Linux/Window安全設定

Linux安全配置
1、關閉多餘使用者：
IP、news、uucp、games、mail與其他自定義的沒有使用的使用者（groupdel userdel）
更改一些使用者的shell,不需要登入的改成:/bin/nologin
2、設定密碼過期策略：
Vi /etc/login.defs #過期時間90天
PASS_MAX_DAYS=90
3、超時自動登出登入：
Vi /etc/profile ##600秒登出
TMOUT=600
export TMOUT
4、設定history的歷史時間格式：
Vi /etc/profile
HISTTIMEFORMAT=”%Y-%M%D %H:%m:%s”
export HISTTIMEFORMAT
chmod 600 /使用者主目錄/.bash_history
5、禁止空口令賬號登入系統：
Vi /etc/pam.d/system-auth #增加
auth sufficient /lib/security/pam_unix_so likeauth nullok
6、密碼複雜度設定:
Vi /etc/pam.d/login #新舊密碼必須5個不同字元，一個數字，一次失敗後返回錯誤資訊
password required pam_cracklib.so difok=5 dcredit=-1 retry=1
7、預設密碼長度限制：
Vi /etc/login.defs
PASS_MIN_LEN 8
8、SSH安全配置：
Vi /etc/ssh/sshd_config
Procotol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
GSSAPIAuthentication no
9、對SSH、SU登入日誌進行記錄：
Vi /etc/syslog.conf
Authpriv.* /var/log/secure
/etc/rc.d/init.d/syslog restart
10、開啟審計功能：
Service auditd start

日誌/var/log/audit/audit.log

window安全配置
1、定期更換密碼，避免重複使用舊的密碼：
域安全策略–安全設定–賬號策略–密碼策略–密碼最長使用期限/強制密碼歷史
2、首次登入更改預設密碼：
使用者賬號屬性–勾選下次登入必須更改密碼
3、系統不允許賬號和密碼一致/密碼由數字和字母組成：
域安全策略–安全設定–賬號策略–密碼策略–密碼必須符合安全性要求
4、強制使用者使用優質密碼：
域安全策略–安全設定–賬號策略–密碼策略–密碼長度最小值
5、使用者單次登入不活動登出：
屏保設定15分鐘
gpedit.msc 組策略編輯器–計算機配置策略–管理模板–Windows 元件–終端服務–會話–為斷開的會話設定時間
6、使用者無效登入的最大嘗試次數為6：
域安全策略–安全設定–賬號策略–賬號鎖定策略–賬號鎖定閾值
7、開啟審計日誌：
域安全策略–本地策略–稽核策略–審計功能
8、建議新增的審計規則：
登入失敗 賬號登入事件/登入事件
ID修改密碼修改 賬號管理
檔案刪除 物件訪問
無效的邏輯訪問嘗試 目錄服務訪問
建立和刪除系統級物件 物件訪問/策略更改/系統事件
9、刪除所有不需要的賬號