windows server测评 等保2.0

简单写一下等保2.0的测评，本文章简单说一下Windows ser的测评根据A3S3G3的定级标准。

2.0里Windows ser测评控制点分十个身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护。每一个控制点下又细分控制项。控制项就是具体此项要测的内容和要求。

一、身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

此项查看管理员登录服务器的方式，一般要求密码长度8位以上，复杂度要求数字、字母大小写和特殊符号其中最少三种字符组成，密码更换周期建议90天。

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

 这三个要开起来的，数值一般是十分钟意思就是，桌面无操作十分钟需要重新登录

 c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

这一项就厉害了，是一个高风险项会影响整体测评，不过不要慌 小场面

黑窗口输入gepdit.msc打开本地组策略编辑器，部分年代较为久远的win ser没有，但是我觉得可以安装的。

这个藏得比较深 按照俺的路径来

找到这两个，测评机构不一样 在意的细节不一样，我建议这两个都开起来吧。

 

 

 此项的关键就是开启加密算法，管理员管理计算机的时候数据防窃听，假如当前设备只能通过管理员拿着网线去机房直连设备操作，那就不符合管理过程中被窃听了，如果是以上情况一般给符合。

 d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

此项测评吧一般的服务器本身都没有这个功能，系统中配备有堡垒机且登录此服务器仅允许堡垒机登录，那么此项可以给符合，有些机构特别狗 满足以上条件也不算符合。啧啧啧，看运气吧，此项还是个高危项。

二、访问控制

a）应对登录的用户分配账户和权限；

这个吧一般都符合

b）应重命名或删除默认账户，修改默认账户的默认口令；

这个吧一般禁用或修改administrator和guest账户。类似于我这样的就行，测这一项的时候一般还要看一下都是存在哪些账户，账户具体干嘛的，测S3A3的系统一般要有系统管理员账户、安全管理员账户、审计管理员账户等等，问清楚账户的具体作用，不能存在账户共享，无人使用、多余过期的账户。

 c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

这个吧 问清楚账号都是干嘛的，不能共享，不能有停用多余的、过期的账户。

d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

这个吧 每个账户应该都有各自的权限，Windows的权限可以把账户分到不同的组实现。

 e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

这个吧 一般是符合 访问控制规则一般都是有管理员设定的

f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

这个吧 一般是符合  访问控制粒度主体达到用户级，客体达到数据库表级，通过设置用户对不同库和表的访问规则实现访问控制。

g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

这个吧 一般都不符合 服务器本身没这功能

三  安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

 

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

此项测评一般吧，就是查看日志的文件，看看存了多久 存到了哪里？

建议审计日志实时发送给日志审计设备并要保存180天以上（180天是有法律法规要求滴，如果是新系统那么查看剩余内存是否能够满足要求）。

d）应对审计进程进行保护，防止未经授权的中断。

此项测评一般吧 就是看低权限账户或者是没有审计权限的账户能不能关闭审计功能，如果不能 呢么符合。

四  入侵防范

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

此项测评一般吧 就是看看控制面板安装过的软件有哪些，和系统无关的软件都不能有比如：快播、百度影音、等等。有的时候还要看服务器的更新情况。

b）应关闭不需要的系统服务、默认共享和高危端口；

此项测评一般吧  打开黑窗口 输入netstat -ano 一般来说业务不需要的都要禁用

共享文件夹 不是业务所需的 禁用

 c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

这个测评项嘛，询问管理员有没得做地址限制，地址限制分网络层面限制和主机本身限制。

如做限制了，查看怎么做的限制，一般主机的是通过防火墙本身 仅允许特定网段或特定ip才能访问本设备。

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

此项不适用服务器测评，嗯就是这样。

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

此项就是看 漏洞扫描结果，一般不能存在高危漏洞，要求比较严格的单位 低危漏洞也不能存在，对扫描的设备也有要求，具体俺不清楚。

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

这一项 就是看有没有部署IDS IPS 态势感知 威胁情报分析等等，还要配置告警功能，比如有严重入侵行为的时候 邮件告警给管理员。

五  可信验证

a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

这一项吧 给不符合 我测评这么多年没见过符合的 这就有人问了 既然大部分不符合为啥要测嘞，我回答一下 这个是未来的趋势，有了这一项 安全性能大大加强。

六 数据完整性

a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

前面设置RDP安全加密协议，这一项就是符合

b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

windows服务器，重要数据默认采用NTLM HASH算法进行加密存储，可以保证重要数据在存储过程中的完整性。

七 数据保密性

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

前面设置RDP安全加密协议，这一项就是符合

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

windows服务器，重要数据默认采用NTLM HASH算法进行加密存储，可以保证重要数据在存储过程中的保密性。

八 数据备份恢复

a）应提供重要数据的本地数据备份与恢复功能；

重要数据备份一般是客户自己定义什么是重要数据（别说没有重要数据），一般的重要数据 日志 应用备份文件，数据库信息等。要能保证服务器损坏可以用这些数据恢复出来，让业务正常运行。

b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

三级要求实时备份，二级要求定时备份。重要的系统如金融、医疗或者S3A3的系统，这一项是高危，而且还没有降危措施。

c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

保证当前系统上重要链路上的网线、安全设备、网络设备、服务器都是高可用的。

ps 查看交换机是否堆叠命令 display stack

九 剩余信息保护

a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

 b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

 

好了，以上就是我的一点小总结，仅供参考。

大体上测评都有一套公认的流程，可是测评机构不同一些细节可能不通。

给大家一点参考文档吧

1. 《中华人民共和国网络安全法》
2. GB/T 22239-2019：《信息安全技术 网络安全等级保护基本要求》
3. GB/T 28448-2019：《信息安全技术 网络安全等级保护测评要求》
4. GB/T 20984-2007：《信息安全技术 信息安全风险评估规范》
5. GB 17859-1999：《信息安全技术 计算机信息系统安全保护等级划分准则》
6. GB∕T 28449-2018：《信息安全技术 网络安全等级保护测评过程指南》

有时间我也写一下Linux的，最近在忙有空再说