文章目录
1. 身份鉴别
1.1 测评项目 a)
内容
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1.1.1 应核查用户在登录时是否采用了身份鉴别措施
身份标识功能(用户名)属于windows自带功能。用户进行鉴别就是登录时需要你输入用户名、口令的行为,不是强制开启的,可以在某种程度上取消掉。
针对本地登录,使用Win+R打开运行框,在里面内输入netplwiz,则会出现用户账户页面
- 如果不勾选红框内容,则表示下次开机时会跳过验证直接登录Admin账号。但是并不是任何情况都会跳过登录,账号切换、睡眠、锁定、注销都需要再次进行身份鉴别。
- 如果某用户是空口令,那么肯定不能达到该要求。
1.1.2 应核查用户列表确认用户身份标识是否具有唯一性
window自动实现,即用户名或用户ID不能相同。默认符合
1.1.3 应核查用户配置信息或测试验证是否不存在空口令用户
空口令去查就能知道,略过
1.1.4 应核查用户鉴别信息是否具有复杂度要求并定期更换
复杂度要求
- 要看口令有没有达到实际要求的复杂度。
- 要看windows是否配置了复杂度安全策略
- 在 Win+R 中输入
secpol.msc可以打开本地安全策略
可以看到密码的复杂度以及达到了需要的要求
定期更换
这个就是看口令的更换周期在CMD中输入net user 用户名查看上一次设置密码的时间
或者我们也可以直接看密码策略里面,里面都有写密码最长使用时间
对于口令更换策略还需要注意计算机管理-本地用户和组-用户中
如果这里勾选了密码永不过期的话,上面的时间策略也就失效了。
1.2 测评项目 b)
内容
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
1.2.1 应核查是否配置并启用了登录失败处理功能,是否配置并启用了限制非法登录功能,非法登录达到一定次数后采取特定动作,如账户锁定等
这个只用看账户锁定策略的锁定时间和次数就行,一般是5次/30min
1.2.2应核查是否配置并启用了登录连接超时及自动退出功能
这个只用看屏幕保护程序或者睡眠时间就行,小于30min即可。
1.3 测评项目 c)
内容
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
1.3.1 应核查是否采用加密等安全方式对系统进行远程管理,防止鉴别信息在网络传输过程中被窃听
如果服务器没有连接外部网络,没有WIFI,管理服务器只能去机房操作,就不村子啊远程管理,即符合。
如果存在远程管理,则:
- 远程桌面
计算机配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—安全
或者运行tsconfig.msc,打开远程桌面会话主机配置
还有就是要看有没有打开telnet,打开了就默认不符合,因为telnet默认不加密。
1.4 测评项目 d)
内容
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
1.4.1应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别
测评项中的两种组合的鉴别技术,就是使用三个要素里至少两个不同的要素,比如“用户名、口令”+“数字证书”。
所以如果只是重复的使用其中一种要素,比如登录时需要输入两次不同的“用户名、口令”,那就不叫双因素认证,而叫两步验证。
1.4.2应核查其中一种鉴别技术是否使用密码技术来实现
使用“密码”进行登录,不代表一定就使用了“密码技术”。
当然,纯粹的口令验证应该是不存在的,无论是windows还是linux,你的账户口令肯定都是加过密的,比如linux,存的其实是使用单向散列算法(如md5)对你的口令进行计算得出来的杂凑值。
2. 访问控制
2.1 测评项目 a)
内容
应对登录的用户分配账户和权限
2.1.1 应核查是否为用户分配了账户和权限及相关设置情况
本地用户的权限分配直接问就行
2.1.2 应核查是否已禁用或限制匿名、默认账户的访问权限
对于默认账户、匿名账户的访问权限的限制,就是对是guest、users、Everyone组的权限的限制。但是admin没必要限制权限
对于guest来说,可以看看它是否被禁用,guest无法删除,但是可以被禁用
总之都可以在这里查看账户的权限
2.2 测评项目 b)
内容
应重命名或删除默认账户,修改默认账户的默认口令
2.2.1 应核查是否已经重命名默认账户或默认账户已被删除
windows的默认账户就是administrator和guest。
- administrator,只用看是否将administrator进行了重命名或者禁用,windows不存在默认口令,默认就符合(当然空口令是不符合的)。
- guest,检查是否被禁用即可
2.2.2 应核查是否已修改默认账户的默认口令
上↑↑↑↑
2.3 测评项目 c)
内容
应及时删除或停用多余的、过期的账户,避免共享账户的存在
2.3.1 应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应
这个一一对应去问问核实就行了
2.3.2 应测试验证多余的、过期的账户是否被删除或停用
多余过期账户在这里就能看到
2.4 测评项目 d)
内容
应授予管理用户所需的最小权限,实现管理用户的权限分离
2.4.1应核查是否进行角色划分 ,应核查管理用户的权限是否已进行分离,应核查管理用户权限是否为其工作任务所需的最小权限
这一项一起写了,主要就是看权限有没有分离
用户权限表
2.5 测评项目 e)
内容
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
2.5.1 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
主要还是看用户有没有能越权访问
2.6 测评项目 f)
内容
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级
2.6.1 应核查访问控制策略的控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级
主要看是否做了访问控制策略,以及策略是否明确到某个用户(而不仅仅是用户组),某个文件(不仅仅是文件夹)
2.7 测评项目 g)
内容
应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问
2.7.1 应核查是否对主体、客体设置了安全标记,安全标记控制主体对客体访问的强制访问控制策略
window默认不符合
3. 安全审计
3.1 测评项目 a)
内容
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
3.1.1 应核查是否开启了安全审计功能
在运行框中依次输入CompMgmtLauncher、eventvwr、compmgmt.msc
依次打开能够查看安全审计策略
服务器管理器
事件查看器
计算机管理
3.1.2 应核查安全审计范围是否覆盖到每个用户
一般来说开启了审计功能这项就符合。
3.1.3 应核查是否对重要的用户行为和重要安全事件进行审计
直接打开管理工具-本地安全策略能够看到是否开启审计功能。
3.2 测评项目 b)
内容
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
3.2.1 应核查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
- 首先要注意时间的问题,如果服务器联网则时间默认符合。如果不联网则无法保证。对于局域网内可以设置一台ntp服务器来解决这个问题
- 其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。
3.3 测评项目 c)
内容
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
此项还未编辑
3.4 测评项目 d)
内容
应对审计进程进行保护,防止未经授权的中断
3.4.1 应测试验证通过非审计管理员的其他账户来中断审计进程,验证审计进程是否受到保护
这一项和a差不多windows一般默认开启,要关闭还要用一些方法。
4. 入侵防范
4.1 测评项目 a)
内容
应遵循最小安装的原则,仅安装需要的组件和应用程序
4.1.1 应核查是否遵循最小安装原则,是否未安装非必要的组件和应用程序
这一条通过输入appwiz.cpl可以看到,多余或者不明白功能的应用程序可以询问管理员用途。
4.2 测评项目 b)
内容
应关闭不需要的系统服务、默认共享和高危端口
4.2.1 应核查是否关闭了非必要的系统服务和默认共享,是否不存在非必要的高危端口
这一项不必多说了,非必要的端口一看便知,默认共享就先看服务器管理器的server(一般默认开启),然后在cmd里面输入net share可以查看。
系统开启的服务看这里就知道了
4.3 测评项目 c)
内容
应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
4.3.1 应核查配置文件或参数是否对终端接入范围进行限制
- 不存在远程接入,即只有去机房的物理设备查看,直接跳过
- 使用远程桌面,主要是看windows防火墙和IP策略/硬件防火墙有没有对rdp端口(3389)做策略,或者把rdp的端口号给改了。
4.4 测评项目 d)
内容
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
这一项略
4.5 测评项目 e)
内容
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
4.5.1应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞;是否在经过充分测试评估后及时修补漏洞
DDDD
4.6 测评项目 f)
内容
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
这一项对于windows来说,要通过第三方软硬件来实现了。
比如EDR、卡巴斯基(企业版)等,等具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
另外,部署在云上的话,阿里云、华为云等,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。
5. 恶意代码防范
5.1 测评项目a)
内容
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
5.1.1 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
1)查看是否安装了防恶意代码软件(注:凡Windows操作系统,未安装防恶意代码软件统统判定为高风险,情况较为严重)
2)查看恶意代码软件的病毒库及版本是否及时进行了更新
6. 可信验证
6.1 测评项目a)
内容
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
6.1.1 可基于可信根对计算设备的的关键执行环节进行动态可信验证、行报警,并将验证结果形成审计记录送至安全管理中心。
目前绝大部分的信息系统都没有可信验证,仅在工控系统中存在极少数含有可信计算的,所以目前此项都是不适用,(如果运气好遇到可信计算的信息系统另算)
7. 数据完整性
7.1 测评项目a)
内容
应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
7.1.1 应采用校验技术或密码技术保证重要数据在传输过程中的完整性
若服务器的数据仅含自身配置数据,那么就根据身份鉴别C项来写,涉及到别的例如审计数据的传输再另外算
7.2 测评项目b)
内容
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
7.2.1 应采用校验技术或密码技术保证重要数据在存储过程中的完整性
操作系统能够保证自身数据存储的完整性
8. 数据保密性
8.1 测评项目a)
内容
应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
8.1.1应采用密码技术保证重要数据在传输过程中的保密性,
若服务器的数据仅含自身配置数据,那么就根据身份鉴别C项来写,涉及到别的例如审计数据的传输再另外算
8.2 测评项目b)
内容
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
8.2.1 应采用密码技术保证重要数据在存储过程中的保密性
操作系统能够保证自身数据在存储过程的保密性
9. 数据备份恢复
9.1 测评项目a)
内容
应提供重要数据的本地数据备份与恢复功能。
9.1.1 应提供重要数据的本地数据备份与恢复功能;
服务器仅存在自身配置数据的情况下是不需要备份和恢复,所以此项在服务器层面是不适用,应在数据库层面体现。
9.2 测评项目b)
内容
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地
9.2.1 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
服务器仅存在自身配置数据的情况下是不需要异地备份和恢复,所以此项在服务器层面是不适用,应在数据库层面体现。
9.3 测评项目c)
内容
应提供重要数据处理系统的热冗余,保证系统的高可用性。
9.3.1 应提供重要数据处理系统的热冗余,保证系统的高可用性。
此项需要询问管理员和查询网络拓扑图,服务器是否采用热冗余的方式部署,能不能够保证服务器的高可用性
10. 剩余信息保护
10.1 测评项目a)
内容
应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
10.1.1 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
查看是否禁用“用可换源的加密来存储密码”和启用“清除虚拟内存页面文件”,
10.2 测评项目b)
内容
应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
10.2.1 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
查看是否禁用了“清除虚拟内存页面文件”,能不能够保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
293
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
