1. 密码要求---------------密码的复杂性关系到系统的安全,但是对于封闭的实验室计算机系统来说,不存在外力的黑客破解,而且对于数据的完整性也并没有影响。总之密码的复杂性可以简单的设置长度和记忆时间,没有必要搞那么复杂 a) 密码长度最小值(要求6位数) b) 密码最长使用期限(建议3个月) c) 密码必须符合复杂性要求(包含数字,大小写字母,个人建议可选) d) 强制密码历史(2个记住的密码)
2. 帐户要求-------------账号要求也不需要这么复杂,简单来说,每个人拥有独立的非管理员账号就可以了。对于某些应用软件来说。可能需要管理员权限以运行软件,这时需要额外的控制手段。另外,一段时间内不使用自动登出或屏幕保护也是必须的。一般来说加入受控的域是比较好的选择 a) 一人一帐户 b) 给系统administrator帐号改名 c) 创建陷阱帐号(帐号命名为:administrator,赋予低级用户组) d) 停用guest帐号 e) 每月检查已经不用的帐户、测试帐户并注销掉 f) 每个帐号均需归纳为已设定好的用户组
3. 用户组要求 a) IT人员用户组 b) 质量管理负责人用户组 c) 部门主管/经理用户组 d) 班组长用户组 e) 操作人员用户组 f) 陷阱用户组
登陆要求 1. 禁止任何用户组允许通过远程桌面服务登陆(如果链接局域网,仅允许IT人员用户组登陆)-----不连局域网,怎么远程登录? 2. 设定允许本地登陆的用户组----------不连局域网,不是只能本地登陆,如果连接局域网,为什么不用域控制,还是允许本地登陆? 3. 锁定要求 a) 帐户锁定阈值(输入错误密码5次锁定) b) 帐户锁定时间(输入错误达到次数后锁定9999分钟)----------------根据各个公司实际情况制定 4. 提示用户在密码过期之前更改密码(5天) 5. 开启:不显示最后的用户名 6. 设置:试图登录的用户的消息标题(标题为:禁止使用他人帐号登陆) 7. 设置:试图登录的用户的消息文本(内容为:任何登陆事件都将会被记录,滥用公司信息将收到处罚) 8. 设置:计算机非活动限制(就是屏幕保护程序,建议300秒) 9. 任何人员完成操作后,需注销帐户或关机 10. 禁止从软盘或CD Rom启动系统 11. 推荐使用智能卡替代密码-------慎用,兼容性和故障率很成问题
界面要求 1. 非IT用户组,均只显示与工作相关的软件和图标 a) 如液相配套电脑只显示液相工作站、我的电脑、回收站 2. 非IT用户组,均只显示与工作相关的存储路径 a) 如液相配套的电脑只显示存储液相数据的路径,不显示其他硬盘 3. 只有IT用户组、质量管理负责人用户组、部门/经理用户组、班组长用户组可以显示关机、睡眠、休眠、重启按钮。---------组长,来帮我关机! 4. 开启:强制显示特定的默认锁屏图像 5. 开启:阻止更改锁屏图像 6. 禁止非IT用户组访问“控制面板”和“PC 设置”、“组策略“ 7. 删除开始菜单栏中的”游戏“ 8. 删除开始菜单栏中的”程序“ 9. 删除开始菜单栏中的”音乐“ 10. 删除开始菜单栏中的”运行“ 11. 禁止非IT用户组修改系统时间
设备要求------禁用USB接口或禁止写入 1. 授权特定移动存储设备接入计算机 2. 禁止未经授权的移动存储设备接入计算机 3. 授权特定的外设接入计算机 4. 静止未经授权的外设接入计算机 5. 禁止允许非管理员用户安装指定设备安装程序类的驱动程序
审核模块----windows自带的审核策略很烂,可以考虑第3方的登陆日志软件 1. 开启以下项目的审核 a) 策略更改 b) 登陆事件 c) 对象访问 d) 进程跟踪(这个可以让计算机也记录进样的问题) e) 特权使用 f) 系统事件 g) 帐户管理 h) 帐户锁定 i) 帐户注销 j) 特殊登陆
| 
[复制链接]
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2015-5-7 09:28:55
