admin管理员组文章数量:1591210
1. 操作系统未配置合规口令复杂度策略和操作系统未配置合规口令更换周期策略;
处理办法:
控制面板-》管理工具-》本地安全策略-》账户策略-》密码策略(或者运行secpol.msc和本地策略组gpedit.msc),建议密码复杂度要求启用,长度最小值8位,最短使用期限>=1天,最长使用>=180,强制密码历史>=5
2. 未启用登录失败处理功能;处理办法:
运行输入gpedit.msc打开本地策略组-》计算机配置-》Windows设置-》安全设置-》账户策略-》账户锁定:
建议账户锁定>=5分钟,账户锁定阈值>=10次无效登录,重置账户锁定计数器>=5分钟之后
3. 操作系统未配置合规行远程管理策略;
控制面板-》计算机配置(或者运行gpedit.msc)-》管理模版-》Windows组件-》远程桌面服务-》远程桌面会话主机-》安全-》要求使用网络级别的身份验证对远程连接的用户进行身份验证-》设置开启;
4.操作系统未关闭多余的默认共享及其它文件共享
如:c$\ipc$......
处理办法:
控制面板-》网络和共享中心-》更改适配器-》找到当前连接的网络,去掉“Microsoft网络的文件和打印机共享”
服务-》Server-》右键属性-》启动类型选择禁用-》点击停止-》确定
5.操作系统未关闭不必要的端口如139,445,123,137,138;
Cmd命令输入netstat -ano查看启用的端口
控制面板-》系统和安全-》防火墙-》高级设置-》入站规则-》新建规则(还有一种办法是控制面板-管理工具-本地安全组策略-右键打开“IP安全策略 在本地计算机”-选择“创建IP安全策略”,比较复杂,可以参考https://blog.csdn/w294954902/article/details/101624222)
6.未重命名administrator账户;
控制面板-》计算机管理-》系统工具-》本地用户和组-》找到账号右键重命名
7.未禁用服务:Print Spooler、Alerter、Clipbook、Computer、Browser、Messenger 、Remote、Registry Service、Routing and Remote Access
- .未启用【关机:清除虚拟内存页面文件】
计算机配置-》Windows设置-》安全设置-》本地策略-》找到“关机:清除虚拟内存页面文件”-》右键属性设置为启用
- 未启用【交互式登陆:不显示最后的用户名】
计算机配置-》Windows设置-》安全设置-》本地策略-》找到“交互式登陆:不显示最后的用户名”-》右键属性设置为启用
- 操作系统未根据安全策略要求对特权用户进行分离,只配置了一个管理员账户。
计算机管理-》系统工具-》本地用户和组-》用户-》分别增加系统管理员,安全审计员和安全管理员
- 操作系统未配置合规安全审计策略。
本地策略组-》安全设置-》本地策略-》审核策略-》审核账户管理设置为“成功,失败”
12.操作系统未及时对系统补丁进行升级。
安装安全软件扫描补丁,如果服务器不能访问互联网则下载扫描结果对应的补丁即可
13.操作系统未安装网络版/企业版(国产)防恶意代码的杀毒软件。
安装360或者其他国产杀毒软件
14操作系统未配置限制终端登录策略。
计算机配置-》Windows设置-》安全设置-》本地策略-》审核策略-》审核登录事件-》设置为成功,失败
15未配置屏幕保护时间;
控制面板-》外观-》显示-》更改屏幕保护程序-》勾选在恢复时显示登录屏幕,屏幕选择空白或者其他桌面背景,等待>=10分钟
- 未限制单个用户的磁盘配额。
此电脑-》分别右键要分配的C、D、E等磁盘-》属性-》配额-》启用配额管理,将磁盘空间限制为XXMB,勾选选择该卷的配额记录选项下面的内容
- 17.防篡改
下载和安装安全狗服务器版,安全狗Apache版,安全狗IIS版
版权声明:本文标题:windows server2012安全测评整改操作系统配置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728111322a1145781.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论