国际标准基线CCE编号索引https://www.scaprepo.com/
以下配置建议使用组策略来统一操作(其他方法设置也行):gpedit.msc 【以下配置默认环境是win7,如需其他环境,需额外检查】
可用于等保2.0,合规与ISO27001
注意等保与合规的重点不是实施的一致性,而是在于不同人对于同一标准的不同解读
gpedit.msc — 计算机配置 — windows 设置 — 安全设置 — 账户策略 — 密码策略
密码策略
1.确保“强制密码历史记录”设置为“24 个或更多密码” (企业内部酌情调整)
今天用123456,明天改成654321,后天再改回来123456(强制密码历史记录次数限制。则修改失败)
默认值:域成员24,单机为0
https://www.scaprepo.com/view.jsp?id=CCE-35219-5
【密码最短使用期限】需要给值,不然无法阻止“爆破”
检查泄露的密码
哪些账号发生了泄露或者撞库?
这么多年以来,发生了大量的信息泄露事件。密码安全吗?查一下
匿名性的发送密码sha-1哈希值前5位给它
1.使用curl可以查看密码哈希中带有21BD1字符串的密码数量:
curl https://api.pwnedpasswords.com/range/21BD1
2.在任何Linux虚拟机的主目录中,创建具有以下内容的pwnpassword.sh脚本:
#!/bin/bash
candidate_password=$1
echo "Candidate password: $candidate_password"
full_hash=$(echo -n $candidate_password | sha1sum | awk '{print
substr($1, 0, 32)}')
prefix=$(echo $full_hash | awk '{print substr($1, 0, 5)}')
suffix=$(echo $full_hash | awk '{print substr($1, 6, 26)}')
if curl https://api.pwnedpasswords.com/range/$prefix | grep -i
$suffix;
then echo "Candidate password is compromised";
else echo "Candidate password is OK for use";
fi
3.将可执行权限添加到脚本:
chmod u+x pwnedpasswords.sh
4.运行脚本,将TurkeyLips指定为密码:
./pwnedpasswords.sh TurkeyLips
工作站锁屏
集中身份验证点尽可能的少一点,包括网络、安全和云系统
加密用户名和身份验证凭据的传输
确保“最长密码期限”设置为“60 天或更少天,但不是 0
此策略设置的值范围为 0 到 999 天。 如果将该值设置为 0,则密码将永不过期。
CCE-34907-6
确保“密码最短使用期限”设置为“1 天或更多天”
CCE-35366-4
确保“最小密码长度”设置为“14 个或更多字符”
推荐密码短语:Woaiwodezuguo123!
CCE-33789-9
确保“密码必须满足复杂性要求”设置为“已启用”
7位字母,大约两小时爆破;引入大小写,大约60小时爆破;引入特殊字符,增加复杂度
CCE-33777-4
确保“使用可逆加密存储密码”设置为“已禁用”
如果您的组织通过远程访问或 IAS 服务使用 CHAP 身份验证协议或 IIS 中的摘要式身份验证,则必须将此策略设置配置为“已启用”。
CCE-35370-6
帐户锁定策略
“帐户锁定持续时间”设置为15 分钟以上
指定失败数量后账户将被锁定。 如果将 帐户锁定持续时间 配置为 0,帐户将保持锁定状态,直到管理员手动将其解锁。
CCE-35409-2
确保“帐户锁定阈值”设置为“10 次或更少,但不是 0”
CCE-33728-7
确保“重置帐户锁定计数器”设置为“15 分钟或更长”
CCE-35408-4
来源:freebuf.com 2021-07-26 23:14:37 by: sec875
请登录后发表评论
注册