终端安全加固

目 录

1. 适用范围

2. 引用文件

3. Windows主机安全加固

3.1. 身份鉴别

3.1.1. 密码设置

3.1.2. 密码策略

3.1.3. 账户锁定策略

3.2. 访问控制

3.2.1. 用户权限设置

3.2.2. 禁用Guest（来宾）帐户

3.2.3. 删除过期或多余的帐号

3.3. 安全审计

3.3.1. 审核策略

3.3.2. 管理审核和安全日志权限

3.3.3. 设置系统日志

3.4. 入侵防范

3.4.1. 补丁安装

3.4.2. 卸载不需要的应用程序

3.4.3. 关闭不必要的服务

3.4.4. 关闭高危端口

3.5. 恶意代码防范

3.5.1. 安装防病毒软件

3.6. 资源控制

3.6.1. 屏幕保护

3.6.2. 空闲的会话时间

3.6.3. 对USB接口、光驱进行物理封堵

3.7. 其它安全防护

3.7.1. 检查主机时间

3.7.2. 检查登录超时设置

3.7.3. 检测加密或数字签名安全通道的数据的设置

3.7.4. 检测会话限制

3.7.5. 关闭不要的自启动项

4. Linux主机安全加固

4.1. 身份鉴别

4.1.1. 密码设置

4.1.2. 密码策略

4.1.3. 密码复杂度

4.1.4. 登录失败处理

4.1.5. 远程管理

4.1.6. 检查是否存在除root之外UID为0的用户

4.2. 访问控制

4.2.1. 敏感文件权限设置

4.2.2. 限制系统无用的默认帐号登录

4.3. 安全审计

4.3.1. 审计进程开启

4.3.2. rsyslog登录事件记录

4.3.3. 指定日志服务器

4.3.4. 日志系统配置文件保护

4.4. 入侵防范

4.4.1. 禁用不必要的系统服务

4.5. 资源控制

4.5.1. root用户远程登录限制

4.5.2. root用户SSH登录限制

4.5.3. 终端登录地址限制

4.5.4. 控制用户登录会话

4.5.5. 对USB接口、光驱进行物理封堵

4.6. 其它安全防护

4.6.1. root用户环境变量的安全性

4.6.2. Root操作历史

1. Windows主机安全加固
   1. 身份鉴别
      1. 密码设置

配置说明	设置密码的最小长度并且密码必须符合复杂性要求，这样可以有效的防止远程或本地的恶意用户对计算机帐户进行口令破解。
要求内容	设置密码，防止用户因口令过短易猜解。
操作指南	参考配置操作 询问登录系统是否需要输入密码，密码长度为几个字符 密码设置及更改： 开始 → 运行 →compmgmt.msc→ 本地用户和组 → 用户，选中账号，右键设置密码，密码满足密码策略要求， 密码设置为8位以上字母、数字、特殊字符组合 2．补充操作说明 对于安装有数据库的主机，请勿对密码进行设置及更改。

1. 1. 1. 密码策略

配置说明	限制密码的最小长度并且密码必须符合复杂性要求，这样可以有效的防止远程或本地的恶意用户对计算机帐户进行口令破解。
要求内容	设置密码策略，防止用户因口令过短易猜解，启用本机组策略中密码必须符合复杂性要求的策略。
操作指南