一 身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
1.输入netplwiz命令
查看是否勾选“要使用本计算机,用户必须输入用户名和密码”。
2.控制面板(输入control) 屏保
搜索屏幕保护,设置保护。
3.输入lusrmgr.msc 用户认证
查看有哪些用户,系统默认用户adminstrator和Guest,
Guest默认禁用,administrator不存在默认口令。点击用户查看是否勾选密码永不过期等信息。
4输入secpol.msc 密码安全
1.密码安全策略---- a.开启复杂度 b.密码期限 90天
2 账户安全锁定------a.5次无效登录
密码长度最小值大于等于8个字符。
强制密码历史的策略值大于等于10
5.输入gpedit.msc 本地策略
本地策略-windows设置--安全设置--审核策略---策略更改--登录事件---进程跟踪--成功and失败
本地策略--》用户权限分配 :查看用户权限是否分配合理,一般都是默认。主要注意管理审核和安全日志是否只有特定的人员有权限。
只用 特权使用---目录服务访问---失败
本地策略 ----安全选项。打开选项“Microsoft 网络服务器:暂停会话前所需的空闲时间数量”的属性页。设置“中断连接如果空闲时间超过”小于等于15分钟。
管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接
6.输入compmgmt.msc 共享
进入计算机管理
事件查看器--应用程序--日志属性---2048000
共享文件夹----共享---C盘停止共享
二访问控制
a)应对登录的用户分配账户和权限
访问重要文件例如系统盘的Program文件夹,右键属性--》安全查看各个用户的权限分配是否合理,一般默认合理。
b)应重命名或删除默认账户,修改默认账户的默认口令
应授予管理用户所需的最小权限,实现管理用户的权限分离
三 安全审计
通过输入eventvwr.msc--》Windows日志
包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息
四、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序
通过在运行中输入dcomcnfg-》组件服务-》计算机-》我的电脑
核查并访谈管理员是否存在多余的组件
通过运行-》appwiz.cpl
核查并访谈是否装有多余的服务
b)应关闭不需要的系统服务、默认共享和高危端口 通过运行--》services.msc,查看系统服务,查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。此处也可以查看telnet 服务是否开启。
通过运行--》services.msc,查看系统服务,查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。此处也可以查看telnet 服务是否开启。
通过运行--》cmd--》输入net share,查看共享开启情况
通过运行--》cmd--》netstat -an,查看高危端口开启情况(例如135,137,138,139,445,3389等)
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
通过运行-》firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-In)-》作用域(默认未配置),先查看主机防火墙是否开启。
通过运行--》appwiz.cpl--》查看已安装更新,查看补丁是否有更新,是否为最新。
安全 安装火绒
日志备份 发送到日志服务器 Kiwi Syslog Server Console
剩余信息保护
a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
本地策略--》安全选项,查看是否启用“不显示最后的用户名”策略。
b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
本地策略--》安全选项,查看是否启用“关机:清除虚拟内存页面文件”策略。
主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc
-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl