一、安全通信网络-通信传输
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
b)应采用密码技术保证通信过程中数据的保密性。
安全设备及应用使用https协议进行数据传输,linux服务器使用ssh协议进行通信传输,windows服务器需开启使用RDP-SSL,数据库RDS采用密码技术保证传输过程中的保密性。
开启RDP-SSL方法:
打开【运行】框 -> 输入命令"gpedit.msc" -> 【计算机配置】-> 【管理模板】 -> 【windows 组件】-> 【远程桌面服务】-> 【远程桌面会话主机】-> 【安全】-> 远程(RDP)连接要求使用指定的安全层,然后改为“已启用”即可。
二、安全计算环境-服务器-身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1、打开【运行】框 -> 输入命令"gpedit.msc" -> 【计算机配置】-> 【Windows设置】-> 【安全设置】-> 【账号策略】-> 【密码】。可参考截图设置密码策略
2、点击【开始】->【管理工具】->【计算机管理】->【本地用户和组】->双击修改administrator后修改账户属性取消勾选密码永不过期
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
1、【控制面板】 -> 【外观】-> 【显示】->【屏幕保护程序设置】
勾选“在恢复时显示登录屏幕”,并设置相应等待时间
2、打开【运行】框 -> 输入命令"gpedit.msc" ->【计算机配置】->【windows设置】->【安全设置】->【账户策略】->【密码策略】。可参考截图设置账户锁定时间策略
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
在安全设置中开启RDP-SSL协议对鉴别数据进行加密传输。操作步骤可参考(一、安全通信网络-通信传输)
打开【运行】框 -> 输入命令"gpedit.msc" -> 【计算机配置】-> 【管理模板】 -> 【windows 组件】-> 【远程桌面服务】-> 【远程桌面会话主机】-> 【安全】-> 远程(RDP)连接要求使用指定的安全层,然后改为“已启用”即可。
三、安全计算环境-服务器-安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
点击【开始】->【管理工具】->【本地安全策略】->【本地策略】->【审核策略】,按照图示配置相关策略。
四、安全计算环境-服务器-入侵防范
b)应关闭不需要的系统服务、默认共享和高危端口;
处理解决:应关闭不需要的135、445高危端口。
1、查看是否关闭高危端口:netstat -na
2、点击【开始】->【管理工具】->【高级安全Windows防火墙】,按照下方操作配置相关策略。
.1 点击入站规则,点击右侧的新建规则。
.2 点击选择【端口】,点击下一步。
.3 在【特定本地端口】输入需要关闭的135,445端口号,然后点击下一步。
.4 勾选阻止连接,然后点击下一步。
.5 点击下一步后,三个选项全部勾选,点击下一步。
.6 输入名称,然后点击完成。