阅读量:1
一、账户管理、认证授权
一、账户 1、管理缺省账户 安全基线项说明:对于管理员账号,要求更改缺省账户名称;禁用Guest(来宾)账户。 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:缺省账户Administrator-->右键重命名为JFadmin;Guest账户-->属性-->停用; 2.按照用户来分配账户 安全基线项说明:根据系统要求,设定不同的账户和账户组、管理员用户、审计账户、数据库账户等。 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组: 管理员用户admingroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Administrators 数据库用户DBgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->IIS_IUSRS、Power Users 审计用户auditgroup,用户属性-->隶属于-->添加-->查找位置-->本机-->输入对象名称选择-->Event log readers、Performance Log Users 3、删除与设备无关账户 操作步骤:进入控制面板-->管理工具-->计算机管理,在系统工具-->本地用户和组:删除或锁定与设备运行、维护无关的账户。 4、administrator账户绑定 操作步骤:系统中不得通过JFadmin(原administrator)与别的应用或服务器进行登录绑定,JFadmin密码可以随时进行更换,不影响业务正常使用。 二、口令 1、密码复杂度 安全基线项说明:密码不得少于8位,且需包含大小写字母、数字、特殊符号中的三种。 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看是否“密码必须符合复杂度要求”选择"已启动" 2、密码最长留存期 安全基线项说明:对于采用静态口令认证技术的设备,账号口令的生存期不得长于90天。 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->密码策略:查看“密码最长留存期”。 3、账户锁定策略 安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过5次,锁定该用户使用的账户。 操作步骤:进入控制面板-->管理工具-->本地安全策略,在账户策略-->账户锁定策略:查看账户锁定阈值设置,设置为小于或等于5次。 4、口令到期提示 安全基线项说明:对于采用静态口令认证技术的设备,账户口令到生存期前5天提示更换密码。 操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项:查看交互式登录:提示用户在过期之前更改密码。密码最长存留期到期前设置等于5天 三、授权 1、远程关机 安全基线项说明:在本地安全设置中从远端系统强制关机只指派给Administrator组 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“从远端系统强制关机”设置,改为只指派给Administrator组 2、本地关机 安全基线项说明:在本地安全设置中关闭系统只指派给Administrator组 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看“关闭系统”设置,改为只指派给Administrator组 3、用户权力指派 安全基线项说明:在本地安全设置中取得文件或其他对象的所有权仅指派给Administrators组 操作步骤:进入控制面板-->管理工具-->本地安全策略,用户权力指派:查看是否“取得文件或其他对象的所有权”设置,设置为仅指派给Administrators组 4、授权账户从网络访问 安全基线项说明:在组策略中只允许授权账号从网络访问(包括网络共享等,但不包括远程桌面)此服务器。 操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->用户权力指派:从网络访问此计算机设置为指定授权用户 5、通过堡垒机登录系统 安全基线项说明:系统只能通过堡垒机使用rdp协议登录 操作步骤:堡垒机配合防火墙设置,通过防火墙限制用户可访问渠道 四、日志配置 1、审核登录 安全基线项说明:设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账户,登录是否成功,登录时间,以及远程登录时用户使用的IP地址。 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核登录事件,设置为成功和失败都审核 2、审核策略更改 安全基线项说明:启用组策略中对Windows系统的审核策略更改,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核策略更改设置,设置为成功和失败都要审核 3、审核对象访问 安全基线项说明:启用组策略中对Windows系统的审核对象访问,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核对象访问,设置为成功和失败都要审核 4、审核目录服务访问 安全基线项说明:启用组策略中对Windows系统的审核目录服务访问,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核目录服务访问,设置为成功和失败都要审核 5、审核特权使用 安全基线项说明:启用组策略中对Windows系统的审核特权使用,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核特权使用,设置为成功和失败都要审核 6、审核系统事件 安全基线项说明:启用组策略中对Windows系统的审核系统事件,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核系统事件,设置为成功和失败都要审核 7、审核账户管理 安全基线项说明:启用组策略中对Windows系统的审核账户管理,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核账户管理,设置为成功和失败都要审核 8、审核过程追踪 安全基线项说明:启用组策略中对Windows系统的审核过程追踪,成功和失败都要审核 操作步骤:进入控制面板-->管理工具-->本地安全策略,审核策略-->审核过程追踪,设置为失败需要审核 9、日志文件大小 安全基线项说明:设置应用日志文件至少要大于20480KB,设置当达到最大的日志尺寸时,按需要覆盖事件(旧事件优先) 操作步骤:进入控制面板-->管理工具-->事件查看器,查看应用日志,系统日志,安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。打开C:\windows\system32\winevt,再打开Logs文件夹 10、日志文件上传 安全基线项说明:日志保存时间为180天 操作步骤:日志文件转存日志服务器,通过日志服务器可查看到相关服务器的日志信息 11、防病毒管理 安全基线项说明:安装公司指定的360杀毒软件 操作步骤:netstat -ano或通过任务管理器查看。配置时防火墙需放开杀毒软件的端口 12、远程登录控制 安全基线项说明:对于远程登录的账号,设置不活动断连时间15分钟,再次登录时信息还在 检测操作步骤:进入控制面板-->管理工具-->本地安全策略,在本地策略-->安全选项-->Microsoft网络服务器设置为"在挂起会话之前所需的空闲时间"为15分钟 13、补丁管理 安全基线项说明:应安装漏扫里面的高危补丁,但如果此服务器不具备停机条件,延期安装但不能超过三个月。暂定两个月更新一次高危补丁,更新之前做好快照预防打补丁之后出现异常情况。突发高风险漏洞根据实际情况进行紧急预案并处理 操作步骤:根据漏扫报告,对高危补丁进行修复安装 五、端口管理 1、远程控制服务安全 安全基线项说明:修改rdp远程默认端口3389 操作步骤:进入注册表修改(省略),改完端口后更新防火墙规则 2、端口开放与关闭 安全基线项说明:关闭TCP与UDP135-139、445、5355端口,telnetTCP23,只开放需要开放的服务端口 操作步骤:控制面板-->Windows防火墙-->高级设置-->入站规则-->选择某条规则-->属性-->常规-->已启用(勾选或取消勾选)-->只允许安全连接 六、时间同步 1、时间同步 安全基线项说明:要求配置时间同步源,服务器定期执行时间同步操作(必要时) 操作步骤:1、加域服务器默认已指向时间服务器 2、虚拟服务器需在宿主机上指定时间服务器 3、物理服务器需手动设置gpedit.msc 