1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络资源

域控安全加固配置v1.0.docxVIP

域控安全加固配置v1.0.docx

    1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    ActiveDirectory安全加固配置

    ActiveDirectory安全加固配置

    ActiveDirectory安全加固配置

    目录TOC\o1-3\h\z\u

    11268961891.概述 3

    10859656301.1适用范围 3

    3608275571.2规范依据 3

    20824150182.安全配置基线标准 4

    16082123672.1默认域和域控制器组策略(GPO) 4

    9960710272.2域控相关安全推荐 4

    13307224242.3域控制器推荐的组策略 5

    15570803102.4配置域控制器审核(事件日志) 5

    6130478282.5域控其他安全建议 6

    概述

    适用范围

    本配置基线适用于windowsserver2008或更高版本的域控,主要涉及windowsserver域控安全配置方面的基本要求,用于指导安全例行工作、新系统入网安全检查等场合。

    规范依据

    根据目前AD域控安全现状,综合参考安全运维专家意见,结合相关规范性文件指引,制定适合的基线配置规范。

    规范性引用文件:

    GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

    GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

    GB/T25063-2010《信息安全技术服务器安全测评要求》

    GB/Z24364-2009《信息安全技术信息安全风险管理指南》

    GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

    GB/T20270-2006《信息安全技术网络基础安全技术要求》

    GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

    GB/T20269-2006《信息安全技术信息系统安全管理要求》

    YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

    安全配置基线标准

    默认域和域控制器组策略(GPO)

    未删除默认域策略GUID:{31B2F340-016D-11D2-945F-00C04FB984F9}

    未删除默认域控制器策略GUID:{6AC1786C-016F-11D2-945F-00C04FB984F9}

    默认域策略应当只包含以下设置:密码策略、账户锁定策略、kerberos策略

    推荐配置如下:

    No

    配置项

    推荐配置

    1

    强制执行密码历史记录

    24

    2

    最长密码周期

    60days–180days(具体根据实际情况进行设置)

    3

    最小密码周期

    1days

    4

    最小密码长度

    14

    5

    密码开启复杂性要求

    已启用

    6

    使用可逆加密存储密码

    已禁用

    7

    账户锁定时间

    1-90分钟(根据实际情况进行设置)

    8

    账户锁定阈值

    5-20次(根据实际情况进行设置)

    9

    账户解锁时间

    5-60分钟(根据实际情况进行设置)

    默认域控制器策略应当只包含以下设置:用户权限分配、安全选项

    域控相关安全推荐

    域控应启用并配置windows防火墙。

    域控不应该直接连接互联网

    域控推荐安全任何软件或代理

    域控应当及时安装windows补丁更新,尤其是针对远程代码及AD特权提升漏洞的修复补丁包。

    对域控制器的访问实施最低特权:

    No

    内容

    推荐配置

    1

    作为批处理作业登录

    未定义

    2

    拒绝以批处理作业身份登录

    来宾

    3

    拒绝本地登录

    管理员

    4

    拒绝通过远程桌面服务登录

    管理员

    5

    从网络访问此计算机

    管理员、经过身份验证的用户、企业域控制器

    6

    备份文件和目录

    管理员或备份操作员

    7

    还原文件和目录

    管理员或备份操作员

    8

    将工作站添加到域

    管理员

    9

    绕过遍历检查

    未定义

    10

    拒绝从网络访问此计算机

    来宾、本地账户

    11

    设备:防止用户安装打印机驱动程序

    已启用

    12

    域控制器:允许服务器操作员安排任务

    已禁用

    13

    拒绝通过远程桌面服务登录

    来宾、本地账户

    14

    设备:防止用户安装打印机驱动程序

    已启用

    15

    关闭系统

    管理员

    域控制器推荐的组策略

    限制NTLM:审核传入的NTLM流量:对所有帐户启用审核

    限制NTLM:在此域中审核NTLM身份验证:启用所有

    LANManager身份验证级别:仅发送NTLMv2响应。拒绝LM和NTLM

    Lsass.exe审核模式:已启用

    启用LSA保护:已启用

    域成员:需要强(Windows2000或更高版本)会话密钥:启用

    网络安全性:基于NTLMSSP(包括安全RPC)服务器的最低会话安全性:需要NTLMv2会话安全性,需要128位加密

    Microsoft网络服务器:数字签名的通信(如果客户端同意):启用

    Microsoft网络客户端:数字签名通信(始终):已启用

    网络访问:不允许匿名枚举SAM帐户和共享:启用

    WDig

    您可能关注的文档

    最近下载

    文档评论(0)

    新思想与新技术 + 关注
    实名认证
    文档贡献者

    新思想与新技术

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >