息,则不适用此操作。您还可以通过“控制面板”“外观”“显示”屏幕保护程序设置来检查您是不是开启了屏保。
(c)在开展远程访问时,应采用必需的具体措施,避免 在网络传输期内对鉴别信息开展窃听。这种要求在本地管理到KVM等硬件管理方式时默认设置满足。用户身份鉴别应通过键入gpedit.msc----"管理模板"--"Windows组件"--"远程桌面服务"--"安全键入gpedit.msc--"管理模板"--"Windows组件"--"远程桌面服务"--"远程桌面服务"--"连接d"采用口令、密码技术和生物技术等两种或更多的鉴别技术来完成,并且其中一种鉴别技术至少应采用密码技术来完成。
一般而言,此项目还可以被访问,大多数主机此项目不被访问。
第二,访问控制
(a)向登陆用户分配帐户和权限。
存取重要文件,如Program文件夹的系统盘、右键属性——安全地检查个别用户的权限分配是不是合理,通常采用默认值。(b)默认设置帐户应重命名或删除,并修改其默认设置密码。您还可以键入lusrmgr.msc命令,检查有什么用户,有没有默认设置用户,及其是不是禁止使用默认设置帐户。大多数时候,adminstratorz帐户都在采用。(c)应及时删除或取消多余的过期账户,并通过键入lusrmgr.msc命令,以避免共享账户的存在,从而看到adminstrator帐户存在的用户。应当向管理用户赋予需要的最小权限,完成管理用户权限的分离,方式是:键入secpol.msc--"LocalPolicy--"用户权限分配:检查用户权限是不是合理分配,通常是默认设置。重点关注管理审核和安全日志是不是只由特定的人负责。(e)访问控制策略应由授权主体来配备,该管理策略要求了主体对客体的访问规则,在windows主机上,授权主体通常是管理员,以验证普通用户是不是有权采用访问控制策略。(f)访问控制的粒度分布应做到主体为用户级或系统进程级,客体为文件级Windows系统软件默认设置符合.g)应针对重要的主体和客体设置安全标记,控制主体对有着安全标记的信息资源的访问此项基本不符合,Windows自身的访问控制功能无法满足此项要求,需要借助第三方软件完成。
680
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
