【等保测评】服务器——Windows server 2012 R2

news2024/12/27 10:46:53

文章目录

      • **身份鉴别**
      • **访问控制**
      • **安全审计**
      • **入侵防范**
      • **恶意代码防范**
      • **可信验证**
      • **测评常用命令**


Windows服务器安全计算环境测评

测评对象:Windows server 2012 R2

身份鉴别

(高风险)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

核查用户是否需要输入用户名和密码才能登录。

通过win+R(运行)输入netplwiz命令,查看是否勾选“要使用本计算机,用户必须输入用户名和密码”。

在这里插入图片描述

用户登录时需要输入用户名和密码。

核查Windows的默认用户名是否具有唯一性。

运行中输入lusrmgr.msc,查看有哪些用户,系统默认用户adminstrator和Guest,Guest默认禁用,administrator不存在默认口令。

在这里插入图片描述

Windows用户名具有唯一性。

尝试使用空口令登录。

无法使用空口令登录。

核查密码策略设置是否合理。

通过在运行中输入secpol.msc命令–》账户策略中的密码策略,查看密码复杂度是否开启,密码复杂度策略等信息,不适用就是未启用。

在这里插入图片描述

不符合,结果应为:

在这里插入图片描述

(高风险)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

查看账户锁定时间和账户锁定阈值

通过在运行中输入secpol.msc命令–》账户策略中的账户锁定策略,查看登录失败处理功能是否开启,登录失败策略等信息,不适用就是未启用。

在这里插入图片描述

不符合,结果应设置为:

在这里插入图片描述

核查登录连接超时是否自动退出,通过控制面板–》外观–》显示–》屏幕保护程序设置 查看是否启用了屏保。

在这里插入图片描述

不符合,未启用远程登录连接超时自动退出的功能。

(高风险)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

如果是本地管理成KVM等硬件管理方式,此要求默认满足。

如果采用远程管理,则需采用带有加密管理的远程管理方式。

通过输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全

在这里插入图片描述

不符合,远程运维需采用加密的RDP协议。

(高风险)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。

一般此项经访谈即可,大部分主机此项不符合。

访问控制

应对登录的用户分配账户和权限。

访问重要文件例如系统盘的Program文件夹,右键属性–》安全查看各个用户的权限分配是否合理,一般默认合理。

在这里插入图片描述

各用户具有最小角色权限且分别登录。

不存在匿名用户,默认用户账号只能由管理员登录。

ps:测评结果和测评方式是书上提供的。

(高风险)应重命名或删除默认账户,修改默认账户的默认口令。

通过运行输入lusrmgr.msc命令,查看有哪些用户,是否存在默认用户,默认账户是否禁用。

在这里插入图片描述

已修改账户的默认口令,已禁用guest账户。

不符合,Windows操作系统的默认账户Administrator应该被禁用或重命名。

应及时删除或停用多余的、过期的账户,避免共享账户的存在。

了解各个账户用途,核查账户是否属于多余的、过期的或共享账户名的。

通过运行输入lusrmgr.msc命令,查看本地用户和组。

在这里插入图片描述

不存在多余的账户和测试时使用的过期账户。

不存在多部门、多人共享账户的情况。

应授予管理用户所需的最小权限,实现管理用户的权限分离。

通过输入secpol.msc–》本地策略–》用户权限分配 :查看用户权限是否分配合理,一般都是默认。主要注意管理审核和安全日志是否只有特定的人员有权限。

在这里插入图片描述

不符合,未设置了系统管理员、安全员、审计员角色,并根据管理用户的角色分配权限,实现了管理用户的权限分离。未仅授予管理用户需要的最小权限,角色的权限之间相互制约。

(高风险)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。

询问系统管理员,了解哪些用户能够配置访问控制策略。

在windows主机中,授权主体一般是管理员。

查看重点目录的权限配置,了解是否依据安全策略配置访问规则。

验证普通用户是否对访问控制策略具有操作权限。

访问控制的粒度应达到主体为用户级或进程级,客体为文件或数据库表级。

查看重要文件或目录的访问控制权限设置。

Windows系统此项默认符合。

应对重要主体和客体设置安全标记,并控制主体对有安全标记的信息资源的访问。

查看操作系统功能手册或相关文档,询问管理员是否采用敏感标记,是如何配置的。

Windows系统此项基本不符合,Windows自己的访问控制功能无法满足本项要求,需要借助第三方软件实现。

安全审计

(高风险)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。

查看系统是否开启了安全审计功能。

通过输入secpol.msc命令–》本地策略–》审核策略,查看其安全设置是否有成功、失败,如没有即未开启相关功能的审计功能。

不符合,结果应为

在这里插入图片描述

询问系统管理员并查看是否使用了第三方审计工具或系统。

部署了第三方审计工具,能够实现对用户的全覆盖(主要针用户操作行为进行审计)。

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

查看审计记录是否包含要求的信息。

通过输入eventvwr.msc–》Windows日志查看

在这里插入图片描述

Windows审计记录默认满足要求,若使用第三方审计工具,则检查审计工具的记录是否满足。

(高风险)应对审计记录进行保护,定期备份(异地备份),避免受到未预期的删除、修改或覆盖等。

如果日志数据是在本地保存的,则核查审计记录备份周期、有无异地备份。

输入eventvwr.msc–》Windows日志–》应用程序–》属性

在这里插入图片描述

访谈管理员是否对于系统日志备份,备份策略,查看备份记录。

存储目录、周期和相关策略等设置合理即符合。

如果部署了日志服务器,且审计策略设置合理,则符合。

应对审计进程进行保护,防止未经授权的中断。

访谈系统管理员,了解是否有第三方对审计进程采取监控和保护措施。

查看是否只有系统审计员或系统审计员所在的用户组具有“管理审核和安全日志”权限。

通过输入secpol.msc–》本地策略–》用户权限分配,查看“管理审核和安全日志”策略项是否包含了与审计无关的用户组(默认符合)

在这里插入图片描述

不符合,非审计人员不能登录和操作日志。由专人负责审计日志的管理。

入侵防范

应遵循最小安装的原则,仅安装需要的组件和应用程序。

核查并访谈管理员是否存在多余的组件

通过在运行中输入dcomcnfg-》组件服务-》计算机-》我的电脑

在这里插入图片描述

核查并访谈是否装有多余的服务

运行-》appwiz.cpl

在这里插入图片描述

未安装非必要的组件。未安装非必要的应用程序。

(高风险)应关闭不需要的系统服务、默认共享和高危端口。

查看系统服务。

通过运行–》services.msc,查看系统服务,查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。

在这里插入图片描述

查看监听端口。

通过运行–》cmd–》netstat -an,查看高危端口开启情况(例如135,137,138,139,445,3389等)

在这里插入图片描述

查看默认共享

通过运行–》cmd–》输入net share,查看共享开启情况

在这里插入图片描述

查看主机防火墙策略

通过运行–》cmd–》输入firewall.cpl,查看主机防火墙策略

在这里插入图片描述

点击高级设置,查看出入站规则,是否禁止高危端口高危服务。

在这里插入图片描述

不符合,开启了135高危端口和默认共享

(高风险)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

查看主机防火墙对登录终端接入地址的限制。

运行-》firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-In)-》作用域。

在这里插入图片描述

查看IP筛选器对登录终端接入地址的限制

通过运行-》gpeditmsc-》本地计算机策略-》计算机配置-》Windows设置-》安全设置-》IP安全策略

在这里插入图片描述

预期结果:

已通过主机防火墙设置访问控制规则。

已通过网络防火墙、堡垒机、IP地址段进行接入地址限制。

应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

此项不适用主机,用于应用测评中。

(高风险)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

通过访谈管理员是否有做过漏洞扫描,是否定期,查看漏扫报告。

通过运行–》appwiz.cpl–》查看已安装更新,查看补丁是否有更新,是否为最新。

在这里插入图片描述

不符合,应对操作系统补丁进行测试和安装,安装的补丁为较新的稳定版本。

应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

访谈系统管理员,查看拓扑图。

恶意代码防范

(高风险)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

询问管理员。

可信验证

可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

运行输入tpm.msc查看是否开启tpm可信验证。

在这里插入图片描述

设备支持可信验证,但是要满足相关要求需要配合相关设备。

测评常用命令

  1. netplwiz:这是“网络密码”的缩写,它是一个Windows实用程序,用于管理用户账户的密码属性,例如,您可以使用它来要求在登录时输入用户名和密码。

  2. lusrmgr.msc:这是“本地用户和组管理器”的缩写,它是一个Microsoft Management Console (MMC) 管理单元,用于管理本地用户账户和组。

  3. secpol.msc:这是“安全策略”的缩写,它允许管理员查看和修改本地或远程系统的安全策略。

  4. eventvwr.msc:这是“事件查看器”的缩写,它是一个用于查看、搜索和分析事件日志(如应用程序日志、安全日志和系统日志)的工具。

  5. gpedit.msc:这是“组策略编辑器”的缩写,它是一个用于管理组策略设置的工具,这些设置可以应用于本地计算机或Active Directory中的用户和计算机。

  6. services.msc:这是“服务”的缩写,它允许管理员查看和管理系统服务的状态,包括启动、停止、暂停和恢复服务。

  7. cmd:这是命令提示符,一个用于执行命令行指令的程序。

    • netstat -an:这个命令用于显示活动的TCP连接、计算机监听的端口、以太网统计等网络相关信息。
    • net share:这个命令用于显示或删除网络共享,也可以添加新的网络共享。
    • firewall.cpl:这是控制面板中的“Windows防火墙”的快捷方式,用于配置防火墙规则。
    • appwiz.cpl:这是控制面板中的“程序和功能”的快捷方式,用于安装、卸载和管理已安装的程序。
    • netplwiz:这与第一个条目重复,用于管理用户账户的登录属性。

免费的馈赠往往标明了无形的价格。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1942212.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Mysql注意事项(二)

Mysql注意事项(二) 最近回顾了一下MySQL,发现了一些MySQL需要注意的事项,同时也作为学习笔记,记录下来。—2020年06月11日 接上一篇Mysql注意事项(一) 9、分组数据 GROUP BY 规定&#xff…

数据库对象中出现复杂的对象嵌套,如何使用Mybatis plus优雅的解决这个问题:

起因 类原型: 在User类: package com.itheima.mp.domain.po;import com.baomidou.mybatisplus.annotation.TableField; import com.baomidou.mybatisplus.annotation.TableName; import com.baomidou.mybatisplus.annotation.IdType; import java.time…

小技巧:如何在已知PDF密码情况下去掉PDF的密码保护

第一步,用Edge打开你的pdf,输入密码进去 第二步,点击打印 第三步,选择导出PDF,选择彩印 第四步,选择导出位置,导出成功后打开发现没有密码限制了!

Json结构解析比较

文章目录 前言正文一、项目简介二、核心代码1、 JavaBeanParser2、 JsonStructCompare3、 Client 测试结果 前言 本次练习,主要是针对于两个Json的结构差异。 多用于测试场景,比如一个很大的Json报文,需要和现有的Json报文对比,看…

Robot Operating System——Service的同步/异步通信

大纲 Service模式的服务端请求响应函数启动Service停止Service完整代码 Service模式的客户端异步模式的客户端完整代码 同步模式的客户端完整代码 测试长期运行的服务发送请求响应一次的服务发送请求 参考资料 在ROS 2中,除了 《Robot Operating System——topic的…

汇昌联信科技拼多多怎么样?

汇昌联信科技拼多多怎么样?汇昌联信科技是一家专注于提供电子商务解决方案的公司,其业务涉及多个电商平台,其中就包括了国内知名的电商平台——拼多多。对于汇昌联信科技在拼多多上的表现,我们可以从以下几个方面来进行深入的探讨和分析。 一…

智慧校园灵动资源调配系统【SpringBoot+Vue】(Java课设)

客官进来看一眼呗,有惊喜!【帮你解决烦恼】:Java课设和计Java毕设太难不会做怎么办? 系统类型 【SpringBootVue】类型的系统 使用范围 适合作为Java课设!!! 部署环境 jdk1.8Idea 运行效果…

2024.7.22 作业

1.将双向链表和循环链表自己实现一遍&#xff0c;至少要实现创建、增、删、改、查、销毁工作 循环链表 looplinklist.h #ifndef LOOPLINKLIST_H #define LOOPLINKLIST_H#include <myhead.h>typedef int datatype;typedef struct Node {union {int len;datatype data;}…

Jetpack Compose 通过 OkHttp 发送 HTTP 请求的示例

下面是一个使用 Kotlin 和 Jetpack Compose 来演示通过 OkHttp 发送 HTTP 请求的示例。这个示例包括在 Jetpack Compose 中发送一个 GET 请求和一个 POST 请求&#xff0c;并显示结果。 添加okhttp依赖 首先&#xff0c;在你的 build.gradle.kts 文件中添加必要的依赖&#xf…

解决:uniapp 小程序 使用swiper 内部嵌套另外一个拥有左右滑动组件导致滑动冲突

解决办法 在swiper-item 内增加这个属性进行包裹 touchmove.stop <div touchmove.stop><qiun-data-charts type"area" :opts"optsStg" :chartData"dateDataStg" /> </div>

最优化理论与方法-第十讲-对偶理论的基本性质和割平面法

文章目录 1. 向量化拉格朗日对偶函数2. 对偶问题是凹函数3. 对偶问题转换4. 外逼近法4.1 步骤4.2 注意事项 1. 向量化拉格朗日对偶函数 ( D ) max ⁡ d ( λ , μ ) s t . λ i ≥ 0 , i 1 , ⋯ , m , d ( λ , μ ) min ⁡ x ∈ X { f ( x ) ∑ i 1 m λ i g i ( x ) ∑ …

传神社区|数据集合集第7期|法律NLP数据集合集

自从ChatGPT等大型语言模型&#xff08;Large Language Model, LLM&#xff09;出现以来&#xff0c;其类通用人工智能&#xff08;AGI&#xff09;能力引发了自然语言处理&#xff08;NLP&#xff09;领域的新一轮研究和应用浪潮。尤其是ChatGLM、LLaMA等普通开发者都能运行的…

CrowdStrike更新致850万Windows设备宕机,微软紧急救火!

7月18日&#xff0c;网络安全公司CrowdStrike发布了一次软件更新&#xff0c;导致全球大范围Windows系统宕机。 预估CrowdStrike的更新影响了将近850万台Windows设备&#xff0c;多行业服务因此停滞&#xff0c;全球打工人原地放假&#xff0c;坐等吃瓜&#xff0c;网络上爆梗…

TCP并发服务器多线程

1.创建线程‐‐pthread_create int pthread_create( pthread_t *thread, // 线程 ID 无符号长整型 const pthread_attr_t *attr, // 线程属性&#xff0c; NULL void *(*start_routine)(void *), // 线程处理函数 void *arg); // 线程处理函数 参数&#xff1a; pthrea…

EXCEL怎么自动添加表格吗?

第一步&#xff0c;选中需要添加表格的范围 第二步&#xff0c;点击开始&#xff0c;选择条件格式&#xff0c;“使用公式确定要设置格式的单元格” 第三步&#xff0c;编辑规则说明加上<>"" 第四步&#xff0c;点击边框&#xff0c;选择外边框确定即可&#x…

STM32CubeIDE(CAN)

目录 一、概念 1、简述 2、CAN 的几种模式 二、实践 1、环回模式轮询通信 1.1 软件配置 1.2 代码编写 2、环回模式中断通信 2.1 软件配置 2.2 代码编写 一、概念 1、简述 STM32微控制器系列包含多个型号&#xff0c;其中一些型号集成了CAN&#xff08;Controller Are…

用移动硬盘装系统里面资料会全删吗?误装系统怎么办

使用‌移动硬盘装系统是一种可行的选择&#xff0c;尤其是当你需要在多台电脑上使用相同的操作系统时。然而&#xff0c;对于初次尝试的新手来说&#xff0c;可能会有一些疑虑&#xff1a;在将移动硬盘用作系统安装盘后&#xff0c;原有的数据是否会被完全删除&#xff1f;如果…

邮件安全篇:邮件反垃圾系统运作机制简介

1. 什么是邮件反垃圾系统&#xff1f; 邮件反垃圾系统是一种专门设计用于检测、过滤和阻止垃圾邮件的技术解决方案。用于保护用户的邮箱免受未经请求的商业广告、诈骗信息、恶意软件、钓鱼攻击和其他非用户意愿接收的电子邮件的侵扰。 反垃圾系统的常见部署形式 2. 邮件反垃圾…

3GPP眼中的XR及其技术特点

3GPP R18 支持了XR Services。XR需要高数据速率和低延迟通信&#xff0c;这也真是5G可以大展身手的地方。这篇就从3GPP的角度看下XR是什么以及XR有哪些技术特点。 Extended Reality (XR) 是指由计算机技术和可穿戴设备生成的所有现实与虚拟相结合的环境和人机交互技术。 实际上…

【ELK】window下ELK的安装与部署

ELK的安装与部署 1. 下载2. 配置&启动2.1 elasticsarch2.1.1 生成证书2.1.2 生成秘钥2.1.3 将凭证迁移到指定目录2.1.4 改配置2.1.5 启动2.1.6 访问测试2.1.7 生成kibana账号 2.2 kibana2.2.1 改配置2.2.2 启动2.2.3 访问测试 2.3 logstash2.3.1 改配置2.3.2 启动 2.4 file…