windows与linux服务器平台密码策略管理.docVIP

服务器平台密码策略管理 1、windows账号管理、认证授权 账号 2.1.1管理缺省账户 安全基线项目名称 操作系统缺省账户安全基线要求项 安全基线项说明 对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。 检测操作步骤 进入“控制面板-管理工具-计算机管理”，在“系统工具-本地用户和组”： 缺省帐户Administrator－属性 Guest帐号-属性 基线符合性判定依据 缺省账户Administrator名称已更改。 Guest帐号已停用。 备注 口令 2.2.1密码复杂度 安全基线项目名称 操作系统密码复杂度安全基线要求项 安全基线项说明 最短密码长度 6个字符，启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的三种： ? 英语大写字母 A, B, C, … Z ? 英语小写字母 a, b, c, … z ? 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符，如标点符号，@, #, $, %, , *等 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看是否“密码必须符合复杂性要求”选择“已启动” 基线符合性判定依据 “密码必须符合复杂性要求”选择“已启动” 备注 2.2.2密码历史 安全基线项目名称 操作系统密码历史安全基线要求项 安全基线项说明 对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”： 查看“密码最长存留期” 基线符合性判定依据 “密码最长存留期”设置不大于“90天” 备注 2.2.3帐户锁定策略 安全基线项目名称 操作系统账户锁定策略安全基线要求项 安全基线项说明 对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 检测操作步骤 进入“控制面板-管理工具-本地安全策略”，在“帐户策略-帐户锁定策略”： 查看“账户锁定阀值”设置 基线符合性判定依据 “账户锁定阀值”设置为小于或等于 6次 备注 linux账号管理、认证授权 账号 用户口令设置 安全基线项目名称 操作系统Linux用户口令安全基线要求项 安全基线项说明 帐号与口令-用户口令设置 检测操作步骤 1、询问管理员是否存在如下类似的简单用户密码配置，比如： root/root, test/test, root/root1234 2、执行：more /etc/login，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE参数 3、执行：awk -F: ($2 == ) { print $1 } /etc/shadow, 检查是否存在空口令账号 基线符合性判定依据 建议在/etc/login文件中配置：PASS_MIN_LEN=6 不允许存在简单密码，密码设置符合策略，如长度至少为6 不存在空口令账号 备注 root用户远程登录限制 安全基线项目名称 操作系统Linux远程登录安全基线要求项 安全基线项说明 帐号与口令-root用户远程登录限制 检测操作步骤 执行：more /etc/securetty，检查Console参数 基线符合性判定依据 建议在/etc/securetty文件中配置：CONSOLE = /dev/tty01 备注 检查是否存在除root之外UID为0的用户 安全基线项目名称 操作系统Linux超级用户策略安全基线要求项 安全基线项说明 帐号与口令-检查是否存在除root之外UID为0的用户 检测操作步骤 执行：awk -F: ($3 == 0) { print $1 } /etc/passwd 基线符合性判定依据 返回值包括“root”以外的条目，则低于安全要求； 备注 补充操作说明 UID为0的任何用户都拥有系统的最高特权，保证只有root用户的UID为0 root用户环境变量的安全性 安全基线项目名称 操作系统Linux超级用户环境变量安全基线要求项 安全基线项说明 帐号与口令-root用户环境变量的安全性 检测操作步骤 执行：echo $PATH | egrep (^|:)(\.|:|$)，检查是否包含父目录， 执行：find `echo $PATH | tr : ` -type d \( -perm -002 -o -perm -020 \) -ls，检查是否包含组目录权限为777的目录 基线符合性判定依据 返回值包含以上条件，则低于安全要求； 备注 补充操作说明 确保root用户的系统路径