配置账户锁定策略,降低被爆破和猜测风险
加固建议
打开方式一:在管理工具中打开
打开方式二:运行窗口中输入“secpol.msc”,回车即可启动本地安全策略打开本地安全策略,
打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。
设置账户锁定阈值,管理员账户不起作用
原因:该策略应该默认是不对管理员administrator生效的,因为如果账户需要解锁的话,必须用管理员账户才能解锁,或者等待锁定时间结束
如果安装了安全软件,也会出现拉黑IP的情况
验证过锁定的是IP地址,可以尽可能设置严格些,操作时建议做好记录或备份
锁定的IP会被防火墙禁止,如果需要开放要去防火墙手动开放
密码复杂性配置|身份鉴别
设置强密码,减少密码被泄漏和猜测风险
加固建议
在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用,将密码最小长度设置为8以上。
开启审核策略,对重要的用户行为和重要安全事件进行审计
开启审核策略,对重要的用户行为和重要安全事件进行审计
加固建议
在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
注:
gpupdate 刷新组策略的命令
gpupdate/force 表示强制刷新组策略