等保2.0整改记录
等保2.0整改记录
不言仙声系统密码策略设置如下:
MinimumPasswordAge = 0 //密码最短留存期
MaximumPasswordAge = 42 //密码最长留存期
MinimumPasswordLength = 0 //密码长度最小值
PasswordComplexity = 0 //密码必须符合复杂性要求
PasswordHistorySize = 0 //强制密码历史 N个记住的密码
LockoutBadCount = 5 //账户锁定阈值
ResetLockoutCount = 30 //账户锁定时间
LockoutDuration = 30 //复位账户锁定计数器
RequireLogonToChangePassword = 0 *下次登录必须更改密码
ForceLogoffWhenHourExpire = 0 *强制过期
NewAdministratorName = “Administrator” *管理员账户名称
NewGuestName = “Guest” *来宾账户名称
ClearTextPassword = 0 //用可还原的加密来储存密码
密码必须符合复杂度要求 (启用)
密码长度最小值(8个字符)
密码最短使用期限(1天)
密码最长使用期限(90天)
强制密码历史(24个记住密码)
用可还原的加密来储存密码 (已禁用)
系统帐户未勾选密码永不过期。
整改方式如下:
Win+R,然后输入gpedit.msc进入本地组策略编辑器,然后根据计算机配置——>Windows设置——>安全设置——>账户策略——>密码策略下面依次更改。
配置账户锁定策略:
1)应在账户策略下的账户锁定策略中配置:
账户锁定阈值 5次无效登录
账户锁定时间为30分钟
重置账户锁定时间 30分钟之后
2)启用屏幕保护程序,等待时间30分钟,并勾选“在恢复时显示登录屏幕”;
3)设置“活动但空闲的远程桌面服务会话时间的限制”10分钟。
整改方式如下:
1)Win+R,然后输入gpedit.msc进入本地组策略编辑器,然后根据计算机配置——>Windows设置——>安全设置——>账户策略——>账户锁定策略 下面依次更改。
2)Win+R,然后输入control进入控制面板,
3)Win+R,然后输入gpedit.msc进入本地组策略编辑器,然后根据计算机配置——>管理模板——>Windows组件——>远程桌面服务——>远程桌面会话主机——>会话时间限制下修改。
设置审核策略:
建议设置审计策略为:
[Event Audit]
AuditSystemEvents = 3
AuditLogonEvents = 3
AuditObjectAccess = 3
AuditPrivilegeUse = 3
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 3
AuditDSAccess = 3
AuditAccountLogon = 3
审核策略更改:成功、失败
审核登录事件:成功、失败
审核对象访问:成功、失败
审核进程跟踪:成功、失败
审核目录服务访问:成功、失败
审核特权使用:成功、失败
审核系统事件:成功、失败
审核账户登录事件:成功、失败
审核账户管理:成功、失败
整改方式如下:
Win+R,然后输入gpedit.msc进入本地组策略编辑器,然后根据计算机配置——>Windows设置——>安全设置——>本地策略——>审核策略 下面依次更改。
对审计记录进行保护,并定期备份
建议只允许审计管理员对审计记录进行读取操作,其他用户无权操作审计记录。
1)修改日志默认存放位置
2)修改最大日志文件大小为20MB
3)勾选’日志满时将其存档,不覆盖事件’
4)定期对审计日志进行备份。备份记录应保留半年以上
整改方式如下:
Win+R,然后输入eventvwr进入事件查看器,进入Windows日志,下面一般由五个东西,其中,应用程序、安全、系统是你要做的。依次右键,属性,在打开的选项卡里面直接更改日志路径即可将审核日志文件存入其它位置而不是默认位置。
有些系统特殊点,需要去注册表更改。首先,Win+R,然后输入regedit打开注册表编辑器,进入 计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog 目录,下面有Application(应用程序)、Security(安全)、System(系统),点进去更改File为新的位置即可,这种可能要重启才会生效?
注意:不管是哪种,别忘了最后那个文件名,比如,Application.evtx 这个,在路径后带这个可以自动在路径下生成新的审计日志文件。
关闭默认共享, 限制或禁用高危端口135、445
关闭默认共享我是这样做的,不知道对不对:服务里面直接禁用server服务。禁用端口就简单了,防火墙高级策略里拒绝端口就好。
整改方式如下:
Win+R,然后输入services.msc打开服务,找到server,右键属性,启动类型改为禁用,应用、确定。
打开防火墙,点击左边高级防火墙设置,点击入站规则, 右边新建规则,选择端口,输入端口就行,操作选择阻止端口。
三权分立
目标:
管理员账号(root):拥有所有操作权限
普通系统账号:具有基本的操作权限
审计账号:对各类日志及文件只具有查看权限
实现步骤:
1,root管理员系统安装时产生,不过多阐述
2, 普通系统账号创建
1 | [root@localhost ~]# useradd test(用户名) |
普通账号权限具体需要根据实际需求设置,一般已有的权限可以满足需求(通过sudo授权控制权限)
3,审计账号:审计账号只用于审计功能,其权限可在普通账号基础上进行修改
1) 创建审计账号shenji(方法同普通账号,如上图)
2) 修改审计账号权限使其只具有查看功能
1 | [root@localhost ~]# setfacl -m u:shenji:rx /* (设置权限控制) |
给shenji用户授权,修改/etc/sudoers文件,在文件最下边添加如下内容
1 | shenji ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head |
至此设置完成,审计用户shenji此时只有查看权限,查看命令如下:
1 | [shenji@localhost ~]$ sudo tail /var/log/messages |
未配置口令验证函数
启用口令验证函数:
1)建议密码8位上,数字、字母、符号组合;
2)建议密码每季度更改;
3)10次登录失败锁定帐户1天。
DEFAULT FAILED_LOGIN_ATTEMPTS 10(连续登陆失败次数)
DEFAULT PASSWORD_LIFE_TIME 90 (密码最长使用期限)
DEFAULT PASSWORD_REUSE_TIME 1 (密码最短使用期限)
DEFAULT PASSWORD_REUSE_MAX 5 (强制密码历史)
DEFAULT PASSWORD_VERIFY_FUNCTION VERIFY_FUNCTION (口令复杂度校验函数)
DEFAULT PASSWORD_LOCK_TIME 1 (密码锁定天数)
DEFAULT PASSWORD_GRACE_TIME 7 口令修改的宽限期(天)
select limit from dba_profiles where RESOURCE_NAME=’PASSWORD_VERIFY_FUNCTION’ and profile=’DEFAULT’;
@?/rdbms/admin/utlpwdmg.sql
等待编辑