一:共享账号检查
配置名称:账号分配检查,避免共享账号存在
配置要求: 1、系统需按照实际用户分配账号; 2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等; 3、避免出现共享账号情况; 操作指南:参考配置操作(适用2000、2003) ”控制面板->管理工具->计算机管理->系统工具->本地用户和组”。 参考配置操作(适用2008 x64) ”管理工具->服务器管理->配置->本地用户和组”。 检查方法:查看已创建账户和账户组,与管理员确认有无无用的或共用的账户,如果每一账户都按需创建和划分账户组的则符合要求。 配置方法:根据系统实际使用需求,设定不同的账户和账户组,如:管理员用户,数据库用户,审计用户,来宾用户。 使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。
二:来宾账户检查
配置名称:禁用来宾账户
配置要求:禁用guest(来宾)用户
操作指南:参考配置操作(适用2000、2003) ”控制面板->管理工具->计算机管理”,在”系统工具->本地用户和组->Guest账户>属性->“常规”页 参考配置操作(适用2008 x64) ”管理工具->服务器管理”,在”配置->本地用户和组->Guest账户->属性-> “常规”页 检查方法:检查复选框”账户已禁用”项状态,勾选为已禁用来宾账号 配置方法:勾选复选框”账户已禁用”项,禁用来宾账号。 适用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64。
三:口令复杂度策略
配置名称:口令复杂度策略
配置要求:1、最短密码长度 12个字符; 2、启用本机组策略中密码必须符合复杂性要求的策略,即密码至少包含以下四种类别的字符中的三种: ? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 西方阿拉伯数字 0, 1, 2, … 9 ? 非字母数字字符,如标点符号,@, #, $, %, &, *等 操作指南:参考配置操作(适用2000、2003) 1、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性” 2、”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性” 参考配置操作(适用2008 x64) 1、”管理工具->本地安全策略->帐户策略->密码策略->密码长度最小值->属性” 2、”管理工具->本地安全策略->帐户策略->密码策略->密码必须符合复杂性要求->属性” 检查方法:1、检查最小值设置,大于等于12为符合要求; 2、检查单选框”已启动”状态,选中”已启动”为符合。 配置方法:1、将密码最小值设置为大于等于12; 2、将”密码必须符合复杂性要求”项,选中”已启动”。 使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64
四:口令最长生存期策略
配置名称:口令最长生存期策略
配置要求:要求操作系统的账户口令的最长生存期不长于90天。 操作指南:参考配置操作(适用2000、2003) ”控制面板->管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性” 参考配置操作(适用2008 x64) ”管理工具->本地安全策略->帐户策略->密码策略->密码最长存留期->属性” 检查方法:检查”密码最长使用期限”小于等于90为符合。 配置方法:检查”密码最长使用期限”小于等于90为符合。 使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64
五:远程关机授权
配置名称:本地安全设置中远程关机授权只指派给Administrators组 配置要求:在本地安全设置中从远端系统强制关机只指派给Administrators组。 操作指南:参考配置操作(适用2000、2003) ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从远端系统强制关机->属性” 参考配置操作(适用2008 x64) ”管理工具->本地安全策略->本地策略->用户权限分配->从远程系统强制关机->属性” 检查方法:查看”从远端系统强制关机”权限指派情况”,仅指派给 administrators,符合要求。 配置方法:设置为”只指派给Administrators组” 使用版本:Windows Server 2003 、Windows 2000 Server、Windows Server 2008 X64
六:系统关闭授权
配置名称:本地安全设置中关闭系统仅指派给Administrators组 配置要求:检测本地安全设置中关闭系统仅指派给Administrators组 操作指南:参考配置操作(适用2003) ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->关闭系统->属性” 参考配置操作(适用2008 x64) ”管理工具->本地安全策略->本地策略->用户权限分配->关闭系统->属性” 检查方法:查看”关闭系统”权限指派情况,内容为administrators,表示符合要求。 配置方法:设置为”只指派给Administrators组” 使用版本:Windows Server 2003、Windows Server 2008 X64
七:文件权限指派
配置名称:文件权限指派
配置要求:在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。 操作指南:参考配置操作(适用2003) ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->取得文件或其它 对象的所有权->属性” 参考配置操作(适用2008 x64) ”管理工具->本地安全策略->本地策略->用户权限分配->用户权利指派->取得文件或其它对象的所有权->属性” 检查方法:查看“取得文件或其它对象”的仅限指情况,指派给Administrators”为符合要求。 配置方法:设置为”只指派给Administrators组” 使用版本:Windows Server 2003、Windows Server 2008 X64
八:匿名权限限制
配置名称:网络连接中限制匿名用户连接权限
配置要求:在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
操作指南:参考配置操作(适用2003) ”控制面板->管理工具->本地安全策略->本地策略->用户权利指派->从网络访问此计算机->属性” 参考配置操作(适用2008 x64) ”管理工具->本地安全策