等级保护主机加固配置内容.docx
《等级保护主机加固配置内容.docx》由会员分享,可在线阅读,更多相关《等级保护主机加固配置内容.docx(2页珍藏版)》请在冰豆网上搜索。
windows加固配置内容
编号
检查点
安全配置信息
结果
1
设置BIOS管理员密码
加固方式:
建议设置BISO开机密码
参考操作步骤:
首先在开机时进入BIOS,按“F12”进入BIOS界面,选择“Security”菜单下的“SetAdministratorPassword”设置开启密码(此密码需满足复杂度要求,8位以上,字母+数字组合);按“F10”保存重启
2
使用用户名/密码对登录用户进行身份鉴别
加固方式:
建议设置登录操作系统的账号/密码
参考操作步骤:
设置登录操作系统的账号/密码,且密码需满足复杂度要求,至少8位,至少由字母、数字、特殊字符中的任意两种组合
3
主机开启“密码必须符合复杂性要求”
加固方式:
建议开启密码复杂度要求,最少8个字符,包含大小写字母,数字以及特殊字符,密码保存周期为180天。
参考操作步骤:
运行“gpeit.msc”计算机配置->Windows设置->安全设置>帐户策略->密码策略:
密码必须符合复杂性要求->启用
密码长度最小值->8
密码最长使用期限(可选)->180天
密码最短使用期限->1天
强制密码历史->5次
4
主机开启登录失败处理功能
加固方式:
建议开启登录失败处理功能,5次密码验证失败锁定系统5min。
参考操作步骤:
运行“gpeit.msc”计算机配置->Windows设置->安全设置>帐户策略->账户锁定策略:
复位帐户锁定计数器->3分钟
帐户锁定时间->5分钟
帐户锁定阀值->5次无效登录”
5
禁止开启默认共享及禁用多余的服务
加固方式:
建议禁止开启C、D等默认共享,禁用系统多余服务Alerter、Clipbook
ComputerBrowser、RemoteRegistryService、RoutingandRemoteAccess、PrintSpooler、TerminalService(若不需要远程桌面进行管理)
参考操作步骤:
运行“compmgmt.msc”在计算机管理->服务和应用程序->找到相关服务->将服务停止,并将启动类型设置为“禁止”;
6
应及时删除多余的、过期的帐户,避免共享帐户的存在
加固方式:
建议删除或禁用系统多余的、过期的账号。
参考操作步骤:
运行“compmgmt.msc”在计算机管理->本地用户和组->用户:
禁用guest、internet来宾帐户等多余帐户
7
主机审计记录用户登录行为,对系统相关安全进行审计
加固方式:
建议开启全部审计日志功能,包括成功失败的审计
参考操作步骤:
运行“gpedit.msc”在计算机配置->Windows设置->安全设置->本地策略->审核策略,建议至少配置为:
审核帐号登录事件(成功,失败)
审核帐号管理(成功,失败)
审核目录服务访问(没有定义)
审核登录事件(成功,失败)
审核对象访问(成功,失败)
审核策略更改(成功)
审核特权使用(成功,失败)
审核过程跟踪(成功,失败)
审核系统事件(成功)
8
应保护审计记录,避免受到未预期的删除、修改或覆盖等。
加固方式:
建议日志最大容量满足要求:
应用日志50M-1024M、安全日志50M-1024M、系统日志50M-1024M;日志要求保存2个月以上
参考操作步骤:
运行“compmgmt.msc”在计算机管理->事件查看器–>Windows日志:
打开应用程序、安全、系统日志的属性->日志最大大小设置为:
50-100M,选择“按需要覆盖事件”
9
根据安全策略设置登录终端的操作超时锁定;
加固方式:
建立设置操作超时锁定时间,及屏保时间
参考操作步骤:
运行“gpedit.msc”检查计算机配置>管理模板>Windows组件>终端服务>会话,启用“为断开的会话设置时间限制”;屏幕保护时间为5-10分钟
升级会员 