这是3级等保中windwos服务器(03和08)部分检查方法,剩下的检查项可通过询问的方式进行检查。
1.身份鉴别
1.1 登录或访问系统资源需要密码检查
运行 rundll32 netplwiz.dll,UsersRunDll
1.2 密码策略检查
运行 secpol.msc - 账户策略 - 密码策略
| 检查点 | 推荐值 |
|---|---|
| 密码必须符合复杂性要求 | 已启用 |
| 密码长度最小值 | 12个字符 |
| 密码最短使用期限 | 2天 |
| 密码最长使用期限 | 42天 |
| 强制密码历史 | 5个 |
运行 lusrmgr.msc
未勾选 密码永不过期
1.3 账户锁定策略检查
运行 secpol.msc - 账户策略 - 账户锁定策略
| 检查点 | 推荐值 |
|---|---|
| 账户锁定时间 | 30分钟 |
| 账户锁定阀值 | 30分钟 |
| 重置账户锁定计数器 | 5次 |
2.访问控制
2.1 用户最小授权检查
运行 secpol.msc - 本地策略 - 用户权限分配 - 管理审核和安全日志
2.2 重命名来宾和系统管理员账户检查
运行 secpol.msc - 本地策略 - 安全选项
2.3 检查telent服务是否开启
cmd - services.msc
3.安全审计
3.1 审核策略检查
运行 secpol.msc - 本地策略 - 审核策略
3.2 审计保护检查
运行 regedit - 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\
检查以下项,是否有“RestrictGuestAccess”键,且键值为1
- Application
- security
- system
4.入侵防范
4.1 系统补丁安装
cmd - systeminfo
或者
控制面板 - 程序和功能 - 已安装的更新
4.2 服务器角色和功能检查
控制面板 - 管理工具 - 服务器管理
4.3 关闭默认共享检查
cmd - compmgmt.msc
4.4 widnows defender 状态检查
控制面板 - 管理工具 - 服务器管理-添加 桌面体验
添加桌面体验后,就能在控制面板中看到 widnows defender (server 2003无此功能)
4.5 RDP空闲会话时间检查
cmd - gpedit.msc - 计算机配置 - 管理模版 - windows组件 - 远程桌面服务 - 远程桌面会话主机 - 会话时间限制
