等保2.0：Windows服务器-记录表（下）

简介：

大家好，欢迎大家阅读本期文章。本人在这里简要说明一下写此文章的初衷，作为一名等保测评师而言，在学会现场测评取证的前提下，我们还得学会编写记录表，记录表作为我们撰写测评报告的必要素材，我们必须为之而专研。此次记录表的描述风格严格按照测评联盟专家建议的三段式描述方法：测评方法+测评过程+测评结论。测评联盟专家在大会上说过，我们记录表描述的内容要能完全还原现场测评的场景，所以此次记录表描述我尽可能写的与现场情况一致。记录表的描述风格，大家别具一格，每个测评师的注重点都不尽一致，且持观点不同，本人以下编写的内容不一定完全正确，欢迎大家批评指正，各抒己见，为等保事业共尽一份力。

备注：此次记录表按照服务器等保三级通用要求而编写，适用于Windows Server 2008 R2 Enterprise。

入侵防范

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

结果记录：
经核查，在某某服务器上通过win+R（运行）输入dcomcnfg命令-》组件服务-》计算机-》我的电脑-》COM+应用程序，显示仅安装COM+Explorer、COM+Utilities、SystemApplication等必要组件；通过win+R（运行）输入appwiz.cpl命令，显示安装的应用程序，包括：某某卫士、火绒安全软件、驱动精灵等。

符合情况： 部分符合（0.5分）

整改建议： 建议卸载驱动精灵等第三方存在安全风险的应用程序。

b）应关闭不需要的系统服务、默认共享和高危端口；

结果记录： 经核查，在某某服务器上通过win+R（运行）输入services.msc，查看系统服务，未发现开启例如lerter、Remote
Registry Servicce Messsenger、Task Scheduler、telnet等多余服务；通过运行–》cmd–》输入net
share，查看共享开启情况，显示开启C$、D$、E$、IPC$、ADMIN$等共享服务；通过运行–》cmd–》netstat
-an，查看高危端口开启情况，显示开启135、445、3389等高危端口。

符合情况： 不符合（0分）

整改建议： 建议关闭C$、D$、E$、IPC$、ADMIN$等共享服务，禁用135、445、3389等高危端口。

c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

结果记录： 经核查，在某某服务器上通过win+R（运行）输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式（Tcp-
In）-》作用域，显示未对接入IP地址进行限制，且未开启本地防火墙。

符合情况： 不符合（0分）

整改建议： 建议开启本地防火墙功能，并通过win+R（运行）输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式（Tcp-
In）-》作用域，配置：对接入IP地址进行限制，配置白名单策略。

d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

结果记录： 依据GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》，此测评项针对的测评对象不包括服务器，因此该测评项不适用。

符合情况： 不适用

整改建议： 无。

e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

结果记录： 经核查，未定期对某某服务器进行漏洞扫描、渗透测试等测试评估。

符合情况： 不符合（0分）

整改建议： 建议定期进行漏洞扫描、渗透测试等技术检测，对可能存在的已知漏洞、逻辑漏洞，在重复测试评估后及时进行修补，降低安全隐患。

f）应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

结果记录： 经核查，某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件，对发生的入侵行为进行检测，但未能实现实时报警功能。

符合情况： 部分符合（0.5分）

整改建议： 建议在发生入侵事件时，通过短信或者邮寄等方式提供报警，实现实时报警功能。

恶意代码防范

a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

结果记录：
经核查，某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件，对恶意代码攻击进行防护；火绒安全软件版本号为5.0.22.0，病毒库为：2019-09-02，不是最新版本；某某卫士版本号为：企业版2.0.1.499，授权模块为进程保护，USB外设保护。

符合情况： 部分符合（0.5分）

整改建议： 建议将火绒安全软件等防护软件的版本及病毒库更新至最新版本。

可信验证

a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

结果记录： 经核查，某某服务器未实现基于可信根的可信验证。

符合情况： 不符合（0分）

整改建议： 建议基于可信根对服务器的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。

数据完整性

a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

结果记录：
经核查，在某某服务器上通过win+R（运行）输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全，显示远程（RDP）连接要求使用指定的安全层：未配置，未能保证重要数据在传输过程中的完整性。

符合情况： 不符合（０分）

整改建议：
建议通过win+R（运行）输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全，
启用“远程（RDP）连接要求使用指定的安全层”，并选择TLS1.0以上版本的安全层，保证重要数据在传输过程中的完整性。

b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

结果记录： 经核查，某某服务器鉴别数据存储于Windows\System32\config\SAM文件中，使用NTLM
Hash算法加密存储，但未能保证鉴别数据存储过程中的完整性。

符合情况： 不符合（0分）

整改建议： 建议采用能保证鉴别数据在存储过程中完整性的加密方式对鉴别数据进行加密存储。

数据保密性

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

结果记录：
经核查，在某某服务器上通过win+R（运行）输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全，显示远程（RDP）连接要求使用指定的安全层：未配置，未能保证重要数据在传输过程中的保密性。

符合情况： 不符合（０分）

整改建议：
建议通过win+R（运行）输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全，
启用“远程（RDP）连接要求使用指定的安全层”，并选择TLS1.0以上版本的安全层，保证重要数据在传输过程中的保密性。

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

结果记录： 经核查，某某服务器鉴别信息存储于Windows\System32\config\SAM文件中，已使用NTLM Hash算法加密存储。

符合情况： 符合（1分）

整改建议： 无。

数据备份恢复

a）应提供重要数据的本地数据备份与恢复功能；

结果记录： 经核查，未定期对某某服务器重要数据进行本地备份。

符合情况： 不符合（0分）

整改建议： 建议定期对重要数据进行本地备份。

b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

结果记录： 经核查，未对某某服务器重要数据进行异地实时备份。

符合情况： 不符合（0分）

整改建议： 建议对重要数据进行异地实时备份。

c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

结果记录： 经核查，某某服务器未采用冗余部署，不能保证的高可用性。

符合情况： 不符合（0分）

整改建议： 建议采用冗余方式进行部署，保证系统的高可用性。

剩余信息保护

a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

结果记录：
经核查，在某某服务器上通过win+R（运行）输入secpol.msc–》本地策略–》安全选项，显示“交互式登录：不显示最后的用户名”策略为已启用状态，能保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

符合情况： 符合（1分）

整改建议： 无。

b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

结果记录：
经核查，在某某服务器上通过win+R（运行）输入secpol.msc–》本地策略–》安全选项，显示“关机：清除虚拟内存页面文件”策略为已禁用状态，未能保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

符合情况： 不符合（0分）

整改建议：
建议通过win+R（运行）输入secpol.msc–》本地策略–》安全选项，显示“关机：清除虚拟内存页面文件”配置为已启用状态，保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！