windows版本为 windows server 2012

a) 测评内容：

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b) 整改建议：

建议身份密码登录，身份标识具有唯一性，身份鉴别信息具有复杂度要求，密码长度最少为8位，密码由数字、字母大小写、特殊符号组成、并设置定期更换，更换时间最长为90天。

c) 整改过程：

1、打开->本地安全策略->账户策略->密码策略。设置如下：

2、密码需要定期更换。查看命令如下：

a) 测评内容：

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

b) 整改建议：

建议配置登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，可采取登录失败五次锁定三十分钟；登陆超时设置为30分钟自动退出。

c) 整改过程：

1、打开-->本地安全策略-->账户锁定策略 ，设置如下：

2、设置屏幕保护程序，可以实现本地登录和远程登录的超时退出。将值设为30分钟

如果物理机显示无法远程修改，那就去换个地方去修改这块。

更改电源的屏幕保护策略：

3、远程登录自动退出策略

搜本地组策略：计算机配置—管理模板—windows组件---远程桌面服务---远程桌面会话主机---会话时间限制中设置：设置超时时间为30分钟。

a) 测评内容：

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

b) 整改建议：

建议远程管理时使用堡垒机加ssh远程管理，防止鉴别信息在网络传输过程中被窃听。

c) 整改过程：

本地管理是默认符合的，需要将远程管理进行配置，也就是采用证书加密方式鉴别信息。最后的实现是堡垒机和ssh来完成。

1、打开-->远程桌面服务-->远程桌面会话主机-->安全

在控制面板输入“编辑组策略”，或在win+R中输入pgedit.msc ，弹出的”本地组策略编辑器窗口”，查看-->本地计算机策略-->计算机配置-->管理模块-->Windows组件-->远程桌面服务-->远程桌面会话主机-->安全 中的相关选项。

启动安全层RDP：

修改设置客户端连接加密级别：

主要配置这两项即可，剩余的少许也做了些配置。

2、关闭telnet服务

也可以去服务中查看是否有telnet服务。因为telnet 是明文传输，一旦开启了telnet功能，都不算符合要求！

或者去服务里查看是否安装telnet服务。

a) 测评内容：

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

b) 整改建议：

建议采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

得借助堡垒机来实现。

a) 测评内容：

应对登录的用户分配账户和权限；

b) 整改建议：

建议对登录的用户分配不同的权限。分别为角色分配了相应的用户名和权限就可以了。

c) 整改过程：

a) 测评内容：

应重命名或删除默认账户，修改默认账户的默认口令

b) 整改建议：

1、禁止无用的默认账号

2、修改默认密码

a) 测评内容：

应及时删除或停用多余的账户，避免共享账户的存在

b) 整改建议：

避免共享账号，还是把权限分配好。查看测评项d

a) 测评内容：

应授予管理用户所需的最小权限，实现管理用户的权限分离

b) 整改建议：

建议建立系统管理、操作员、审计员、安全管理员等角色，赋予最小权限，实现权限分离。系统管理为操作系统打补丁等作用安全管理为制定安全策略人员，审计员只需具有审计日志查看权限

c) 整改过程：

1、创建好三个角色人员。

2、去掉administrator的日志审核权限

改成审查人员

重启后，其他成员只能查看无法清除

a) 测评内容：

应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

b) 整改建议：

默认符合

a) 测评内容：

访间控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

b) 整改建议：

默认符合

a) 测评内容：

应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

b) 整改建议：

建议重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问，需采用国产服务器和操作系统成本较高，不建议整改

1) 测评内容：

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要的安全事件进行审计

2) 整改建议：

1、 应启用安全审核功能或采用主机安全审计系统

2、 应启用相对完整的安全审核策略

3) 整改过程：

1、查看系统是否开启安全审计功能。

在命令行输入“secpol.msc” 弹出本地安全策略。 查看安全设置-->本地策略-->审计策略。修改审计的结果为：

1) 测评内容：

审计记录应包括事件的日期和时间，用户、时间类型，时间是否成功及其他与审计相关的信息

2) 整改建议：

1、查看审计记录，审计记录是否包括日期、时间、类型、主体标识、客体标识和结果

3) 整改过程：

首先，我们不用第三方的审计软件，就用windows自带的软件。所以，我们可以去看看windows记录的审计记录是否包含这几个要求。

打开事件查看器-->windows日志-->系统。发现都有审计记录。

1) 测评内容：

应对审计记录进行保护、定期备份、避免收到未预期的删除、修改或覆盖等

2) 整改建议：

1、 应对审计记录采取备份等保护措施

2、 审计记录保留时间达到国家标准（6个月以上）

3) 整改过程：

1、设置日志策略。

打开事件查看器，将windows日志下拉菜单的应用程序、安全、设置、系统的日志策略全部改成下面这种。

【解析】：我们不希望日志被覆盖，第二项日志满的时候会对他进行一个存档备份，接着再继续记录。而第三项是日志满了之后不会存档，并且不会记录。

2、将日志定期备份

1) 测评内容：

应对审计记录进行保护，防止未经授权的中断

2) 整改建议：

其他非审计人员不可登录和操作日志，有专人负责审计日志的管理。

3) 整改过程：

1) 测评内容：

应遵循最小安装的原则，仅安装需要的组件和应用程序

2) 整改建议：

删除多余的程序

3) 整改过程：

1) 测评内容：

应关闭不需要的系统服务、默认共享和高危端口

2) 整改建议：

建议关闭445、139、3389等高危端口，禁用默认共享、telent等不需要的系统服务

3) 整改过程：

1、了解服务、进程、端口的关系。

当启动了某个服务，某个服务就会启动一个或者数个进程，然后进程就有可能监听端口，然后只有当进程监听了端口后，此端口的通信才会存在意义。外界对一个服务器的某个没有任何进程监听的端口发送消息的话，不会得到任何回应的。

比如iis服务会启动w3wp进程，w3wp进程就会监听80端口或者你设置的某个端口。

2、关闭默认共享、Remote Registry ；print Spooler、telnet服务

右键计算机--管理--服务和应用程序 关闭这四种。

因为本系统没有用到共享服务的功能，就把这个服务关闭。

发现，此时dhcp服务无法关闭，先留个坑。如果关闭dhcp就无法远程登录，因此这个不关闭。

3、查看是否有不必要的端口和高危端口

windows 默认开放135，137，138，139和445 五个端口，都与文件共享和打印机共享有关的，若机器连接网络后会在用户不知道的情况下泄露本机部分信息。

3389是远程服务，因为要用到，所以不关闭。

1) 测评内容：

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

2) 整改建议：

建议设定终端接入方式或设置网络地址范围，只允许特定IP或地址段进行登录。

只允许公司内网通过RDP远程登录，未通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

3) 整改过程：

在防火墙种找到远程桌面-用户模式（tcp)