1、重要安全策略
1.1、密码复杂度
修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。
默认配置内容如下图:
修改如下参数配置:
“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。
“密码长度最小值”,建议8或12。
“强制密码历史”,配置5,最近5个密码不能使用。
“密码最短存留期(使用期限)”,配置为1。
“密码最长存留期(使用期限)”,配置为90。
“用可还原的加密来存储密码”,已禁用。
注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。
1.2、账户锁定
“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略帐户锁定策略”。
默认配置内容如下图:
帐户锁定时间,建议30分钟。
帐户锁定阈值,建议5。
重置帐户锁定计数器,建议30分钟。
以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。
1.3、 远程会话闲置一段时间后自动断开
“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”“管理模板”“windows组件”“远程桌面服务”“远程桌面会话主机”“会话时间限制”。
默认配置内容如下图:
修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟