Windows和Linux等保加固测评（1）

按着这个教程在自己虚拟机里面做一遍（Windowsserver2008和Windowsserver2012都做一篇）

1.主机安全包括物理位置的选择、物理访问控制和防盗、防火、防水、防雷、温湿度控制、电力供应、防静电和电磁防护。

2.网络安全：包括结构安全、安全审计、访问控制、边界完整性检查、恶意代码防范、入侵防范和网络设备防护等。三级要求主要增强点：结构安全扩展到对重要网段采取可靠的技术隔离，在网络边界增加对恶意代码检测和清除；安全审计增强审计数据分析和保护，生成审计报表；访问控制扩展到对进出网络的信息内容过滤；

3.主机安全：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和资源控制等。三级要求主要增强点：身份鉴别要求对管理用户采用组合鉴别技术；

4.应用安全：包括身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。三级要求主要增强点：身份鉴别要求组合鉴别技术；访问控制和安全审计基本同主机安全增强要求；要求对通信过程中的整个报文或会话过程进行加密；

5.数据安全：包括数据完整性和保密性、数据的备份和恢复。三级要求主要增强点：对系统管理数据、鉴别信息和重要业务数据在存储过程和传输过程中完整性进行检测和恢复，采用加密或其他有效措施实现以上数据传输和存储的保密性；提供异地数据备份等。

Windowsserver2016安装教程

 Windows Server 2016的镜像大家可以从MSDN（MSDN, 我告诉你 - 做一个安静的工具站）下载，在操作系统一栏选择Windows Server 2016 简体中文版

接下来开始安装

选择典型，然后下一步

选择稍后安装操作系统

选择对应的系统版本，这里我们应该要选Windows Server 2016

虚拟机名称自定义，位置可以放在我们刚才准备好的文件夹里面

选择默认即可-点击自定义硬件，修改硬件配置-我把内存调整到了4GB，镜像这里要选择刚刚下载好的镜像，设置完成之后关闭即可

打开虚拟机之后显示窗口提示“Time Out EFI Network”信息，然后出现boot界面，解决方法：重启设备后当出现press any key tobootfrom CD orDVD时快速按下enter键，如果不够快还是出现timeout，请再重启，成功进入界面后

解决方法二：

原因：创建虚拟机时默认固件类型时UEFI，导致启动虚拟机时系统会进入EFI界面，VMware16版本虚拟机更换固件类型位置   

镜像文件是windows系统，选择BIOS固件类型，系统才会正确引导安装系统

默认选项，点击下一步

点击现在安装-选择我没有产品密钥先不要激活，先安装系统，等系统安装完成之后，大家再自行激活

选择要安装的操作系统：建议选择2，4（后面带有桌面体验） ，因为1，3系统都是用命令来操作的，对初学者来说多少有点不友好；选择第二个标准版桌面体验，然后点击下一步。

点击我接受许可条款，下一步

选择自定义：仅安装Windows（高级）

磁盘分区与选择Windows安装位置选中驱动器0（未分配空间），点击新建，新建分区大小然后选择应用，点击应用后，跳出一个窗口，点击确认即可，注：要是最大磁盘大小比较少，分一个区就好。我就直接分一个区

最后进入正在安装Windows的界面，稍等片刻即可。安装完成之后需要设置登录密码，这里系统默认必须强密码。进入系统之后win+r之后gpedit.msc进入本地组策略编辑器-计算机设置-Windows设置-安全设置-帐户策略-密码策略-密码必须符合复杂性要求改为禁用。然后开始-服务器管理器-工具-计算机管理-本地用户和组-用户-administrator设置密码，这样就能改成简单的密码防止忘记。

Windows等保

身份鉴别

测评项目a ：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1)使用Win键+R键打开运行，输入control userpasswords2命令并运行，查看是否勾选勾选了“要使用本机，用户必须输入用户名和密码”
2)打开“控制面板”->“管理工具”→>“计算机管理”->“本地用户机组”，检查所有用户名是否具有唯一性
3)打开“控制面板”->“管理工具”->“本地安全策略”->“账户策略”->“密码策略”,检查“复杂性要求”是否开启，记录“密码长度”、“密码最短使用期限”、“密码最长使用期限”、“密码历史”等策略的值

具体操作：

要求1身份标识功能（用户名）就不用说了，属于windows自带功能。而对用户进行鉴别也就是登录时需要你输入用户名、口令的行为，不是强制开启的，可以在某种程度上取消掉。

针对本地登录，使用Win+R组合键打开运行框，在里面内输入netplwiz（control userpasswords2），则会出现用户账户页面，如下所示：

• 如果不勾选红框内容，则表示下次开机时会跳过验证直接登录Admin账号。但是并不是任何情况都会跳过登录，账号切换、睡眠、锁定、注销都需要再次进行身份鉴别。
• 如果某用户是空口令，那么肯定不能达到该要求。

要求2

身份标识具有唯一性

即用户名或用户ID不能重复，这个不用多说，windows自动实现，默认符合。net user可查看

查看当前用户SID：whoami /user

查询SID：whoami /all

wmic useraccount get name,sid （查看当前系统所有用户的SID）

要求3应核查用户配置信息或测试验证是否不存在空口令用户

空口令去查就能知道，选择 控制面板 ==> 管理工具 ==> 计算机管理 ==> 本地用户和组 ，核查有哪些用户，并尝试使用空口令登录。或者win+r输入lusrmgr.msc

要求4查用户鉴别信息是否具有复杂度要求并定期更换

开始→“管理工具”→“本地安全策略”→“账户策略”→“密码策略”检查系统的密码策略配置情况

使用Win+R组合键打开运行框，在里面内输入 net user administrator，查看administrator账户更换密码的情况，加以证实。查看下一次设置密码的时间

对于口令更换策略而言，还有个地方需要先去看看，也就是在计算机管理-本地用户和组-用户中，如果这里勾选了“密码永不过期”，那么windows的密码策略中的“密码最长使用期限”也就失效了。需要先把“密码永不过期”去掉。

测评