网络安全等级保护测评常见设备命令

操作系统

一、Windows
身份鉴别：
计算机管理-本地用户和组
用户账户-管理账户
本地安全策略-账户策略-密码策略
本地安全策略-账户策略-密码锁定策略
右键个性化-屏幕保护程序
gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程会话主机-安全
访问控制：
计算机管理-本地用户和组
lusrmgr.msc(本地用户和组）-用户
%systemdrive%\program files、%systemdrive%\windows\system32\secpol、%systemdrive%\windows\system32\config
%systemroot%\system32\config属性-安全得知users权限
安全审计：
经secpol.msc(本地安全策略）-本地策略-审计策略
eventvwr.msc(事件查看器）-Windows日志
secpol.msc(本地安全策略）-本地策略-用户权限分配-管理审核和安全日志属性
入侵防范：
程序和功能
appwiz.cpl程序和功能-卸载更新目录
dcomcnfg(控制台根节点）-组件/服务-计算机-我的电脑系统不存在多余的服务
services.msc是否开启Alerter、Remote Registry、Service、Messenger、task Scheduler
net share默认共享
netstat -an高危端口135、137、138、139、445、1025
firewall.cpl（防火墙）-高级-入站-远程桌面-用户模式tcp-in属性作用域
gpedit.msc(本地计算机策略）-IP安全策略属性和列表
gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程会话主机-安全
剩余信息保护：
本地安全策略-本地策略-安全选项
计算机配置-windows设置-安全设置-本地策略-安全选项

问：
是否存在多用户、是否多用户共用账号
是否对日志备份并查看日志
是否存在多余的服务、程序
是否定期扫描漏洞、补丁测试安装更新
是否安装入侵检测软件、通过什么报警
看网络拓扑图是否部署IDS、IPS等入侵检测系统
恶意代码的防范：
是否安装防病毒软件、采用的病毒库及更新策略、更新日期不超过一星期
采用何种可信验证及实现原理
网络和主机防病毒软件是
是否采用统一病毒库更新查杀
病毒入侵后如何报警
可信验证：
数据备份：
看网络拓扑图服务器节点热备、集群
看资产列表问是否有其它高可用方式
本地备份位置、异地备份ipxxx主机

二·、Linux
身份鉴别：
系统账户及口令：more /etc/passwd (change -l root)
more /etc/shadow
口令策略：cat /etc/pam.d/system-auth
密码·有效期：cat /etc/login.defs)(cat /etc/pam.d/common-auth)
超时：more /etc/profile | grep TMOUT -a
远程：service sshd status ps –ef( telnet、 rlogin)
访问控制：
文件权限ls –l /etc/passwd
查root远程登录more /etc/ssh/sshd_config
查root权限分配出去：cat /etc/sudoers
安全审计：
审计保护进程：service auditd status (auditctl -s)
日志状态：service rsyslog status
日志信息：cat /var/log/secure或ausearch –ts today
入侵防范：
查看操作系统版本：lsb_release –a (more/etc/issue、cat /etc/redhat-release)
查看补丁：rpm –qa | grep patch
开启的端口：netstat -an|more
安装软件：yum list installed
默认共享：rpm –qi samba
查询系统外部连接许可：more /etc/hosts.allow
查询系统外部连接拒绝：more /etc/hosts.deny
访问：
审计记录保存的目录并验证是否能被普通用户轻易删除
对审计记录的保护措施和备份策略并检查审计记录是否备份不少于六个月
是否安装第三方审计进程保护软件并测试审计管理员能否中断审计进程
是否安装杀毒软件（一般没有）
是否进行可信验证（一般没有）
查看网络拓补图，在网络层面是否部署有入侵检测系统（IDS浅析）。
检查拓补图和资产表，涉及重要数据处理的主机是否有热备机器或集群
三、AIX系统
身份鉴别：查看/etc/security/passwd中passwd字段是否为空
查看UID是否相同 &