WINDOWS基线要求及加固方法_windows基线加固

《YDT 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统  windows篇》 

一、账号

来宾帐户状态'策略是否禁用

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”：
Guest 帐号->属性－> 已停用

应按照不同用户分配不同账号

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”，根据系统要求设定不同的用户和组

删除或无关、过期账号

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”

重命名管理员帐户Administrator

1、参考配置操作
进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用
户和组”：
Administrator－>属性－> 更改名称

二、授权

本地远端系统，强制关机只指派给Administrators组

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“关闭系统”指定为Administrator组；将“从远端系统强制关机”指定为Administrator组；

本地安全设置中取得文件和其他对象的所有权仅指派给administrators

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“取得文件和其他对象的所有权”设置为只指派给Administrator组

本地安全设置中，只允许授权的账号进行本地、远程访问登录此计算机

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权限指派”：

将“从本地登录此计算机”设置为指定授权用户
将“从网络访问此计算机”设置为指定授权用户

三、口令

设置'密码长度最小值'

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“密码必须符合复杂性要求”选择“已启动”

账号锁定阈值'是否大于0并且小于等于6

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户
锁定策略”：
“账户锁定阀值”设置为 6 次
设置解锁阀值：30 分钟
补充说明：
设置不当可能导致账号大面积锁定，在域环境中应小心设置，
Administrator 账号本身不会被锁定。

记住密码数目' 设置

进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“强制密码历史”设置为“记住5 个密码”

账户口令的生存期不长于90天。

1、参考配置操作
进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码
策略”：
“密码最长存留期”设置为“90 天”

四、补丁

更新补丁

1、参考配置操作
安装最新的 Service Pack 补丁集。
例如截止到2010 年最新版本：Windows XP 的Service Pack 为SP3。
Windows2000 的Service Pack 为SP4,Windows 2003 的Service
Pack 为SP2

五、防护软件

开启防火墙策略

1、参考配置操作（以启动自带防火墙为例）
进入“控制面板－>网络连接－>本地连接”，在高级选项的设置中
启用Windows 防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
说明：分为服务器和操作终端两种情况：
服务器该项为可选，操作终端该项为必选

六、防病毒软件

安装防病毒软件，并及时更新

安装360或其他企业杀毒软件

七、日志安全要求

审核系统登陆事件'设置为成功和失败

1、参考配置操作
开始->运行-> 执行“ 控制面板->管理工具->本地安全策略->审核
策略”
审核登录事件，双击，设置为成功和失败都审核。

审核登陆事件'设置为成功和失败

1、参考配置操作
对审核策略进行检查：
开始-运行-gpedit.msc
计算机配置-Windows 设置-安全设置-本地策略-审核策略
以下审核是必须开启的，其他的可以根据需要增加：

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/羊村懒王/article/detail/439188