等保2.0下Windows-server201Word下载.docx
《等保2.0下Windows-server201Word下载.docx》由会员分享,可在线阅读,更多相关《等保2.0下Windows-server201Word下载.docx(21页珍藏版)》请在冰点文库上搜索。
长度最小值至少为8位
c)密码长度最长使用期限。
不为0
d)密码最短使用期限:
不为0
e)强制密码历史:
至少记住5个密码以上
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
设置密码锁定策略
右键“我的电脑”管理工具本地安全策略账户策略账户锁定策略
设置屏幕保护程序
控制面板外观显示更改屏幕保护程序勾选在恢复时显示登录屏幕
设置远程登录超时登出
Win+r打开命令输入框,在运行框输入gpedit.msc本地组策略编辑器计算机配置
管理模板Windows组件远程桌面服务远程桌面会话主机会话时间限制
c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听
管理模板Windows组件远程桌面服务远程桌面会话主机安全
访问控制
a)应对登录的用户分配账户和权限
修改文件夹用户权限
我的电脑C盘Windowssystem/System32
修改用户权限分配
右键“我的电脑”管理工具本地安全策略本地策略用户权限分配
“允许本地登录”右击“属性”请根据系统和业务的需要添加用户或组本地登录此计算机
“从远端系统强制关机”设置为“只指派给Administrators组”
“关闭系统”设置为“只指派给Administrators组”修改为需要
“取得文件或其它对象的所有权”设置为“只指派给Administrators组”
b)应重命名或删除默认账户,修改默认账户的默认口令
Win+r打开命令输入框,在运行框输入lusrmgr.msc本地用户和组用户
修改或禁用系统默认账户administered和guest
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在
删除多余用户
d)应授予管理用户所需的最小权限,实现管理用户的权限分离
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
开启审计功能
右键“我的电脑”管理工具服务
启动“WindowsTime服务”,并设置为自动
右键“我的电脑”管理工具事件查看器Windows日志
修改审计功能
Win+r打开命令输入框,在运行框输入secpol.msc本地安全策略本地策略审核策略
策略配置如下
b)审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息
Win+r打开命令输入框,在运行框输入eventvwr.msc本地安全策略本地策略审核策略
d)应对审计进程进行保护,防止未经授权的中断
Win+r打开命令输入框,在运行框输入secpol.msc本地安全策略本地策略用户权限
右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组
入侵防范
b)应关闭不需要的系统服务、默认共享和高危端口
应关闭不需要的系统服务
Win+r打开命令输入框,在运行框输入service.msc服务
关闭不必要的服务
如Alerter、RemoteRegistry、Servicce、Messsenger,TaskScheduler
关闭高危端口
Win+r打开命令输入框,在运行框输入cmd运行netstat-an
如TCP135、139、445、593、1025端口,UDP135、137、138、445端口,
一些流行病毒的后门端口,如TCP2745、3127、6129端口。
如下存在高危端口
方法一:
通过防火墙设置规则禁止
开始控制面板系统和安全Windows防火墙高级设置右键“入站规则”端口
方法二:
通过策略关闭
关闭445端口
Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netBT\Parameters
右键新建QWORD重命名为SMBDeviceEnabledWin+r打开命令输入框,在运行框输入services.msc服务禁用并停止Server服务
关闭TCP135
Win+r打开命令输入框,在运行框输入docmcnfg组件服务右键计算机属性默认属性不勾选在此计算机上启用分布式COM默认协议选中面向连接的TCP/IP,移除确定
关闭139
控制面板网络和internet网络共享中心更改适配器设置右键Ethernet0
属性TCP/IPv4,属性常规,高级WINS选中禁用TCP/IP上的NetBIOS
关闭共享
Win+r打开命令输入框,在运行框输入cmd运行netshare
如下存在共享文件,需关闭不必要的共享文件
禁止C$、D$、E$一类共享
Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
右键AutoShareServer修改数据数值为0
如果没有则创建右键空白处,新建DWORD(32位值)AutoShareServer右键修改
注:
修改注册表需重启才可生效
禁止ADMIN$
右键AutoShareWKs修改数据数值为0
如果没有则创建右键空白处,新建DWORD(32位值)AutoShareWKs右键修改
方法同上
禁止IPC$共享
Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lso右键restrictanonymous修改数据数值为1
如果不想改注册表,临时禁止
Win+r打开命令输入框,在运行框输入cmd
netshare#查看共享
netsharec$/del#禁止c盘共享
netshared$/del#禁止d盘共享
netshareipc$/del#禁止ipc盘共享
netshareadmin$/del#禁止admin盘共享
开启防火墙
开始控制面板系统和安全Windows防火墙