标签：方案 禁止 操作系统 账号 接入 办公网 整理 加固 设备

一、操作系统

1. win7以下操作系统版本的设备，若无业务需要，请将操作系统升级为win7或win10,或更换为win7或win10设备（建议升级或更换为win10）

2. Ｌｉｎｕｘ设备，或因业务无法升级操作系统的ｗｉｎｄｏｗｓ设备，要求设备仅安装、使用业务必须的软件

二、安全配置

1. 回收本地管理员账号

2. 启用Windows屏幕保护策略，并设置密码保护，等待时间最长为10分钟

3. 账号、密码要求

a. “密码最长使用期限”最长为90天。

b. “密码最短使用期限”大于等于1天（禁止设为0天）且小于最长使用期限，推荐为4-6天。

c. 停用“密码可逆加密”方式，新密码不得与密码历史中最近至少8个密码相同。

d. 账号密码必须启用复杂度要求。密码长度最小值6个

e. 应禁用系统来宾账号（Guest），如果系统中有IUSR_{System}账号，则其应只属于Guests组，而不属于其它任何组

f. “账号锁定时间”应至少为30分钟

g. “账号锁定阈值”至多为5次无效登录。

h. “复位账号锁定计数器”至少为30分钟。如果定义了“账号锁定阈值”，则该复位时间必须小于或等于“账号锁定时间”。

4. 关闭业务不必要的端口或服务（尤其是445等高危端口）

三、连入公司办公网的设备

1. Win设备请根据公司要求，安装一定的防护软件

2. Win系统需每月重启设备

3. 所有的设备，在业务允许的条件下，应该实施以下安全加固项（与业务有冲突的项可不实施）

a. 封闭USB口（使用防拆标签，标签可联系部门信息安全接口人或信息安全主管领取）

b. 禁止连接互联网

c. 关闭１０２４以下端口的入站流量，具体指导见如下链接指导

四、生产网、实验室网中设备

1. 通过防火墙与办公网间做了访问控制的，可开通设备访问补丁、病毒库服务器的防火墙策略，以实现补丁、病毒库的自动更新

2. 对于与办公网做了物理隔离的区域中的设备

a. Win7及以上操作系统版本的设备请根据公司要求，每月手动安装操作系统补丁

b. 每周更新病毒库

3. 所有的设备，在业务允许的条件下，应该实施以下安全加固项

a. 封闭U口（使用防拆标签）

b. 禁止连入公司办公网

c. 禁止连接互联网

d. 禁止安装邮箱并收发邮件

e. 关闭１０２４以下端口的入站流量

五、新采购设备接入公司办公网、生产网、实验网安全要求

1、新采购设备，禁止采购win7以下版本的操作系统设备

2、新设备接入公司网络前，需安装公司防病毒软件，并做全盘扫描，扫描通过后，方可接入

六、外来移动设备接入办公网、生产网、实验网安全要求

1、无业务需求，禁止外来设备（电脑、U盘等）接入公司网络

2、因业务需要，外来电脑接入网络的前提是：电脑已安装防病毒软件、病毒库为最新、全盘扫描没问题

3、因业务需要，使用U盘将资料拷出公司设备时，要求将U盘格式化后，才能使用

七、离线设备安全要求

离线设备未经安全扫描，禁止接入办公网、生产网、实验网

标签：方案,禁止,操作系统,账号,接入,办公网,整理,加固,设备
来源： https://www.cnblogs.com/AtesetEnginner/p/11130196.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。