【正文】 下）”策略，配置參數(shù)請參閱推薦值。如果允許此功能，可能允許用戶在其帳戶被禁用或刪除之后，或者工作站無法聯(lián)系到域控制器時(shí)進(jìn)行登錄。238。此策略設(shè)置確定其登錄信息在本地緩存的唯一用戶的個(gè)數(shù)。 緊急程度:一般問題238。 建議：立即配置交互式登錄：不顯示上次的用戶名策略，配置參數(shù)請參閱推薦值。如果禁用該策略，則會(huì)顯示最近一次登錄的用戶的名稱，存在用戶被攻擊的風(fēng)險(xiǎn)。 說明：該安全設(shè)置確定是否將最近一次登錄到計(jì)算機(jī)的用戶名顯示在 Windows 登錄屏幕中238。. 未配置交互式登錄：不顯示上次的用戶名238。238。不過，配置后允許啟動(dòng)到其他操作系統(tǒng)的系統(tǒng)可能要確保在本系統(tǒng)關(guān)閉時(shí)已完全清除系統(tǒng)頁面文件。 風(fēng)險(xiǎn)：虛擬內(nèi)存支持使用系統(tǒng)頁面文件，將不使用的內(nèi)存頁交還給磁盤。 緊急程度:一般問題238。 建議：立即配置審核帳戶登錄事件，配置參數(shù)請參閱推薦值。失敗審核會(huì)在帳戶登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。 說明：審核帳戶登錄事件配置不完整238。. 審核帳戶登錄事件配置不完整238。238。失敗審核在事件失敗時(shí)生成一個(gè)審核項(xiàng)。 風(fēng)險(xiǎn)：如果配置了“審核系統(tǒng)事件”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。 緊急程度: 一般問題238。 建議：立即配置審核特權(quán)使用，配置參數(shù)請參閱推薦值。只有在已經(jīng)計(jì)劃好如何使用所生成的信息時(shí)，才應(yīng)啟用此設(shè)置。失敗審核會(huì)在行使用戶權(quán)限失敗時(shí)生成一個(gè)審核項(xiàng)。成功審核會(huì)在成功行使用戶權(quán)限時(shí)生成一個(gè)審核項(xiàng)。 說明：沒有配置審核特權(quán)使用238。. 沒有配置審核特權(quán)使用238。238。成功審核會(huì)在用戶成功訪問具有 SACL 的對象時(shí)生成一個(gè)審核項(xiàng)。 說明：沒有配置審核登錄事件的失敗審核238。. 沒有配置審核對象訪問238。238。失敗審核會(huì)在登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。成功審核會(huì)在登錄嘗試成功時(shí)生成一個(gè)審核項(xiàng)。 說明：沒有配置審核登錄事件的失敗審核238。. 審核登錄事件配置不完整238。238。此審核信息對于記賬十分有用，并可幫助確定誰在域中或單臺(tái)計(jì)算機(jī)上成功修改了策略。 風(fēng)險(xiǎn)：如果配置了“審核策略更改”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。 緊急程度: 一般問題238。失敗成功amp。失敗成功amp。失敗成功amp。失敗成功amp。失敗成功amp。 建議：立即建立相關(guān)賬號(hào)和密碼的管理規(guī)定和詳細(xì)的管理文檔進(jìn)行追蹤。 風(fēng)險(xiǎn)：沒有設(shè)立相關(guān)文檔和管理制度，對服務(wù)器各種賬號(hào)和密碼的變更進(jìn)行記錄和追蹤，便不能有效的對賬號(hào)和密碼的使用情況進(jìn)行審計(jì)，有使賬號(hào)和密碼的管理失控的危險(xiǎn)。 緊急程度: 一般問題238。 建議：立即啟用強(qiáng)制密碼歷史策略，配置參數(shù)請參閱推薦值。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個(gè)密碼，則會(huì)大大降低密碼策略的有效性。許多用戶都希望在很長時(shí)間以后使用或重用相同的帳戶密碼。 說明：服務(wù)器沒有設(shè)置強(qiáng)制密碼歷史策略238。. 強(qiáng)制密碼歷史238。238。 說明：服務(wù)器沒有設(shè)置賬戶密碼最長使用周期238。. 賬戶密碼最長使用周期238。238。 說明：服務(wù)器沒有設(shè)置賬戶最小密碼長度238。. 賬戶最小密碼長度238。238。 說明：服務(wù)器沒有設(shè)置帳戶密碼復(fù)雜度238。. 賬戶密碼復(fù)雜度238。238。 說明：服務(wù)器沒有設(shè)置帳戶密碼有效期238。. 賬戶密碼永不過期238。238。 說明：服務(wù)器沒有設(shè)置帳戶鎖定策略238。. 賬戶鎖定閥值238。238。 說明：服務(wù)器沒有設(shè)置帳戶鎖定時(shí)間238。. 系統(tǒng)管理分析. 系統(tǒng)賬戶l 大多數(shù)服務(wù)器以下指標(biāo)項(xiàng)不符合推薦值，如下：序號(hào)檢查項(xiàng)推薦值實(shí)際值1帳戶鎖定時(shí)間0分鐘，帳戶被鎖定，直到管理員進(jìn)行解鎖15分鐘2賬戶鎖定閥值5次無效登錄103賬戶密碼永不過期設(shè)置密碼有效期是4賬戶密碼復(fù)雜度密碼復(fù)雜度： 大寫字母、小寫字母、數(shù)字和特殊字符四者中三者的組合 不能包含用戶名海油：至少包含一個(gè)數(shù)字和一個(gè)字母未啟用5賬戶最小密碼長度8 個(gè)字符海油：不應(yīng)小于6位06賬戶密碼最長使用周期90天0，未啟用7賬戶強(qiáng)制密碼歷史4 個(gè)記住的密碼248賬戶密碼管理變更有詳細(xì)的文檔保留無. 賬戶鎖定時(shí)間238。1.2.3.4.5..6. WINDOWS SERVER 狀態(tài)分析狀態(tài)分析從系統(tǒng)管理、系統(tǒng)安全、數(shù)據(jù)安全、系統(tǒng)運(yùn)維四個(gè)方面分析結(jié)果，并設(shè)定緊急狀態(tài)和一般問題，文檔將詳細(xì)列出服務(wù)器的實(shí)際配置與推薦配置存在的差異。. 系統(tǒng)性能SQL Server系統(tǒng)性能共三項(xiàng)指標(biāo)，其中操作系統(tǒng)、數(shù)據(jù)庫文件、日志文件、臨時(shí)庫文件的存放位置不滿足要求的。但所檢查系統(tǒng)的登錄名默認(rèn)數(shù)據(jù)庫全為master。但所檢查的sql server中均存在BUILTIN/administrators和SQLDebugger賬戶。另外油氣儲(chǔ)量庫存在任務(wù)以sa 帳號(hào)運(yùn)行。. 安全性檢查SQL Server安全性檢查各項(xiàng)指標(biāo)中用戶ID安全項(xiàng)沒有滿足指標(biāo)。備份文件和SQL數(shù)據(jù)文件應(yīng)放在不同盤符中，保證數(shù)據(jù)的安全。所有系統(tǒng)的日志文件保留期限均沒有進(jìn)行設(shè)置。. SQL SERVER巡檢指標(biāo)合規(guī)狀態(tài)SQL Server巡檢六項(xiàng)指標(biāo)中，只有數(shù)據(jù)加密一項(xiàng)完全符合標(biāo)準(zhǔn)配置，其他五項(xiàng)指標(biāo)都存在問題。. 系統(tǒng)日志和審計(jì)策略相對應(yīng)，所有服務(wù)器的安全日志存儲(chǔ)最大值都不符合標(biāo)準(zhǔn)得81m，而個(gè)別服務(wù)器的日志存儲(chǔ)只設(shè)置為默認(rèn)的512k。. 數(shù)據(jù)備份所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。. 網(wǎng)絡(luò)安全所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。. 系統(tǒng)防病毒SAP報(bào)表發(fā)布系統(tǒng)未按公司要求部署殺毒軟件，資金系統(tǒng)雖然部署了殺毒軟件，但病毒庫并沒有升級到最新，需引起足夠的重視。. 系統(tǒng)特定文件夾權(quán)限所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。. 系統(tǒng)服務(wù)設(shè)置此配置選項(xiàng)所有服務(wù)器都符合配置。. 系統(tǒng)審計(jì)策略從圖中可以看到目前服務(wù)器中審計(jì)策略做的比較薄弱，建議按推薦配置進(jìn)行配置，以備審計(jì)之用。而所有服務(wù)器都沒有相應(yīng)的制度和文檔來記錄對賬號(hào)和密碼的變更。. WINDOWS SERVER巡檢指標(biāo)合規(guī)狀態(tài)從巡檢指標(biāo)的合規(guī)狀態(tài)來看，整體上情況良好，但在系統(tǒng)賬號(hào)、審計(jì)策略、本地安全策略、系統(tǒng)拒絕服務(wù)攻擊、系統(tǒng)補(bǔ)丁管理和系統(tǒng)日志六個(gè)方面得分較低。經(jīng)過對巡檢數(shù)據(jù)的分析，29臺(tái)Windows Server服務(wù)器和5臺(tái)SQL Server服務(wù)器整體狀態(tài)如下：1.2.3.4.5.. WINDOWSSERVER巡檢數(shù)據(jù)結(jié)果分析. WINDOWS SERVER系統(tǒng)整體運(yùn)行狀態(tài)從巡檢的數(shù)據(jù)上看，所有系統(tǒng)總體運(yùn)行狀態(tài)良好，安全設(shè)置都符合標(biāo)準(zhǔn)，部分服務(wù)器在系統(tǒng)的策略配置中有不符合標(biāo)準(zhǔn)情況的現(xiàn)象，總體運(yùn)行狀態(tài)如下圖所示：總體運(yùn)行狀態(tài)中，除了B2B接口應(yīng)用系統(tǒng)、SAP報(bào)表發(fā)布系統(tǒng)、資金系統(tǒng)得分低于4分外，其余系統(tǒng)都比較正常。運(yùn)維人員應(yīng)該經(jīng)常檢查這些問題，在必要時(shí)采取措施。應(yīng)該在巡檢后立即進(jìn)行處理。l 巡檢的內(nèi)容，定義如下：系統(tǒng)類型檢查類型檢查主項(xiàng)子項(xiàng)Windows Server系統(tǒng)管理系統(tǒng)賬戶n/a安全策略審計(jì)策略本地安全策略設(shè)置系統(tǒng)服務(wù)設(shè)置系統(tǒng)拒絕服務(wù)攻擊資源訪問控制系統(tǒng)特定文件夾權(quán)限系統(tǒng)特定注冊表設(shè)置系統(tǒng)安全系統(tǒng)防病毒n/a系統(tǒng)補(bǔ)丁n/a網(wǎng)絡(luò)安全n/a數(shù)據(jù)安全數(shù)據(jù)加密n/a數(shù)據(jù)備份n/a系統(tǒng)運(yùn)維系統(tǒng)性能n/a系統(tǒng)日志n/aSQL Server系統(tǒng)管理用戶管理