安全加固
最近更新时间:2025年05月23日 10:02:59
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端管控策略 > 终端管控。
2. 在终端管控页面,选择安全加固,单击新建策略。
3. 在新建安全加固策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
![]()
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 根据实际需求,选择如下安全加固策略,单击保存。
系统账号密码加固
1. 对终端配置加固策略,校验计算机系统账号密码长度、使用期限、复杂度等,以提升账号安全。
2. 勾选系统账号密码加固,开启加固,配置相关参数。
![]()
参数 | 说明 |
密码长度最小值 | win7系统密码长度最大值为14位。 若密码长度设置超过14位,win7系统客户端默认提取14位字符为密码(仅适用于非域账户)。 若密码长度设置为0,则密码长度不受限制并且可以设置为空密码。 |
密码使用有效期 | 若密码使用有效期设置大于0,则账号密码超过有效期后会强制要求用户修改密码。 若密码使用有效期设置为0,则账号密码永久有效不会强制用户进行修改。 |
强制密码历史 | 若强制密码历史设置大于0,则账号修改的新密码不能与对应数量的历史密码相同。 若强制密码历史设置为0,则账号修改的新密码可与任意历史密码相同。 |
账号锁定阈值 | 若账号锁定阈值大于0,则账户锁定时间必须大于或者等于本地组策略的重置时间。 若账户锁定时间设置为0,账号被锁定后保持锁定状态直至管理员手动解除。 说明: 可能存在第三方应用调用系统登录接口导致账号被锁定无法登录,请谨慎配置。 |
账号锁定时间 | 若账号锁定阈值大于0,则账户锁定时间必须大于或者等于本地组策略的重置时间。 若账户锁定时间设置为0,账号被锁定后保持锁定状态直至管理员手动解除。 |
开启密码复杂性要求 | 如果启用此策略,密码必须符合下列最低要求。 不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分; 至少有六个字符长; 包含以下四类字符中的三类字符:英文大写字母(A到Z)英文小写字母(a到z)10个基本数字(0到9)非字母字符(例如:!¥ # %)在更改或创建密码时执行复杂性要求。 |
禁用 Guest 账号 | 禁用 Guest 账号。 |
3. 配置完成后,单击保存。
![]()
4. 该分组下的终端机器上,通过“编辑组策略”查看账号密码状态。
![]()
5. 如下图所示:
![]()
系统安全审计日志
1. 勾选系统安全审计日志,开启系统审计,配置相关参数。
2. 配置完成后,单击保存。
![]()
3. 该分组下的终端机器,系统审计日志达到事件日志最大时,按配置规则覆盖。
屏幕保护方式
1. 勾选屏幕保护方式,开启屏幕保护,配置相关参数。
2. 配置完成后,单击保存。
![]()
3. 该分组下的终端机器,屏幕保护时间会设置成**分钟。终端**分钟没有操作会进入屏幕保护模式,
若勾选恢复时需要密码登录,则再次操作需要密码认证才能登录桌面。
说明:
不勾选“恢复时需要密码登录” ,这里就是息屏睡眠,触碰一下键盘等就会恢复桌面。
勾选“恢复时需要密码登录” ,这里就是锁屏睡眠(类似win窗口键+L键),触碰一下键盘等就需要输入开机密码,才能进入电脑桌面。
勾选“恢复时需要密码登录”,需电脑有开机密码登录为前提。如果电脑本来就无密码,相当于不输入密码就可以进入系统,则勾选“恢复时需要密码登录”没有作用。
终端自动关机
1. 设置终端的自动关机时间。
参数名称 | 说明 |
允许空闲终端自动关机 | 启用该功能,管理员能够为终端设定空闲时间限制;当终端空闲时间超过限制时,终端将自动关机,方便管理员对无人值守或长期空闲的机器进行关机处理。 闲时定义:在设置时间内没有检测到键鼠流任何操作则会开始计时,视频播放及后台下载不会退出闲时状态。 |
终端定时关机 | 该功能适用于管理员对无人值守的终端进行自动关机处理。开启后,终端将根据策略在指定时间自动关机。 |
关机前是否提醒 | 开启时,在关机前 X 分钟对用户进行提示。 关闭时,将在不进行任何提示的情况下强制关机。 |
2. 配置终端自动关机规则,例如:
3. 配置完成后,单击保存。
![]()
4. 该分组下的终端机器,空闲时间超过24小时,会自动关机。
默认共享与服务控制
1. 管控客户端的共享和服务类不受侵入。
2. 勾选默认共享与服务控制,勾选禁用共享高危服务,配置相关参数。
参数 | 说明 |
禁用默认共享 | 该分组下的终端机器,会关闭默认共享。 |
禁用远程注册表 | 其他设备无法通过远程注册表的方式,进入终端机器。 |
禁用Internet连接共享 | 该分组下的终端机器,禁用 Internet 连接共享。 |
禁用自动播放 | 该分组下的终端机器,禁用自动播放 。例如:接入一个 U 盘,禁止自动播放运行。 |
3. 完成添加后,单击保存。
![]()
远程桌面端口
1. 设置终端机器的远程桌面端口。
2. 勾选远程桌面端口,勾选强制设定远程桌面端口,配置相关参数。
说明:
如防火墙策略未放通将导致端口设置失败
3. 完成添加后,单击保存。
![]()
4. 如端口设置为8080,该分组下的终端机器,远程桌面端口会被设置为 8080,查看客户端
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber的键值是8080,且远程桌面功能正常。系统账号管理
1. 勾选系统账户管理,配置相关参数。
参数 | 说明 |
禁止已入域终端本地账号网络认证 | 支持禁止已入域终端本地账号网络认证,可防止终端由于密码泄露导致的大面积终端失陷。 |
允许控制系统账号 | 允许控制系统账号,配置系统账号管理规则。 禁用系统账号更改:管理系统账号不被随意篡改。 无用系统账号处理(管理员可自定义无用账号列表)。 锁定账号。 禁用账号。 删除账号。 |
2. 完成添加后,单击保存。
![]()
域账号登录控制
1. 客户端非域账号登录提示和注销。
2. 勾选域账号登录控制,勾选仅允许域账号登录系统,配置相关参数。
![]()
参数 | 说明 |
非域账号登录时弹框提醒注销 | 如果终端机器没有入域,则规则不生效(不管是不是域账号都不受影响)。 如果是用域账号登录的 PC,则不受影响。 如果是用非域账号登录的 PC,则会弹窗提醒注销。 弹窗内容支持自定义。 |
非域账号登录时弹窗提示并自动注销 | 如果终端机器没有入域,则规则不生效(不管是不是域账号都不受影响)。 如果是用域账号登录的 PC,则不受影响。 如果是用非域账号登录的 PC,则会弹窗提示当前系统登录账户为本地账号,非域账号,限定时间后注销当前账号,请及时保留数据! 并且会在**分钟后自动注销。 弹窗内容支持自定义。 |
3. 完成添加后,单击保存。
![]()