1.操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换
配置方法:运行"gpedit.msc"计算机配置->Windows设置->安全设置>帐户策略->密码策略:
密码必须符合复杂性要求->启用
密码长度最小值->8
密码最长使用期限->180天
密码最短使用期限->1天
强制密码历史->5次
2.应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施
配置方法:运行"gpedit.msc"计算机配置->Windows设置->安全设置>帐户策略->账户锁定策略应为:
复位帐户锁定计数器->3分钟
帐户锁定时间->5分钟
帐户锁定阀值->5次无效登录。
3.当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听
配置方法:系统属性->远程桌面选中"只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)";
管理工具->管理服务配置,在右边"RDP-Tcp"的"属性"中的"常规"选项卡中启用了安全层参数;远程终端(5.2以上才有)远行"mstsc"在其"安全"选项卡中启用"要求身份验证"。
4.应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
配置方法:查看系统中账号名称是否唯一:运行"compmgmt.msc"在计算机管理->本地用户和组->用户中检查相关项目
5.检查主要服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除
配置方法:
(1)查看系统关键目录(C盘、应用软件安装目录、数据文件存放目录等)everyone用户是否具有写入权限;cmd.exe administrators和system组完全控制权限,其他用户没有权限。
(2)使用命令#net share查看是否开启默认共享或者其它文件共享
(3)运行#compmgmt.msc 查看多余服务是否已禁用:
Alerter
Clipbook
Computer Browser
Messenger
Remote Registry Service
Routing and Remote Access
Simple Mail Trasfer Protocol(SMTP) (可选)
Simple Network Management Protocol(SNMP) Service (可选)
Simple Network Management Protocol(SNMP) Trap (可选)
Telnet
World Wide Web Publishing Service (可选)
Print Spooler
Automatic Updates
Terminal Service
6.应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限
配置方法:查看管理用户是否分配所完成工作的最小权限,运行"gpedit.msc"在计算机配置->Windows设置->安全设置->本地策略->用户权利指派中的相关项目:"从远端系统强制关机、关闭系统"应只有Administrators组
7.应实现操作系统和数据库系统特权用户的权限分离
配置方法:查看系统中特权用户的权限是否进行分离:运行"compmgmt.msc"在计算机管理->本地用户和组->用户中检查相关项目;并分别使用不同用户登陆测试用户权限是否分离
8.应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令
配置方法:、查看系统中是否存在默认账户和默认账户的权限:运行"compmgmt.msc"在计算机管理->本地用户和组->用户中检查相关项目;管理员默认帐号名administrator需要重新命名