1. 帳戶密碼設定及使用建議

• 密碼應該長度不少於 10 位；
• 建議不要使用有一定特徵和規律容易被破解的常用口令的密碼（如：在常用彩虹表中的密碼、滾鍵盤密碼。如：!QAZxsw2，qazxsw，

      [email protected]，1q2w3e，123456789，password 等），且密碼複雜度至少包含大寫字母、小寫字元、數字、特殊字元四類中的三種；

• 密碼儘量不要包含賬戶如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；
• 建議至少每 90 天更改一次密碼，若賬戶已經處於失效狀態， 則不要求修改；
• 建議不要重複使用最近 5 次（含 5 次）內已使用的密碼；
• 建議根據不同應用設定不同的帳號密碼，不建議多個應用使用同一套賬戶/密碼；
• 帳號管理人員初次發放或者初始化密碼給使用者時，如果知道密碼內容，建議強制使用者首次使用修改密碼，不能強制使用者修改密碼的則為密碼設定過期期限（使用者必須及時更改密碼，否則密碼應被強制失效）；
• 建議為所有賬戶配置設定連續認證失敗次數超過 5 次（不含 5次），鎖定賬號策略和 30 分鐘自動解除鎖定策略；
• 建議對所有賬戶設定不活動時間超過 10 分鐘自動退出或鎖定策略；
• 新建系統中的帳號預設密碼在首次使用前，建議強制使用者更改；
• 建議開啟賬戶登入記錄日誌功能，登入日誌最少儲存 180 天， 登入日誌中不能儲存使用者的密碼。
• 不使用個人的微博、QQ、論壇等口令 （各種資料洩露）
• 不建議以明文形式通過 Internet、無線裝置傳送密碼，所有賬號密碼認證體系在技術支援條件下，建議使用加密協議安全登入（如SSH）；
• 儘量使用金鑰方式進行作業系統身份認證。

2. 作業系統安全加固

2.1. Linux 作業系統

2.1.1. 帳號口令設定

建議項：應按照不同的使用者分配不同的賬號和許可權，禁用或刪除其它不必要的賬戶；

檢查是否存在空口令和 root 許可權的賬號；

建議項：對於採用口令認證的裝置，口令長度建議不少於 10 位，幷包括數字、

小寫字母、大寫字母和特殊符號 4 類中至少 3 類；

建議項：對於採用口令認證的裝置，帳戶口令的生存期建議不長於 90 天；

建議項：限制超級管理員使用者遠端登入；設定普通使用者遠端登入失敗嘗試次數；

建議項：修改預設的 SSH 服務埠；

建議項：建議設定可以 su 為 root 的賬戶為制定的使用者組，其它賬戶不能 su 切

換至 root

建議項：配置系統歷史命令操作記錄和定時帳戶自動登出時間；

2.1.2. 服務

建議項：關閉不必要的服務（普通服務和xinetd服務）；

常見不必要服務：bootps，pure-ftpd，pppoe，sendmail，isdn，

zebra，cupsd，cups-config-daemon，hplip，hpiod，hpssd，bluetooth，hcid，

hidd，sdpd，dund，pand，rsh

2.1.3. 日誌

建議項：啟用 syslog 系統日誌審計功能

建議項：系統日誌檔案由 root 創立並且其它使用者不可讀取（日誌檔案許可權不高

於 600）；

2.1.4 檔案服務配置

建議項：安裝最新的 vsftp 伺服器

建議項： vsftp 不能匿名登入

建議項：禁止顯示 vsftp banner 資訊

建議項：開啟 FTP 的日誌記錄功能

建議項：FTP 的最大連線數和傳輸速度必須限制

2.2. Windows 作業系統

2.2.1. 帳號口令設定

要求內容：重新命名 Administrator，禁用 guest（來賓）帳號和其它不必要的賬

戶；

要求內容：應按照不同的使用者分配不同的賬號，避免不同使用者間共享賬號。避

免使用者賬號和裝置間通訊使用的賬號共享

要求內容：不顯示最後的使用者名稱

要求內容：密碼長度最少 10 位，不能使用有鍵盤規律的密碼（鍵盤規律密碼：

qazxsw,[email protected],1q2w3e 等），且密碼複雜度至少包含以下四種類別的字元中的三種：

英語大寫字母 A, B, C, … Z 英語小寫字母 a, b, c, … z 阿拉伯數字 0, 1, 2, … 9

非字母數字字元，如標點符號，@, #, $, %, &, *等；

要求內容：對於採用口令登入的主機，口令的生存期不長於 90 天；

要求內容：對於採用靜態口令登入的主機，應配置主機不能重複使用最近 5 次

（含 5 次）內已使用的口令；

要求內容： 在本地安全設定中取得檔案或其它物件的所有權僅指派給

Administrators 組

要求內容：裝置應啟用日誌記錄功能，對使用者登入進行記錄，記錄內容包括使用者登入使用的賬號，登入是否成功，登入時間，以及遠端登入時使用者使用的 IP地址；

要求內容：開啟稽核策略，以便出現安全問題後進行追查；

要求內容：設定日誌容量和覆蓋規則，保證日誌能正常儲存；

要求內容：

禁用 TCP/IP 上的 NetBIOS 協議，可以關閉監聽的 UDP 137（netbios-ns）、UDP

138（netbios-dgm）以及 TCP 139（netbios-ssn）埠。

要求內容：對主機的通訊通道進行數字簽名；

要求內容：關閉不必要的系統服務；

要求內容：

非域環境中，關閉 Windows 硬碟預設共享，例如 C$，D$；

每個共享資料夾的共享許可權，只允許授權帳戶擁有許可權共享此資料夾。

要求內容：

Windows 系統需要安裝防病毒軟體。

要求內容：

設定帶密碼的螢幕保護，並將時間設定為 5 分鐘。

要求內容：開啟主機防火牆，根據需要設定需要開放的埠；

要求內容：修改 Windows 遠端桌面預設埠（3389），防止暴力破解等攻擊；

要求內容：安裝最新的 Hotfix 補丁；