等保测评之主机测评——Windows Sever

目录

• （一）身份鉴别
• （二）访问控制
• （三）安全审计
• （四）入侵防范
• （五）恶意代码防范
• （六）可信验证
• （七）数据完整性
• （八）数据保密性
• （九）数据备份恢复
• （十）剩余信息保护

在测评过程中最为常见的是三级系统，所以本文按照三级等保标准进行测评。

本文中出现的测评截图均为博主搭建的测试环境。（请勿泄露客户的生产环境信息）

（一）身份鉴别

1.1 控制项：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

　　测评方法：

　　1）2008：打开—>控制面板—>系统和安全—>管理工具—>计算机管理—>本地用户和组;，检查有哪些用户，检查是否设置密码永不过期。（此处还可以查看是否禁用默认账户administrator、Guest，是否存在测试账户,是否三权分立）

　　　　　　　　　　

　　2）打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>密码策略，检查密码必须符合复杂性要求:已启用，密码长度最少为8位，密码最长使用期限:90-180天，密码最短使用期限:不为0，强制密码历史:2个以上。

　　　　　　　　　　

1.2 控制项：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

　　测评方法：

　　1）打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>账户锁定策略，检查账户锁定时间:不为不适用，账户锁定阈值:不为不适用。

　　　　　　　　　　

　　2）打开—>控制面板—>外观—>显示—>更改屏幕保护程序;，查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾；

　　　　　　　　　　

　　3）运行->计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->会话时间限制，设置会话活动但空闲的远程桌面会话的时间限制。

　　　　　　　　　　

1.3 控制项：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

　　测评方法：

　　1）如果是本地管理或KVM等硬件管理方式，此要求默认满足。

　　2）如果采用远程管理，则需采用带加密管理的远程管理方式。运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->RDP连接要求使用的安全层->已启用远程ssl加密方式或RDP加密方式。

　　　　　　　　　　

　　　　运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->设置客户端连接加密级别（高级别）已启用.

　　　　　　　　　　

1.4 控制项：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现；

　　测评方法：查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令、教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术。

（二）访问控制

2.1 控制项：应对登录的用户分配账户和权限；

　　测评方法：

　　1）访谈系统管理员，操作系统能够登录的账户，以及它们拥有的权限。

2）查看注册表内容，与用户列表比对，确认是否存在匿名用户：

2.2 控制项：应重命名或删除默认账户，修改默认账户的默认口令；

　　测评方法：见1.1。

2.3 控制项：应及时删除或停用多余的、过期的账户，避免共享账户的存在；

　　测评方法：见1.1。

2.4 控制项：应授予管理用户所需的最小权限，实现管理用户的权限分离；

　　测评方法：见1.1。

2.5 控制项：应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

　　测评方法：

1）访谈系统管理员有哪些能够配置访问控制策略的用户；　

2）查看重点目录的权限配置，是否依据安全策略配置访问规则：选择 systemdriver\windows \system\system32\config等相应的文件夹，右键选择->属性->安全->查看everyone组、users组和administrators组的权限设置。

2.6 控制项：访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

　　Windows默认符合

2.7 控制项：应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

　　测评方法：　

　　1）查看操作系统功能手册或相关文档，确认操作系统是否具备能对信息资源设置敏感；

2）询问管理员是否对重要信息资源设置敏感标记；

3）询问或查看目前的敏感标记策略的相关设置，如:如何划分敏感标记分类，如何设定访问权限等。

（三）安全审计

3.1 控制项：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

　　测评方法：

　　1）打开->控制面板->系统和安全->管理工具->本地安全策略->本地策略->审核策略，查看策略配置情况；

　　　　　　　　　　

　　2）询问并查看是否有第三方审计工具或系统。

3.2 控制项：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

　　测评方法：

　　1）打开->控制面板->管理工具->计算机管理->事件查看器->Windows日志，点击查看应用程序、安全、系统日志，查看日志文件是否满足此项要求，并查看日志是否满足六个月。

　　　　　　　　　　

　　　　　　　　　　

　　　　　　　　　　

　　2) 如果安装了第三方审计工具，则:查看审计记录是否包括日期、时间，类型、主体标识、客体标识和结果。

3.3 控制项：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

　　测评方法：访谈、询问并验证日志文件备份位置。

3.4 控制项：应对审计进程进行保护，防止未经授权的中断；

　　测评方式：Windows默认符合。

（四）入侵防范

4.1 控制项：应遵循最小安装的原则，仅安装需要的组件和应用程序；

　　测评方法：

　　1）打开->控制面板->程序->程序和功能;，查看操作系统中已安装的程序，询问是否有目前不需要的组件和应用程序。

　　　　　　　　　　

4.2 控制项：应关闭不需要的系统服务、默认共享和高危端口；

　　测评方法：　　

　　1）查看系统服务：在命令行输入"services. msc—;，打开系统服务管理界面，查看右侧的服务详细列表中多余的服务， 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动；

　　　　　　　　　　

　　2）查看监听端口：在命令行输入"netstat -an;，查看列表中的监听端口，是否包括高危端口，如 TCP 135、139 、45、 593、1025端口，UDP 135、137、 138、445端口，一些流行病毒的后门端口，如TCP 2745、3127、6129端口。

　　　　　　　　　　

　　3）查看默认共享：在命令行输入"net share"，查看本地计算机上所有共享资源的信息，是否打开了默认共享，例如C$、D$；

　　　　　　　　　　

　　4）查看主机防火墙策略：在命令行输入"firewall. cpl;打开Windows防火墙界面，查看Windows防火墙是否启用。若启用，点击->入站规则，查看是否阻止访问多余的服务或高危端口。

　　　　　　　　　　

4.3 控制项：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

　　测评方法：

　　1）询间系统管理员管理终端的接入方式；

　　2）查看主机防火墙对登录终端的接入地址限制：在命令行输入"firewall.cpl;,打开Windows防火墙界面，查看Windowsd防火墙是否启用。点击->入站规则，查看是否添加IP限制；

　　3）在命令行输入->gpedit.msc"打开组策路编辑器界面，点击左侧列表中的->本地计算机策略->计算机配置->Windows设置->安全设置->IP安全策略，右击->IP安全策略，点击->管理IP筛选器表和筛选器操作，查看是否添加IP限制；

　　　　　　　　　　

　　4）若服务器未开启远程桌面连接功能，此项默认符合。

　　5）核查是否通过堡垒机结合网络ACL策略控制终端接入。

4.4 控制项：不适用

4.5 控制项：应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

　　测评方法：

　　1）访谈系统管理员是否定期对操作系统进行漏洞扫描，是否对扫描发现的漏洞进行评估和补丁更新测试，是否及时进行补丁更新以及更新的方法。

2）在命令行输入"appwiz.cpl" ,打开程序和功能界面，点击左侧列表中的->查看已安装的更新->打开->已安装更新界面，查看右侧列表中的补丁更新情况

　　　　　　　　　　

4.6 控制项：应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

　　测评方法：

　　1）访谈系统管理员是否安装了主机入侵检测软件，查看已安装的主机入侵检查系统的配置情况。

2）软件是否具备报警功能。

（五）恶意代码防范

5.1 控制项：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

　　测评方法：　

　　1）查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过15天。

2）或查看系统中采取何种可信验证机制，访谈管理员实现原理等。

3）验证当发现病毒入侵行为时，是否有效阻断。

　　　　　　　　　　

（六）可信验证

6.1 控制项：可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心；

　　测评方法：

　　1）核查服务器的启动，是否实现可信验证的检测过程，查看对那些系统引导程序、系统程序或重要配置参数进行可信验证。

2）修改其中的重要系统程序之一和应用程序之一，核查是否能够检测到并进行报警。

3）是否将验证结果形成审计记录送至安全管理中心。

（七）数据完整性

7.1 控制项：应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

　　测评方法：见1.3

7.2 控制项：应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

　　测评方法：检查操作系统内是否安装了第三方主机防护软件，实现对系统文件完整性的保护功能。

（八）数据保密性

8.1 控制项：应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

　　测评方法：见1.3

8.2 控制项：应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

　　测评方法

　　1）默认情况下，windows操作系统对用户鉴别信息等敏感数据采用hash形式存储。

2）询问管理员是否采用密码技术对重要业务数据和重要个人信息（非操作系统本身）进行加密存储。

（九）数据备份恢复

9.1 控制项：应提供重要数据的本地数据备份与恢复功能；

　　测评方法：

　　1）访谈系统管理员，询问是否对操作系统中的重要配置信息进行备份，备份策略是什么，如果是虚拟机，可以查快照。

2）核查备份策略是否正确。

3）备份结果是否与备份策略一致。

9.2 控制项：异地备份：不适用

9.3 控制项：应提供重要数据处理系统的热冗余，保证系统的高可用性；

　　测评方法：

　　1）查看网络拓扑结构图，了解网络线路上的重要服务器节点是否其他热备、集群等高可用设备；

2）访谈管理员并查看资产列表，待查服务器有无其他高可用方式。

（十）剩余信息保护

10.1 控制项：应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

　　测评方法：

　　1）win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开，查看->本地策略->安全选项中的->"交互式登录：不显示最后的用户名"和"网络访问：不允许存储网络身份验证的密码和凭据"。

　　　　　　　　　　

　　　　　　　　　　

10.2 控制项：应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除；

　　测评方法：

　　1）win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开，查看->本地策略->安全选项中的->关机：清除虚拟内存页面文件。

　　　　　　　　　　

***************************转载请注明出处，尊重原创！***************************