对Windows操作系统进行等保测评的原因在于确保系统在信息安全方面达到一定的标准和要求。通过评估系统的安全性、访问控制、身份认证、日志和审计、数据保护、应用程序安全、网络安全以及安全管理和应急响应等方面,可以有效识别系统存在的安全风险和漏洞,进而采取相应的措施加强系统的安全防护,保护重要信息资产不受损害,确保系统的稳定运行和信息安全。
等保测评计算机环境
目录
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别人侵和病毒行为,并将其有效阻断。
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
1、是否制定备份策略,对主机中的数据进行备份并进行恢复性测试
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
1)应核查用户在登录时是否采用了身份鉴别措施;
2)应核查用户列表确认用户身份标识是否具有唯一性;
3)应核查用户配置信息或测试验证是否不存在空口令用户;
4)应核查用户鉴别信息是否具有复杂度要求并定期更换。
查看是否使用账户+密码登录,勾选则为符合。
如下图案例:已经勾选了,说明采用了身份鉴别策略
查看是否配置了账号密码复杂度策略。
密码策略基本要求如下:
密码必须符合复杂性要求--启用
密码长度最小值--8
密码最长使用期限(可选)--180天
密码最短使用期限--1天
强制密码历史--5次
下图案例中是符合的。
查看是否定期更换密码,是否设置“密码用户永不过期”。
案例中有账户设置了密码永不过期,故而定期更换密码策略这项是不符合的。
1)应核查是否配置并启用了登录失败处理功能;
2)应核查是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等;
3) 应核查是否配置并启用了登录连接超时及自动退出功能。
查看账户锁定策略。
账户锁定策略标准如下:
复位帐户锁定计数器--3分钟
帐户锁定时间--5分钟
帐户锁定阀值--5次无效登录
案例中配置了相关账户锁定策略。
检查屏保是否设置了,启用在恢复时显示登陆屏幕,小于15分钟。
案例中屏保小于15分钟。
查看会话时间限制,是否设置活动但空闲的远程的远程桌面服务会话的时间限制。
案例中未配置会话时间限制!
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听。
案例中不能使用telnet连接本地主机,说明了未开启telnet。
查看远程(RDP)连接要求使用指定的安全层,是否为“SSL”
案例中未配置!
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别,
2)应核查其中一种鉴别技术是否使用密码技术来实现。
查看对用户进行身份鉴别是采用两种或以上机制,且其中一种鉴别技术至少应使用密码技术来实现,比如用户名/密码、CA、USB KEY、生物特征识别等中的两种
I know(我知道):帐号+密码、验证码、个人信息等(*必须的*)
I have(我拥有):手机短信、USB-key、令牌等
Mine(我的):生物特征:指纹、虹膜、人脸
1) 应核查是否为用户分配了账户和权限及相关设置情况;
2)应核查是否已禁用或限制匿名、默认账户的访问权限
2、运行compmgmt.msc--系统工具--本地用户和组--具体用户--属性,查看用户所在组以及组权限是否和用户权限表一致
3、选择%systemdrive%\w indows \system、%systemroot %\system32\config等相应的文件夹,右键选择“属性”>“安全”,查看everyone组、users组和administrators组的权限设置
操作系统已启用哪些用户,并查看匿名用户和guest账户情况
测评要求:
1)应核查是否已经重命名默认账户或默认账户已被删除;
2)应核查是否已修改默认账户的默认口令。
1、查看系统中是否存在默认账户和默认账户的权限:运行“compmgmt.msc”或"lusrmgr.msc"在计算机管理--本地用户和组--用户中检查管理员默认帐号名administrator、guest是否重命名或被删除、禁用
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。
测评要求:
1) 应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应;
2)应测试验证多余的、过期的账户是否被删除或停用。
1、查看系统中是否存在多余账户:运行“compmgmt.msc”在计算机管理--本地用户和组--用户:禁用guest、internet来宾帐户等多余帐户
操作系统存在哪些用户并对应角色,账号是否存在多人共用一或存在多余
案例中,有个多余账户test。
测评要求:
1) 应核查是否进行角色划分;
2)应核查管理用户的权限是否已进行分离;
3)应核查管理用户权限是否为其工作任务所需的最小权限。
2、查看系统中特权用户的权限是否进行分离:运行“compmgmt.msc”在计算机管理--本地用户和组--用户中检查相关项目;并分别使用不同用户登陆测试用户权限是否分离;
3、查看管理用户是否分配所完成工作的最小权限,运行"gpedit.msc"或"secpol.msc"在计算机配置--Windows设置--安全设置--本地策略--用户权利指派中的相关项目:(从远端系统强制关机、关闭系统”应只有Administrators组;审计员需要在event log readers和performance monitor users组别里面。)
操作系统存在哪些用户并对应组权限,是否仅授予管理用户所需的最小权限形成相互制约关系
注:administrators组权限为缺省设置,Administrator拥有系统管理的最高权限
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
测评要求:
1)应核查是否由授权主体(如管理用户)负责配置访问控制策略;
2)应核查授权主体是否依据安全策略配置了主体对客体的访问规则;
3)应测试验证用户是否有可越权访问情形。
2、查看重点目录的权限配置,是否依据安全策略配置访问规则,检查包含system32在内的重要文件属性,其他账户是否只允许读取
3、登录其他用户输入compmgmt.msc gpedit.msc regedit control.msc等命令运行只能读取,修改尝试失败
4、由系统管理员通过控制面板--管理工具--计算机管理--本地策略--安全选项、用户权限分配进行用户角色权限分配,控制不同角色对客体资源的访问
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
测评要求:
应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。
1、选择%systemdrive%\program files 、%systemdrive% \system32等重要的文件夹,以及%systemdrive%\Windows \system32 config 、%systemdrive%\Windows\system32\secpol等重要的文件,右键选择“属性”>“安全”--高级,查看除管理员外的users访问权限设置是否合理且应用于“此文件夹、子文件夹和文件、”,系统管理员是否可对关键文件夹进行创建、写入、删除、更改等权限。
2、授权主体是否为用户级或用户组级,客体是否为文件还是文件夹级
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评要求:
1)应核查是否对主体、客体设置了安全标记;
2)应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略
1、查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感
3、询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等(DLP,文档加密属于部分符合)
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
测评要求:
1)应核查是否开启了安全审计功能;
2)应核查安全审计范围是否覆盖到每个用户;
1、查看系统是否开启了安全审计功能,在命令行输入“"secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置--本地策略--审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况,是否都是成功、失败
1)结果如下:
a)审核策略更改:成功,失败
b)审核登录事件:成功,失败
c)审核对象访问:成功,失败
d)审核进程跟踪:成功,失败
e)以审核目录服务访问:失败
f)审核特权使用:失败
g)审核系统事件:成功,失败
h)审核账户登录事件:成功,失败
i)审核账户管理:成功,失败
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
查看审计记录是否包含要求的信息
1、在命令行输入"eventvwr.msc",弹出“事件查看器”窗口,“事件查看器(本地)--Windows日志"下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求
注:Windows操作系统审计记录:级别(关键字)、日期和时间、来源、事件ID、任务类别
3、如果安装了第三方审计工具,则查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果等
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
测评要求:
1)应核查是否采取了保护措施对审计记录进行保护;
2)应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。
1、默认用户guest账号是否可以访问事件日志,控制面板->管理工具->计算机管理->本地策略->用户权限分配查看,管理审核和安全日志项是否只有特定组或特定用户才能进行操作管理
2、在命令行输入“eventvwr. msc”,弹出“事件查看器”窗口,“事件查看器(本地)--Windows 日志”下包括“应用程序” 、” 安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略(审计记录日志最大大小(需要大于或等于52100kb)、日志满时将其存档)
3、如日志数据本地保存,则询问审计记录备份周期策略、有无异地备份、是否部署日志服务器等,如日志数据外部保存,则:询问是否将日志数据存放在日志服务器上且审计策略合理
测评要求:
应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护。
2、在命令行输入"secpol.msc",弹出“本地安全策略”窗口,点击“安全设置--本地策略--用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组
注:windows自身机制已保护审计进程,避免受到未预期的中断
测评要求:
1)应核查是否遵循最小安装原则;
2)应核查是否未安装非必要的组件和应用程序。
2、在运行中输入"dcomcnfg"打开组件服务,检查是否存在多余的组件,注:常见多余组件如telnet-server、FTP等
测评要求:
1)应核查是否关闭了非必要的系统服务和默认共享;
2)应核查是否不存在非必要的高危端口。
1、在命令行输入"services.msc",查看系统运行中服务是否存在不需要的服务。注:不需要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler、Print Spooler、Remote Segistry等
2、在命令行输入"netstat -ano",查看是否存在不必要的端口。注:不必要的端口如TCP:135、139、445、593、1025,UDP:135、137、138、445,常用后门端口:2745、3127、6129 4444等
3、在命令行输入"net share",查看是否开启了默认共享,注:默认共享如C$、D$等
注:如开启高危端口和共享服务则,查看是否配置安全策略,方法如下:
a.在命令行输入"gpedit.msc",计算机策略--安全设备--IP安全策略,在本地计算机,查看 “IP 筛选器列表”和“IP筛选器属性”
b.打开控制面板--管理工具--高级安全window防火墙--入站规则,是否有阻止访问多余或不必要的服务和端口
c.检查控制面板--Windows Defender 防火墙--高级设置中,是否有阻断类的规则(名称左侧图标为阻断图标的)
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
测评要求:
应核查配置文件或参数是否对终端接入范围进行限制。
1、在命令行输入"firewall.cpl”,打开Windows防火墙界面,查看Windowsd防火墙是否启用,查看高级设置--入站规则--远程桌面一用户模式(TCP-In)--作用域,查看是否限制终端登录
2、在命令行输入"gpedit.msc",计算机策略--安全设备--IP安全策略,在本地计算机,查看 “IP 筛选器列表”和“IP筛选器属性”,查看是否有IP策略(查看系统是否启用TCP/IP筛选功能对接入终端控制,检查本地连接>属性>TCP/IP协议属性>高级>选项>TCP/IP筛选相关项目)
3、询问管理员是否在安装的主机版杀毒软件或主机版防入侵软件中限制了终端登录
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
1)应核查系统设计文档的内容是否包括数据有效性检验功能的内容或模块;
2)应测试验证是否对人机接口或通信接口输入的内容进行有效性检验。
根据《GBT28448-2019信息安全技术 网络安全等级保护测评要求》,此项测评对象不包含操作系统,此项不适用。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
测评要求:
1)应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;
2)应核查是否在经过充分测试评估后及时修补漏洞。
1、访谈系统管理员是否定期对操作系统进行漏洞扫描,管理员是否提供定期的漏洞修复评估报告(包含测试)
2、在命令行输入"appwiz.cp1" ,查看已安装的更新,查看补丁更新情况(补丁版本、安装时间),是否与测评时间接近
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评要求:
1)应访谈并核查是否有入侵检测的措施;
2)应核查在发生严重入侵事件时是否提供报警。
a.查看主机入侵检测软件的版本和特征库的更新策略和周期
b.查看主机入侵检测软件的配置情况,是否具备报警功能
2、查看网络拓扑图,是否在网络层面部署了入侵检测系统(IDS)
a.查看入侵检测系统的版本和特征库的更新策略和周期
b.查看入侵检测系统的配置情况,是否具备报警功能
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别人侵和病毒行为,并将其有效阻断。
测评要求:
1) 应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
2)应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为;
3)应核查当识别入侵和病毒行为时是否将其有效阻断。
1、核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证
2、修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
测评要求:
1、核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证
2、修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
测评要求:
1)应核查系统设计文档, 鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在传输过程中是否采用了校验技术或密码技术保证完整性;
2)应测试验证在传输过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在传输过程中的完整性受到破坏并能够及时恢复。
运行“gpedit.msc”计算机配置--管理模板--Windows组件--远程桌面服务--远程桌面会话主机--安全--设置客户端连接加密级别,是否为“高级别”、远程(RDP)连接要求使用指定的安全层,是否为“SSL”,是否已勾选“仅允许使用网络级别身份验证的远程桌面的计算机连接(更安全)
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
测评要求:
1) 应核查设计文档,是否采用了校验技术或密码技术保证鉴别数据、 重要业务数据、重要审计数据、重要配置数据.重要视频数据和重要个人信息等在存储过程中的完整性;
2) 应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等在存储过程中的完整性;
3)应测试验证在存储过程中对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等进行篡改,是否能够检测到数据在存储过程中的完整性受到破坏并能够及时恢复。
1、是否制定备份策略,对主机中的数据进行备份并进行恢复性测试
2、访谈系统管理员和实地查看相关资料,是否有利用第三方软件对鉴别数据、重要审计数据、配置数据等进行完整性校验,测试第三方软件是否能够防篡改,同时能够对破坏进行及时恢复
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
测评要求:
1) 应核查系统设计文档,鉴别数据.重要业务数据和重要个人信息等在传输过程中是否采用密码技术保证保密性;
2)应通过嗅探等方式抓取传输过程中的数据包,鉴别数据、重要业务数据和重要个人信息等在传输过程中是否进行了加密处理。
运行“gpedit.msc”计算机配置--管理模板--Windows组件--远程桌面服务--远程桌面会话主机--安全--设置客户端连接加密级别,是否为“高级别”、远程(RDP)连接要求使用指定的安全层,是否为“SSL”,是否已勾选“仅允许使用网络级别身份验证的远程桌面的计算机连接(更安全)。
- 系统采用了密码技术对传输过程中的鉴别数据、重要业务数据和重要个人信息进行了保密性处理;2、通过嗅探等方式抓取传输过程中的数据包,未发现明文传输的鉴别数据、重要业务数据和重要个人信息等。)
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
测评要求:
1)应核查 是否采用密码技术保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;
2)应核查是否采用技术措施(如数据安全保护系统等)保证鉴别数据、重要业务数据和重要个人信息等在存储过程中的保密性;
3)应测试验证是否对指定的数据进行加密处理。
1、访谈系统管理员和实地查看相关资料,是否有利用第三方软件保障鉴别数据、重要业务数据、重要个人信息等的保密性(SAM文件、注册表信息是否已进行加密)
3、测试前先打开抓包工具选取相应网卡,如:使用wireshark,看需要对抓取的数据包进行过滤,a)ip过滤,如查找192.168.101.8的包,在Filter中输入ip.dst==192.168.101.8;b)端口过滤,如过滤80端口,在Filter中输入,tcp.port==80(源端口和目的端口过滤),tcp.dstport==80(过滤目的端口),tcp.srcport==80(过滤源端口);c)协议过滤,直接在filter中输入协议名,如http协议;对抓取的数据包进行分析,查看关键数据是否是明文或密文。
测评要求:
1) 应核查是否按照备份策略进行本地备份;
2) 应核查备份策略设置是否合理.配置是否正确;
3) 应核查备份结果是否与备份策略一致;
4)应核查近期恢复测试记录是否能够进行正常的数据恢复。
2、备份策略是否合理正确(至少每月1次备份、每次更新一次备份 )
3、备份文件与备份策略是否一致
4、是否有本年度恢复测试记录
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地。
1、配置数据是否异地备份
2、备份是否是实时备份,备份距离是否大于20KM
应核查重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等)是否采用热冗余方式部署。
服务器是否采用热冗余(如服务器集群、负载均衡等方式)
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
应核查相关配置信息或系统设计文档,用户的鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。
运行中输入"gpedit.msc",打开计算机配置--Windows设置--安全设置--本地策略--安全选项,交互式登录:不显示最后的用户名是否已启用(启用才符合)
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
应核查相关配置信息或系统设计文档,敏感数据所在的存储空间被释放或重新分配给其他用户前是否得到完全清除。
运行中输入"gpedit.msc",打开计算机配置--Windows设置--安全设置--本地策略--安全选项,关机:清除虚拟内存页面文件是否已启用
启用了这项才符合
1) 应核查采集的用户个人信息是否是业务应用必需的;
2)应核查是否制定了有关用户个人信息保护的管理制度和流程。
根据《GBT28448-2019信息安全技术 网络安全等级保护测评要求》,此项测评对象不包含操作设备,此项不适用。
1)应核查是否采用技术措施限制对用户个人信息的访问和使用;
2)应核查是否制定了有关用户个人信息保护的管理制度和流程。
根据《GBT28448-2019信息安全技术 网络安全等级保护测评要求》,此项测评对象不包含操作设备,此项不适用。