Windows系统等保检测整改相关内容

1、应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

建议：在“组策略-计算机配置-Windows配置-安全设置-本地策略-安全选项”中恢复控制台：允许自动管理登录，已禁用。在系统界面依次打开“控制面板—管理工具—本地安全策略—账户策略—密码策略”中：1）已启用；2）8个字符；3）30天；4）90天；5）5个记住的密码；6）未勾选“密码永不过期

2、应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

建议：在系统界面依次打开“控制面板—管理工具—本地安全策略—账户策略—账户锁定策略”中：1）30分钟；2）5次无效登录；3）5分钟之后。右键点击桌面-个性化-屏幕保护程序，查看“等待时间”为10分钟，以及勾选了“在恢复时显示登录屏幕”选项；

3、应对登录的用户分配账户和权限

建议：设置不同权限的账户，打开“控制面板—管理工具—计算机管理—本地用户和组”查看到当前xx用户属于xx组，具有管理权限，xx用户属于audit组，具有查看日志的权限，“控制面板—管理工具—本地安全策略-本地策略-用户权限分配-管理审核和安全日志-添加用户和组，将创建的审计账户添加为eventlog readers组，去掉Administrators组。（添加审计管理员）

4、应关闭不需要的系统服务、默认共享和高危端口

建议：关闭默认共享和高危端口（135.137.138.139.445）

5、应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

建议：开启安全审计功能，审核策略全部开启：

   1）审核策略更改：成功，失败

   2）审核登录事件：成功，失败

   3）审核对象访问：成功，失败

   4）审核过程跟踪：成功，失败

   5）审核目录服务访问：成功，失败

   6）审核特权使用：成功，失败

   7）审核系统事件：成功，失败

   8）审核帐户登录事件：成功，失败

   9）审核帐户管理：成功，失败

6、当进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听

建议：在“运行”中输入“gpedit.msc”,打开“组策略管理器-管理模板-windows组件-远程桌面服务-远程桌面会话主机-安全”，在“远程（RDP）连接要求使用指定的安全层为：已启用，在“安全层”中选择了“RDP”；在“设置客户端连接加密级别”中已启用了高级别的加密。可以防止鉴别信息在传输过程中被窃听