[终端安全配置指南v1.4.docVIP

终端安全配置指南 一、基线配置 下表为基线配置的必选项，根据配置方法修改配置项 配置项 描述 配置方法 安全要求-设备-WINDOWS-配置-1 按照用户分配账号。根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”：根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户。 安全要求-设备-WINDOWS-配置-37 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”：“账户锁定阀值”设置为 6次 安全要求-设备-WINDOWS-配置-4 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码必须符合复杂性要求”选择“已启动” 安全要求-设备-WINDOWS-配置-35 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：“密码最长存留期”设置为“90天” 安全要求-设备-WINDOWS-配置-36 对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： “强制密码历史”设置为“记住5个密码” 安全要求-设备-WINDOWS-配置-5 在本地安全设置中从远端系统强制关机只指派给Administrators组。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“从远端系统强制关机”设置为“只指派给Administrators组” 安全要求-设备-WINDOWS-配置-6 在本地安全设置中关闭系统仅指派给Administrators组。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”:“关闭系统”设置为“只指派给Administrators组” 安全要求-设备-WINDOWS-配置-7 在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：“取得文件或其它对象的所有权”设置为“只指派给Administrators组” 安全要求-设备-WINDOWS-配置-8 在本地安全设置中配置指定授权用户允许本地登陆此计算机。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从本地登陆此计算机”设置为“指定授权用户” 安全要求-设备-WINDOWS-配置-9 在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”“从网络访问此计算机”设置为“指定授权用户” 安全要求-设备-WINDOWS-配置-38 设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。 开始-运行- 执行“ 控制面板-管理工具-本地安全策略-审核策略”审核登录事件，双击，设置为成功和失败都审核。 安全要求-设备-WINDOWS-配置-10 启用组策略中对Windows系统的审核策略更改，成功和失败都要审核。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中“审核策略更改”设置为“成功” 和“失败”都要审核 安全要求-设备-WINDOWS-配置-11 启用组策略中对Windows系统的审核对象访问，成功和失败都要审核。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中： “审核对象访问”设置为“成功”和“失败”都要审核 安全要求-设备-WINDOWS-配置-12 启用组策略中对Windows系统的审核目录服务访问，失败。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核目录服务器访问”设置为“成功” 和“失败”都要审核 安全要求-设备-WINDOWS-配置-13 启用组策略中对Windows系统的审核特权使用，成功和失败都要审核。 进入“控制面板-管理工具-本地安全策略”，在“本地策略-审核策略”中：“审核特权使用”设置为“成功” 和“失败”都要审核 安全要求-设备-WINDOWS-配置-14 启用组策略中对Windows系统的审核系统事件，成功和失败都要审核。 进入“控制面板-