windows與linux主機加固項

1主機加固Windows賬號管理、認(rèn)證授權(quán)賬號1.1.1.1.1管理缺省賬戶項目名稱操作系統(tǒng)缺省賬戶要求項編號Windows-02-01-01項目說明對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。檢測操作步驟進(jìn)入“控制面板叩管理工具叩計算機管理”，在“系統(tǒng)工具田本地用戶和組”：缺省帳戶Administrator一＞屬性Guest帳號叩屬性符合性判定依據(jù)缺省賬戶Administrator名稱已更改。Guest帳號已停用。配置方法進(jìn)入“控制面板叩管理工具叩計算機管理”，在“系統(tǒng)工具田本地用戶和組”。Administrator一＞屬性一口更改名稱Guest帳號叩屬性一口已停用實施風(fēng)險業(yè)務(wù)系統(tǒng)直接利用Administrator賬號管理需相應(yīng)修改其賬號。備注口令1.1.1.2.1密碼復(fù)雜度項目名稱操作系統(tǒng)密碼復(fù)雜度要求項編號Windows-02-02-01項目說明最短密碼長度8個字符，啟用本機組策略中密碼必須符合復(fù)雜性要求的策略。即密碼至少包含以下四種類別的字符中的三種：英語大寫字母A,B,C,…Z英語小寫字母a,b,c,…z西方阿拉伯?dāng)?shù)字0,1,2,?9非字母數(shù)字字符，如標(biāo)點符號，@,#,$,%,&,*等檢測操作步進(jìn)入“控制面板叩管理工具-口本地安全策略”，在“帳戶策略叩密碼策略”：

驟查看是否“密碼必須符合復(fù)雜性要求”選擇“已啟動”符合性判定依據(jù)“密碼必須符合復(fù)雜性要求”選擇“已啟動”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”?！懊艽a必須符合復(fù)雜性要求”選擇“已啟動”設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置最短密碼長度個字符個字符密碼必須符合復(fù)雜性要求禁用啟用為域中所有用戶使用可還原的加密來儲存密碼禁用禁用實施風(fēng)險風(fēng)險較小備注1.1.1.2.2密碼歷史項目名稱操作系統(tǒng)密碼歷史要求項編號項目說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，賬戶口令的生存期不長于天。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”：查看“密碼最長存留期”符合性判定依據(jù)“密碼最長存留期”設(shè)置不大于“天”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略密碼策略”。設(shè)置如下策略策略默認(rèn)設(shè)置推薦最低設(shè)置強制執(zhí)行密碼歷史記錄記住個密碼記住個碼密碼最長期限天天密碼最短期限天天實施風(fēng)險業(yè)務(wù)系統(tǒng)直接利用的賬號不適用密碼最長天期限備注1.1.2帳戶鎖定策略項目名稱操作系統(tǒng)賬戶鎖定策略要求項

編號項目說明對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過次（不含次），鎖定該用戶使用的賬號。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略帳戶鎖定策略”：查看“賬戶鎖定閥值”設(shè)置符合性判定依據(jù)“賬戶鎖定閥值”設(shè)置為小于或等于次配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“帳戶策略賬戶鎖定策略”。設(shè)置如下策略：策略默認(rèn)設(shè)置推薦最低設(shè)置賬戶鎖定時間未定義分鐘賬戶鎖定閾值次無效登錄復(fù)位賬戶鎖定計數(shù)器未定義分鐘實施風(fēng)險安全掃描檢測暴力破解口令將導(dǎo)致賬號鎖定。備注1.1.2.1授權(quán)1.1.2.1.1遠(yuǎn)程關(guān)機項目名稱操作系統(tǒng)遠(yuǎn)程關(guān)機策略要求項編號項目說明在本地安全設(shè)置中從遠(yuǎn)端系統(tǒng)強制關(guān)機只指派給組。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”查看“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置符合性判定依據(jù)“從遠(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給組”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”?！皬倪h(yuǎn)端系統(tǒng)強制關(guān)機”設(shè)置為“只指派給組”。實施風(fēng)險風(fēng)險較小備注1.1.2.1.2本地關(guān)機項目名稱操作系統(tǒng)本地關(guān)機策略要求項

編號項目說明在本地安全設(shè)置中關(guān)閉系統(tǒng)僅指派給組。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”查看“關(guān)閉系統(tǒng)”設(shè)置符合性判定依據(jù)“關(guān)閉系統(tǒng)”設(shè)置為“只指派給組”配置方法參考配置操作：進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”。“關(guān)閉系統(tǒng)”設(shè)置為“只指派給組”。實施風(fēng)險風(fēng)險較小備注1.1.2.1.3用戶權(quán)利指派項目名稱操作系統(tǒng)用戶權(quán)力指派策略要求項編號項目說明在本地安全設(shè)置中取得文件或其它對象的所有權(quán)僅指派給。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”：查看是否“取得文件或其它對象的所有權(quán)”設(shè)置符合性判定依據(jù)“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給組”配置方法進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略用戶權(quán)利指派”?！叭〉梦募蚱渌鼘ο蟮乃袡?quán)”設(shè)置為“只指派給組”。實施風(fēng)險風(fēng)險較小備注1.1.3日志配置操作1.1.3.1日志配置1.1.3.1.1審核登錄項目名稱操作系統(tǒng)審核登錄策略要求項編號項目說明設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的地址。檢測操作步開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”

驟審核登錄事件。符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核登錄事件，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.2審核策略更改項目名稱操作系統(tǒng)審核策略更改要求項編號項目說明啟用組策略中對系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中查看“審核策略更改”設(shè)置。符合性判定依據(jù)“審核策略更改”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核策略更改，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.3審核對象訪問項目名稱操作系統(tǒng)審核對象訪問要求項編號項目說明啟用組策略中對系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核對象訪問”設(shè)置。符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核對象訪問，雙擊，設(shè)置為成功和失敗都審核。

實施風(fēng)險風(fēng)險較小備注1.1.3.1.4審核事件目錄服務(wù)器訪問項目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略要求項編號項目說明啟用組策略中對系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置。符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核目錄服務(wù)器訪問，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.5審核特權(quán)使用項目名稱操作系統(tǒng)審核特權(quán)使用策略要求項編號項目說明啟用組策略中對系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核特權(quán)使用”設(shè)置。符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核特權(quán)使用，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.6審核系統(tǒng)事件項目名稱操作系統(tǒng)審核系統(tǒng)事件策略要求項編號

項目說明啟用組策略中對系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核系統(tǒng)事件，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.7審核賬戶管理項目名稱操作系統(tǒng)審核賬戶管理策略要求項編號項目說明啟用組策略中對系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核賬戶管理”設(shè)置。符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功”和“失敗”都要審核。配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核賬戶管理，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.8審核過程追蹤項目名稱操作系統(tǒng)審核過程追蹤策略要求項編號項目說明啟用組策略中對系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進(jìn)入“控制面板管理工具本地安全策略”，在“本地策略審核策略”中：查看“審核過程追蹤”設(shè)置。符合性判定依據(jù)“審核過程追蹤”設(shè)置為“失敗”需要審核。

配置方法參考配置操作：開始運行執(zhí)行“控制面板管理工具本地安全策略審核策略”審核過程追蹤，雙擊，設(shè)置為成功和失敗都審核。實施風(fēng)險風(fēng)險較小備注1.1.3.1.9日志文件大小項目名稱操作系統(tǒng)日志容量要求項編號項目說明設(shè)置應(yīng)用日志文件大小至少為，設(shè)置當(dāng)達(dá)到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小以及設(shè)置當(dāng)達(dá)到最大的日志尺寸時的相應(yīng)策略。符合性判定依據(jù)“應(yīng)用日志”“系統(tǒng)日志”“安全日志”屬性中的日志大小設(shè)置不小于“”設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”配置方法參考配置操作：進(jìn)入“控制面板管理工具事件查看器”，在“事件查看器（本地）”中：“應(yīng)用日志”屬性中的日志大小設(shè)置不小于“”設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改寫事件”“系統(tǒng)日志”屬性中的日志大小設(shè)置不小于"''設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改"件”“安全日志”屬性中的日志大小設(shè)置不小于"''設(shè)置當(dāng)達(dá)到最大的日志尺寸時，“按需要改"件”實施風(fēng)險需查看盤剩余空間。備注IP協(xié)議安全配置IP協(xié)議啟用SYN攻擊保護項目名稱操作系統(tǒng)攻擊保護要求項編號項目說明啟用攻擊保護；指定觸發(fā)洪水攻擊保護所必須超過的連接請求

數(shù)閥值為5指定處于狀態(tài)的連接數(shù)的閾值為0指定處于至少已發(fā)送一次重傳的狀態(tài)中