以下測評過程以Windows server 2012R2 舉例,按照等保2.0三級要求測評。
主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl
身份鑒别
a)應對登錄的用戶進行身份标識和鑒别,身份标識具有唯一性,身份鑒别信息具有複雜度要求并定期更換。通過win R(運行)輸入netplwiz命令,查看是否勾選“要使用本計算機,用戶必須輸入用戶名和密碼”。
通過查看 控制面闆--》程序與系統--》管理工具--》計算機管理--》用戶與用戶組或者運行中輸入lusrmgr.msc,查看有哪些用戶,系統默認用戶adminstrator和Guest,Guest默認禁用,administrator不存在默認口令。
點擊用戶查看是否勾選密碼永不過期等信息。
通過在運行中輸入secpol.msc命令--》賬戶策略中的密碼策略,查看密碼複雜度是否開啟,密碼複雜度策略等信息,不适用就是未啟用。
通過在運行中輸入secpol.msc命令--》賬戶策略中的賬戶鎖定策略,查看登錄失敗處理功能是否開啟,登錄失敗策略等信息,不适用就是未啟用。
通過控制面闆--》外觀--》顯示--》屏幕保護程序設置 查看是否啟用了屏保。
如果是本地管理成KVM等硬件管理方式,此要求默認滿足。
通過輸入gpedit.msc--》管理模闆--》Windows組件--》遠程桌面服務--》遠程桌面會話主機--》安全
通過輸入gpedit.msc--》管理模闆--》Windows組件--》遠程桌面服務--》遠程桌面會話主機--》連接
雙因子驗證 密碼強度要求(四種組合:8位以上 字母大小寫 數字字母 特殊字符),現場訪談或查詢各管理員登陸界面查詢,一般此項經訪談即可,大部分主機此項都不符合。
訪問控制
a)應對登錄的用戶分配賬戶和權限訪問重要文件例如系統盤的Program文件夾,右鍵屬性--》安全查看各個用戶的權限分配是否合理,一般默認合理。
通過輸入lusrmgr.msc命令,查看有哪些用戶,是否存在默認用戶,默認賬戶是否禁用。多數情況下adminstratorz賬戶在使用中。
c)應及時删除或停用多餘的、過期的賬戶,避免共享賬戶的存在通過輸入lusrmgr.msc命令,查看有哪些用戶adminstrator賬戶,記為存在共享賬戶;
d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離通過輸入secpol.msc--》本地策略--》用戶權限分配 :查看用戶權限是否分配合理,一般都是默認。主要注意管理審核和安全日志是否隻有特定的人員有權限。
在windows主機中,授權主體一般是管理員,驗證普通用戶是否對訪問控制策略具有操作權限。
f)訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級Windows系統此項默認符合
g)應對重要主體和客體設置安全标記,并控制主體對有安全标記信息資源的訪問Windows系統此項基本不符合,Windows自己的訪問控制功能無法滿足本項要求,需要借助第三方軟件實現。
安全審計
a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計通過輸入secpol.msc命令--》本地策略--》審核策略,查看其安全設置是否有成功、失敗,如沒有即未開啟相關功能的審計功能。
Windows審計記錄默認滿足要求,若使用第三方審計工具,則檢查審計工具的記錄是否滿足。
通過輸入eventvwr.msc--》Windows日志
Windows操作系統默認除了administrators組外不能删除修改日志,所以需要檢查應用程序、安全、系統日志策略是否合理,關注點如下圖(下圖是默認配置):
通過輸入eventvwr.msc--》Windows日志--》應用程序--》屬性
訪談管理員是否對于系統日志備份,備份策略,查看備份記錄
d)應對審計進程進行保護,防止未經授權的中斷通過輸入secpol.msc--》本地策略--》用戶權限分配,查看“管理審核和安全日志”策略項是否包含了與審計無關的用戶組(默認符合)
那入侵防範
a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序通過在運行中輸入dcomcnfg-》組件服務-》計算機-》我的電腦
核查并訪談管理員是否存在多餘的組件
通過運行-》appwiz.cpl
核查并訪談是否裝有多餘的服務
通過運行--》services.msc,查看系統服務,查看多餘服務例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已啟動。此處也可以查看telnet 服務是否開啟。
通過運行--》cmd--》輸入net share,查看共享開啟情況
通過運行--》cmd--》netstat -an,查看高危端口開啟情況(例如135,137,138,139,445,3389等)
對于此項,一般系統會僅限制通過本地登錄或堡壘機登錄,接入網絡地址範圍科通過防火牆、堡壘機、主機防火牆來進行限制,下面是主機防火牆的演示。
通過運行-》firewall.cpl-》高級設置-》入站規則-》遠程桌面-》用戶模式(Tcp-In)-》作用域(默認未配置),先查看主機防火牆是否開啟。
此項不适用主機,用于應用測評中。
e) 應能發現可能存在的已知漏洞,并在經過充分測試評估後,及時修補漏洞通過訪談管理員是否有做過漏洞掃描,是否定期,查看漏掃報告。
通過運行--》appwiz.cpl--》查看已安裝更新,查看補丁是否有更新,是否為最新。
核查操作系統是否安裝入侵檢測軟件,EDR,火絨,亞信安全,卡巴斯基等殺毒軟件,是否開啟了入侵檢測和報警功能(通過郵箱,短信等)。
惡意代碼防範
應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識别入侵和病毒行為,并将其有效阻斷。
惡意代碼防範需在網絡層面和主機層面同時進行,訪談管理員網絡防惡意代碼産品和主機防惡意代碼軟件病毒庫是否相同(不同廠家病毒庫不同),檢查防惡意代碼軟件相關功能是否開啟,病毒庫是否及時更新,發現病毒入侵是否有郵件、短信報警機制。
可信驗證
基本上都不符合
剩餘信息保護
a) 應保證鑒别信息所在的存儲空間被釋放或重新分配前得到完全清除通過運行--》secpol.msc--》本地策略--》安全選項,查看是否啟用“不顯示最後的用戶名”策略。
通過運行--》secpol.msc--》本地策略--》安全選項,查看是否啟用“關機:清除虛拟内存頁面文件”策略。
注:一般記住幾條主要的命令就可以查看大部分測評項了。
主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
