Windows 服務器在部署的時候,除了要常規的要開啟防火牆,漏洞修復(必須處理)之外,而且設置一些用戶及密碼策略,也能夠增強服務器安全,
1.設置密碼使用期限策略:
在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\密碼策略,將密碼最長使用期限設置為30-180之間,建議值為90,將密碼最短使用期限設置為1-14之間,建議值為7
2.密碼復雜性配置:
在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\密碼策略,將密碼必須符合復雜性要求設置為已啟用,將密碼最小長度設置為8以上。
3. '強制密碼歷史'設置為5-24之間:
設置強制密碼歷史,防止重復使用最近使用過的密碼;在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\密碼策略,將強制密碼歷史設置為5-24之間
4.匿名賬戶訪問控制:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將網絡訪問中“Everyone權限應用於匿名用戶“設置為:已禁用,將“不允許SAM帳戶的匿名枚舉“設置為:已啟用,將“不允許SAM帳戶和共享的匿名枚舉”設置為:已啟用,將”允許匿名SID/名稱轉換“設置為:已禁用。
5.應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\審核策略,將全部審核策略配置為:成功,失敗。包括審核策略更改、審核對象訪問、審核進程跟蹤、審核目錄服務訪問、審核賬戶登陸事件、審核特權使用、審核系統事件、審核賬戶管理、審核登陸事件共九項。
6.配置賬戶鎖定策略:
配置賬戶鎖定策略,降低被爆破和猜測風險;在管理工具打開本地安全策略,打開路徑:安全設置\帳戶策略\賬戶鎖定策略。將賬戶鎖定閾值設置為3-8之間,建議值為5,輸錯5次密碼鎖定賬戶;然后將賬戶鎖定時間和重置賬戶鎖定計數器設置為10-30之間,建議值為15,賬戶鎖定時間為15分鍾。
7.配置安全選項賬戶策略:
配置安全選項賬戶策略,限制空密碼賬戶和禁用guest賬戶;在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將"賬戶:來賓賬戶狀態"設置為:已禁用;將"賬戶:使用空密碼的本地賬戶只允許控制台登陸"設置為:啟用。
8.密碼使用到期修改提醒:
在GP(組策略)中將以下路徑中設置為5~14:本地計算機策略\計算機配置\Windows 設置\安全設置\本地策略\安全選項\交互式登錄:提示用戶在過期前修改密碼
9.設置空閑會話斷開時間:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\安全選項。將Microsoft網絡服務器中的"暫停會話之前所需的空閑時間數量"設置為:5-30之間,建議值為15;將"登陸時間過期后斷開與客戶端的連接"設置為:已啟用