等保2.0下Windows-server201Word下载.docx

等保2.0下Windows-server201Word下载.docx

《等保2.0下Windows-server201Word下载.docx》由会员分享，可在线阅读，更多相关《等保2.0下Windows-server201Word下载.docx（21页珍藏版）》请在冰点文库上搜索。

长度最小值至少为8位

c）密码长度最长使用期限。

不为0

d）密码最短使用期限:

不为0

e）强制密码历史:

至少记住5个密码以上

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

设置密码锁定策略

右键“我的电脑”管理工具本地安全策略账户策略账户锁定策略

设置屏幕保护程序

控制面板外观显示更改屏幕保护程序勾选在恢复时显示登录屏幕

设置远程登录超时登出

Win+r打开命令输入框，在运行框输入gpedit.msc本地组策略编辑器计算机配置

管理模板Windows组件远程桌面服务远程桌面会话主机会话时间限制

c）当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听

管理模板Windows组件远程桌面服务远程桌面会话主机安全

访问控制

a）应对登录的用户分配账户和权限

修改文件夹用户权限

我的电脑C盘Windowssystem/System32

修改用户权限分配

右键“我的电脑”管理工具本地安全策略本地策略用户权限分配

“允许本地登录”右击“属性”请根据系统和业务的需要添加用户或组本地登录此计算机

“从远端系统强制关机”设置为“只指派给Administrators组”

“关闭系统”设置为“只指派给Administrators组”修改为需要

“取得文件或其它对象的所有权”设置为“只指派给Administrators组”

b）应重命名或删除默认账户，修改默认账户的默认口令

Win+r打开命令输入框，在运行框输入lusrmgr.msc本地用户和组用户

修改或禁用系统默认账户administered和guest

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在

删除多余用户

d）应授予管理用户所需的最小权限，实现管理用户的权限分离

安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

开启审计功能

右键“我的电脑”管理工具服务

启动“WindowsTime服务”，并设置为自动

右键“我的电脑”管理工具事件查看器Windows日志

修改审计功能

Win+r打开命令输入框,在运行框输入secpol.msc本地安全策略本地策略审核策略

策略配置如下

b）审计记录应包括事件的日期和时间，用户、事件类型，事件是否成功及其他与审计相关的信息

Win+r打开命令输入框,在运行框输入eventvwr.msc本地安全策略本地策略审核策略

d）应对审计进程进行保护，防止未经授权的中断

Win+r打开命令输入框,在运行框输入secpol.msc本地安全策略本地策略用户权限

右键点击策略中的“管理审核和安全日志”，查看是否只有系统审计员或系统审计员所在的用户组

入侵防范

b）应关闭不需要的系统服务、默认共享和高危端口

应关闭不需要的系统服务

Win+r打开命令输入框,在运行框输入service.msc服务

关闭不必要的服务

如Alerter、RemoteRegistry、Servicce、Messsenger,TaskScheduler

关闭高危端口

Win+r打开命令输入框,在运行框输入cmd运行netstat-an

如TCP135、139、445、593、1025端口，UDP135、137、138、445端口，

一些流行病毒的后门端口，如TCP2745、3127、6129端口。

如下存在高危端口

方法一：

通过防火墙设置规则禁止

开始控制面板系统和安全Windows防火墙高级设置右键“入站规则”端口

方法二：

通过策略关闭

关闭445端口

Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netBT\Parameters

右键新建QWORD重命名为SMBDeviceEnabledWin+r打开命令输入框,在运行框输入services.msc服务禁用并停止Server服务

关闭TCP135

Win+r打开命令输入框,在运行框输入docmcnfg组件服务右键计算机属性默认属性不勾选在此计算机上启用分布式COM默认协议选中面向连接的TCP/IP，移除确定

关闭139

控制面板网络和internet网络共享中心更改适配器设置右键Ethernet0

属性TCP/IPv4，属性常规，高级WINS选中禁用TCP/IP上的NetBIOS

关闭共享

Win+r打开命令输入框,在运行框输入cmd运行netshare

如下存在共享文件，需关闭不必要的共享文件

禁止C$、D$、E$一类共享

Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

右键AutoShareServer修改数据数值为0

如果没有则创建右键空白处,新建DWORD（32位值）AutoShareServer右键修改

注：

修改注册表需重启才可生效

禁止ADMIN$

右键AutoShareWKs修改数据数值为0

如果没有则创建右键空白处,新建DWORD（32位值）AutoShareWKs右键修改

方法同上

禁止IPC$共享

Win+r打开命令输入框,在运行框输入Regedit注册表编辑器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lso右键restrictanonymous修改数据数值为1

如果不想改注册表，临时禁止

Win+r打开命令输入框,在运行框输入cmd

netshare#查看共享

netsharec$/del#禁止c盘共享

netshared$/del#禁止d盘共享

netshareipc$/del#禁止ipc盘共享

netshareadmin$/del#禁止admin盘共享

开启防火墙

开始控制面板系统和安全Windows防火墙