WindowsServer系统安全配置
身份标识和鉴别
-
检查项名称:
Windows操作系统身份鉴别
-
检查要求:
应对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
-
符合性判断依据:
-
用户登录需输入用户名和密码
-
用户名具备唯一性
-
结果如下:
-
复杂性要求:已启用;
-
密码长度最小值:长度最小值最小8位;
-
密码长度最长使用期限:不为0;
-
密码最短使用期限:不为0;
-
强制密码历史:至少记住5个密码以上
-
-
-
查找对应文件配置:
-
域控服务器修改方法
-
服务器上添加完林、域之后你是无法修改组策略(gpedit.msc)的,基本上所有的选项都是灰色的!因为那是本地5261的组策略,他的功能已经被其所在的域控制器所取代,所以必须到域策略里面修改,开始-管理工具-域控制器安全策略-这里可以修改服务器本机策略。
-
如果想修改域中其他计算机策略,请修改开始-管理工具-域安全策略-账户策略–这里可以修改域中客户机密码策略!
-
在server 2008和server r2或更高版本的服务器中,可以直接运行gpmc.msc来管专理域组策略。在出现的窗口中,选择自己的域控名称,右边窗口选择Default Domain Policy右键属性属可修改,因为server 2008开始菜单中没有域安全策略的。
-
-
登陆失败处理
-
检查项名称:
Windows操作系统登陆失败处理
-
检查要求:
应具有登录失败处理功能,应配置并启用结束会话,限制非法登录次数和当登录连接超时自动发退出相关措施。
-
符合性判断依据:
-
账户锁定时间:不为不适用
-
账户锁定阈值:不为不适用
-
启用了远程登录连接超时并自动退出功能
-
-
查找对应文件配置:
远程登陆安全
-
检查项名称:
Windows操作系统远程登陆安全
-
检查要求:
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
-
符合性判断依据:
-
本地或KVM,默认符合
-
远程运维,采取加密的RDP协议
-
-
查找对应文件配置:
计算机配置->策略->Windows设置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层
启用审计功能
-
检查项名称:
Windows操作系统启用审计功能
-
检查要求:
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计。
-
符合性判断依据:
-
在命令行输入“secpol.msc“,查看”安全设置-本次策略-审计策略”中的相关项目。结果建议如下:
审核策略更改:成功,失败
审核登陆事件:成功,失败
审核对象访问:成功,失败
审核进程跟踪:成功,失败
审核目录服务访问:失败
审核特权适用:失败
审核系统事件:成功,失败
审核账户登陆事件:成功,失败
审核账户管理:成功,失败
-
也可部署第三方审计工具,实现的用户的全覆盖,主要针对用户操作行为的审计。
-
-
查找对应文件配置:
计算机配置->策略->Windows设置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全->远程(RDP)连接要求使用指定的安全层