windows与linux主机加固项.docx

主机加固Windows账号管理、认证授权账号管理缺省账户项目名称操作系统缺省账户要求项编号Windows-02-01-01 项目说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检测操作步骤进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：缺省帐户Administrator－属性Guest帐号-属性符合性判定依据缺省账户Administrator名称已更改。Guest帐号已停用。配置方法进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”。Administrator－属性－ 更改名称Guest帐号-属性－ 已停用实施风险业务系统直接利用Administrator账号管理需相应修改其账号。备注口令密码复杂度项目名称操作系统密码复杂度要求项编号Windows-02-02-01项目说明 最短密码长度 8个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种：? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”符合性判定依据“密码必须符合复杂性要求”选择“已启动”配置方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”。“密码必须符合复杂性要求”选择“已启动”设置如下策略策略默认设置推荐最低设置最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用实施风险风险较小备注密码历史项目名称操作系统密码历史要求项编号Windows-02-02-02项目说明 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看“密码最长存留期”符合性判定依据“密码最长存留期”设置不大于“90天”配置方法进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”。设置如下策略:策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住5个码密码最长期限42 天90 天密码最短期限0 天2 天实施风险业务系统直接利用的账号不适用密码最长90天期限备注帐户锁定策略项目名称操作系统账户锁定策略要求项编号Windows-02-02-03项目说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：查看“账户锁定阀值”设置符合性判定依据“账户锁定阀值”设置为小于或等于 6次配置方法参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“帐户策略-账户锁定策略”。设置如下策略：策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值06 次无效登录复位账户锁定计数器未定义30 分钟实施风险安全扫描检测暴力破解口令将导致账号锁定。备注授权远程关机项目名称操作系统远程关机策略要求项编号Windows-02-03-01项目说明 在本地安全设置中从远端系统强制关机只指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“从远端系统强制关机”设置符合性判定依据“从远端系统强制关机”设置为“只指派给Administrtors组”配置方法进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“从远端系统强制关机”设置为“只指派给Administrators组”。实施风险风险较小备注本地关机项目名称操作系统本地关机策略要求项编号Windows-02-03-02项目说明 在本地安全设置中关闭系统仅指派给Administrators组。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:查看“关闭系统”设置符合性判定依据“关闭系统”设置为“只指派给Administrators组”配置方法参考配置操作：进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”。“关闭系统”设置为“只指派给Administrators组”。实施风险风险较小备注用户权利指派项目名称操作系统用户权力指派策略要求项编号Windows-02-03-03项目说明 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测操作步骤进入“控制面板-管理工具-本地安全策略”，在“本地策略