等保2.0 Windows主機測評過程
以下測評過程以Windows server 2012R2 舉例,按照等保2.0三級要求測評。
主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl
一、身份鑒別
a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換。
通過win+R(運行)輸入netplwiz命令,查看是否勾選“要使用本計算機,用戶必須輸入用戶名和密碼”。
通過查看 控制面板--》程序與系統--》管理工具--》計算機管理--》用戶與用戶組或者運行中輸入lusrmgr.msc,查看有哪些用戶,系統默認用戶adminstrator和Guest,Guest默認禁用,administrator不存在默認口令。
點擊用戶查看是否勾選密碼永不過期等信息。
通過在運行中輸入secpol.msc命令--》賬戶策略中的密碼策略,查看密碼復雜度是否開啟,密碼復雜度策略等信息,不適用就是未啟用。
b)應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。
通過在運行中輸入secpol.msc命令--》賬戶策略中的賬戶鎖定策略,查看登錄失敗處理功能是否開啟,登錄失敗策略等信息,不適用就是未啟用。
通過控制面板--》外觀--》顯示--》屏幕保護程序設置 查看是否啟用了屏保。
c)當進行遠程管理時,應采取必要措施、防止鑒別信息在網絡傳輸過程中被竊聽。
如果是本地管理成KVM等硬件管理方式,此要求默認滿足。
通過輸入gpedit.msc--》管理模板--》Windows組件--》遠程桌面服務--》遠程桌面會話主機--》安全
通過輸入gpedit.msc--》管理模板--》Windows組件--》遠程桌面服務--》遠程桌面會話主機--》連接
d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
雙因子驗證+密碼強度要求(四種組合:8位以上+字母大小寫+數字字母+特殊字符),現場訪談或查詢各管理員登陸界面查詢,一般此項經訪談即可,大部分主機此項都不符合。
二、訪問控制
a)應對登錄的用戶分配賬戶和權限
訪問重要文件例如系統盤的Program文件夾,右鍵屬性--》安全查看各個用戶的權限分配是否合理,一般默認合理。
b)應重命名或刪除默認賬戶,修改默認賬戶的默認口令
通過輸入lusrmgr.msc命令,查看有哪些用戶,是否存在默認用戶,默認賬戶是否禁用。多數情況下adminstratorz賬戶在使用中。
c)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在
通過輸入lusrmgr.msc命令,查看有哪些用戶adminstrator賬戶,記為存在共享賬戶;
d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離
通過輸入secpol.msc--》本地策略--》用戶權限分配 :查看用戶權限是否分配合理,一般都是默認。主要注意管理審核和安全日志是否只有特定的人員有權限。
e)應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則
在windows主機中,授權主體一般是管理員,驗證普通用戶是否對訪問控制策略具有操作權限。
f)訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數據庫表級
Windows系統此項默認符合
g)應對重要主體和客體設置安全標記,并控制主體對有安全標記信息資源的訪問
Windows系統此項基本不符合,Windows自己的訪問控制功能無法滿足本項要求,需要借助第三方軟件實現。
三、安全審計
a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
通過輸入secpol.msc命令--》本地策略--》審核策略,查看其安全設置是否有成功、失敗,如沒有即未開啟相關功能的審計功能。
b)審計記錄應包括事件的日期和時間,用戶、事件類型,事件是否成功及其他與審計相關的信息
Windows審計記錄默認滿足要求,若使用第三方審計工具,則檢查審計工具的記錄是否滿足。
通過輸入eventvwr.msc--》Windows日志
c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等
Windows操作系統默認除了administrators組外不能刪除修改日志,所以需要檢查應用程序、安全、系統日志策略是否合理,關注點如下圖(下圖是默認配置):
通過輸入eventvwr.msc--》Windows日志--》應用程序--》屬性
訪談管理員是否對于系統日志備份,備份策略,查看備份記錄
d)應對審計進程進行保護,防止未經授權的中斷
通過輸入secpol.msc--》本地策略--》用戶權限分配,查看“管理審核和安全日志”策略項是否包含了與審計無關的用戶組(默認符合)
四、入侵防范
a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序
通過在運行中輸入dcomcnfg-》組件服務-》計算機-》我的電腦
核查并訪談管理員是否存在多余的組件
通過運行-》appwiz.cpl
核查并訪談是否裝有多余的服務
b)應關閉不需要的系統服務、默認共享和高危端口
通過運行--》services.msc,查看系統服務,查看多余服務例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已啟動。此處也可以查看telnet 服務是否開啟。
通過運行--》cmd--》輸入net share,查看共享開啟情況
通過運行--》cmd--》netstat -an,查看高危端口開啟情況(例如135,137,138,139,445,3389等)
c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制
對于此項,一般系統會僅限制通過本地登錄或堡壘機登錄,接入網絡地址范圍科通過防火墻、堡壘機、主機防火墻來進行限制,下面是主機防火墻的演示。
通過運行-》firewall.cpl-》高級設置-》入站規則-》遠程桌面-》用戶模式(Tcp-In)-》作用域(默認未配置),先查看主機防火墻是否開啟。
d) 應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求
此項不適用主機,用于應用測評中。
e) 應能發現可能存在的已知漏洞,并在經過充分測試評估后,及時修補漏洞
通過訪談管理員是否有做過漏洞掃描,是否定期,查看漏掃報告。
通過運行--》appwiz.cpl--》查看已安裝更新,查看補丁是否有更新,是否為最新。
f)應能夠檢測到對重要節點進行入侵的行為,并在發生嚴重入侵事件時提供報警
核查操作系統是否安裝入侵檢測軟件,EDR,火絨,亞信安全,卡巴斯基等殺毒軟件,是否開啟了入侵檢測和報警功能(通過郵箱,短信等)。
五、惡意代碼防范
應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為,并將其有效阻斷。
惡意代碼防范需在網絡層面和主機層面同時進行,訪談管理員網絡防惡意代碼產品和主機防惡意代碼軟件病毒庫是否相同(不同廠家病毒庫不同),檢查防惡意代碼軟件相關功能是否開啟,病毒庫是否及時更新,發現病毒入侵是否有郵件、短信報警機制。
六、可信驗證
基本上都不符合
七、剩余信息保護
a) 應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除
通過運行--》secpol.msc--》本地策略--》安全選項,查看是否啟用“不顯示最后的用戶名”策略。
b) 應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。
通過運行--》secpol.msc--》本地策略--》安全選項,查看是否啟用“關機:清除虛擬內存頁面文件”策略。
注:一般記住幾條主要的命令就可以查看大部分測評項了。
主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl
