等保测评的安全策略-服务器windows安全设置
主机安全
服务器windows
身份鉴别
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
整改方法:
修改配置策略:
1、查看控制面板—管理工具—本地安全策略—账户策略—密码策略;
2、查看控制面板—管理工具—计算机管理—系统工具—本地用户和组—用户—右键—属性—是否勾选“密码永不过期”。
建议修改值:
(一)策略修改
1、密码必须符合复杂性要求;已启用
2、密码长度最小值;12个字符
3、密码最长使用期限;42天
4、密码最短使用期限;2天
5、强制密码历史;5个记住密码
6、密码永不过期属性。未勾选“密码永不过期”
(二)使用情况
口令长度至少12位以上,由数字、特殊字符、字母(区分大小写)组成,每三个月定期进行修改
f)应采用两种或两种以上的组合的鉴别技术对管理用户进行身份鉴别。
•整改方法:
•验证检查:
1、采用令牌、USB-KEY或智能卡等身份认证技术手段对用户进行身份鉴别
建议整改:
部署双因素产品或者堡垒机
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
•整改方法:
•验证检查:
是否能提供用户权限对照表,设置的用户权限是否与权限表一致。
建议整改:
完善用户权限表(纸质版或电子版)
•c)应实现操作系统和数据库系统特权用户的权限分离;
•整改方法:
•验证检查:
1、询问操作系统管理员与数据库管理员是否为同一人;
2、检查操作系统管理员与数据库管理员是否使用不同的账户登录。
建议整改:
1、操作系统管理员与数据库管理员不为同一人;
2、操作系统管理员与数据库管理员使用不同的账户登录。
•f)应对重要信息资源设置敏感标记;
•整改方法:
•验证检查:
1、询问主机管理员是否定义了主机中的重要信息资源;
2、询问主机管理员,是否为主机内的重要信息设置敏感标记。
建议整改:
暂无
•g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
•整改方法:
•验证检查:
1、询问主机管理员是否定义了敏感标记资源的访问策略;
2、查看有敏感标记的重要信息资源是否依据访问策略设置了严格的访问权限。
建议整改:
暂无
安全审计
•a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
•b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
•d)应能够根据记录数据进行分析,并生成审计报表;
•F)应保护审计记录,避免受到未预期的删除、修改或覆盖等。