Window s2012 R2 服务器安全设置指南 2 0 1 9 年 1 月 目录 开始菜单里,管理工具; ...................................................................................................................... 3 选【本地安全策略】; .......................................................................................................................... 4 1 、操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;口令长度不得小于 8 位,且为字母、数字或特殊字符的混合组合,用户名和口令不得相同,禁止明文存储口令;(增强) 开始菜单里,管理工具; 选【本地安全策略】; 【账户策略】--> 【密码策略】 2 、应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;并限制同一用户连续失败登录次数;(增强)建议操作系统启用登录失败处理功能,设置结束会话、限制非法登录次数和自动退出等,限制同一用户连续失败登录次数。 【账户策略】--> 【账户锁定策略】 3 、当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;建议使用加密协议进行远程管理。 措施:否,需要国际认证发证机构,发放证书,才可以进行相关设置。 4、有 SQL 数据库,可以直接用 w indow s 账户登录,未实现权限分离;建议禁用操作系统账户登录 SQl 数据库; 措施:在安装 sql 数据库时,用户就是实现操作系统和数据库系统特权用户的权限分离; 5、应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;建议禁用 Guest 账户,修改账户默认口令,重命名系统默认账户。 6 、应及时删除多余的、过期的账户,避免共享账户的存在。 建议专人专户,并设置合理的权限。 措施:否,应用程序安装在特定的用户下,不能针对不同的用户。 7 、审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统重要安全相关事件; 建议配置合理的审计策略。 8 、操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 建议禁用默认共享,询问厂家是否可以关闭不使用的端口与服务。 措施:否,应用程序为B/S 架构的,不能关闭特定的端口,比如TCP80(Web服务)。 9 、应支持防恶意代码的统一管理。 建议安装防恶...