文章目录
- **身份鉴别**
- **访问控制**
- **安全审计**
- **入侵防范**
- **恶意代码防范**
- **可信验证**
- **测评常用命令**
Windows服务器安全计算环境测评
测评对象:Windows server 2012 R2
身份鉴别
(高风险)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
核查用户是否需要输入用户名和密码才能登录。
通过win+R(运行)输入netplwiz命令,查看是否勾选“要使用本计算机,用户必须输入用户名和密码”。
用户登录时需要输入用户名和密码。
核查Windows的默认用户名是否具有唯一性。
运行中输入lusrmgr.msc,查看有哪些用户,系统默认用户adminstrator和Guest,Guest默认禁用,administrator不存在默认口令。
Windows用户名具有唯一性。
尝试使用空口令登录。
无法使用空口令登录。
核查密码策略设置是否合理。
通过在运行中输入secpol.msc命令–》账户策略中的密码策略,查看密码复杂度是否开启,密码复杂度策略等信息,不适用就是未启用。
不符合,结果应为:
(高风险)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
查看账户锁定时间和账户锁定阈值
通过在运行中输入secpol.msc命令–》账户策略中的账户锁定策略,查看登录失败处理功能是否开启,登录失败策略等信息,不适用就是未启用。
不符合,结果应设置为:
核查登录连接超时是否自动退出,通过控制面板–》外观–》显示–》屏幕保护程序设置 查看是否启用了屏保。
不符合,未启用远程登录连接超时自动退出的功能。
(高风险)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
如果是本地管理成KVM等硬件管理方式,此要求默认满足。
如果采用远程管理,则需采用带有加密管理的远程管理方式。
通过输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全
不符合,远程运维需采用加密的RDP协议。
(高风险)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。
一般此项经访谈即可,大部分主机此项不符合。
访问控制
应对登录的用户分配账户和权限。
访问重要文件例如系统盘的Program文件夹,右键属性–》安全查看各个用户的权限分配是否合理,一般默认合理。
各用户具有最小角色权限且分别登录。
不存在匿名用户,默认用户账号只能由管理员登录。
ps:测评结果和测评方式是书上提供的。
(高风险)应重命名或删除默认账户,修改默认账户的默认口令。
通过运行输入lusrmgr.msc命令,查看有哪些用户,是否存在默认用户,默认账户是否禁用。
已修改账户的默认口令,已禁用guest账户。
不符合,Windows操作系统的默认账户Administrator应该被禁用或重命名。
应及时删除或停用多余的、过期的账户,避免共享账户的存在。
了解各个账户用途,核查账户是否属于多余的、过期的或共享账户名的。
通过运行输入lusrmgr.msc命令,查看本地用户和组。
不存在多余的账户和测试时使用的过期账户。
不存在多部门、多人共享账户的情况。
应授予管理用户所需的最小权限,实现管理用户的权限分离。
通过输入secpol.msc–》本地策略–》用户权限分配 :查看用户权限是否分配合理,一般都是默认。主要注意管理审核和安全日志是否只有特定的人员有权限。
不符合,未设置了系统管理员、安全员、审计员角色,并根据管理用户的角色分配权限,实现了管理用户的权限分离。未仅授予管理用户需要的最小权限,角色的权限之间相互制约。
(高风险)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
询问系统管理员,了解哪些用户能够配置访问控制策略。
在windows主机中,授权主体一般是管理员。
查看重点目录的权限配置,了解是否依据安全策略配置访问规则。
验证普通用户是否对访问控制策略具有操作权限。
访问控制的粒度应达到主体为用户级或进程级,客体为文件或数据库表级。
查看重要文件或目录的访问控制权限设置。
Windows系统此项默认符合。
应对重要主体和客体设置安全标记,并控制主体对有安全标记的信息资源的访问。
查看操作系统功能手册或相关文档,询问管理员是否采用敏感标记,是如何配置的。
Windows系统此项基本不符合,Windows自己的访问控制功能无法满足本项要求,需要借助第三方软件实现。
安全审计
(高风险)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
查看系统是否开启了安全审计功能。
通过输入secpol.msc命令–》本地策略–》审核策略,查看其安全设置是否有成功、失败,如没有即未开启相关功能的审计功能。
不符合,结果应为
询问系统管理员并查看是否使用了第三方审计工具或系统。
部署了第三方审计工具,能够实现对用户的全覆盖(主要针用户操作行为进行审计)。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
查看审计记录是否包含要求的信息。
通过输入eventvwr.msc–》Windows日志查看
Windows审计记录默认满足要求,若使用第三方审计工具,则检查审计工具的记录是否满足。
(高风险)应对审计记录进行保护,定期备份(异地备份),避免受到未预期的删除、修改或覆盖等。
如果日志数据是在本地保存的,则核查审计记录备份周期、有无异地备份。
输入eventvwr.msc–》Windows日志–》应用程序–》属性
访谈管理员是否对于系统日志备份,备份策略,查看备份记录。
存储目录、周期和相关策略等设置合理即符合。
如果部署了日志服务器,且审计策略设置合理,则符合。
应对审计进程进行保护,防止未经授权的中断。
访谈系统管理员,了解是否有第三方对审计进程采取监控和保护措施。
查看是否只有系统审计员或系统审计员所在的用户组具有“管理审核和安全日志”权限。
通过输入secpol.msc–》本地策略–》用户权限分配,查看“管理审核和安全日志”策略项是否包含了与审计无关的用户组(默认符合)
不符合,非审计人员不能登录和操作日志。由专人负责审计日志的管理。
入侵防范
应遵循最小安装的原则,仅安装需要的组件和应用程序。
核查并访谈管理员是否存在多余的组件
通过在运行中输入dcomcnfg-》组件服务-》计算机-》我的电脑
核查并访谈是否装有多余的服务
运行-》appwiz.cpl
未安装非必要的组件。未安装非必要的应用程序。
(高风险)应关闭不需要的系统服务、默认共享和高危端口。
查看系统服务。
通过运行–》services.msc,查看系统服务,查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。
查看监听端口。
通过运行–》cmd–》netstat -an,查看高危端口开启情况(例如135,137,138,139,445,3389等)
查看默认共享
通过运行–》cmd–》输入net share,查看共享开启情况
查看主机防火墙策略
通过运行–》cmd–》输入firewall.cpl,查看主机防火墙策略
点击高级设置,查看出入站规则,是否禁止高危端口高危服务。
不符合,开启了135高危端口和默认共享
(高风险)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
查看主机防火墙对登录终端接入地址的限制。
运行-》firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-In)-》作用域。
查看IP筛选器对登录终端接入地址的限制
通过运行-》gpeditmsc-》本地计算机策略-》计算机配置-》Windows设置-》安全设置-》IP安全策略
预期结果:
已通过主机防火墙设置访问控制规则。
已通过网络防火墙、堡垒机、IP地址段进行接入地址限制。
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
此项不适用主机,用于应用测评中。
(高风险)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
通过访谈管理员是否有做过漏洞扫描,是否定期,查看漏扫报告。
通过运行–》appwiz.cpl–》查看已安装更新,查看补丁是否有更新,是否为最新。
不符合,应对操作系统补丁进行测试和安装,安装的补丁为较新的稳定版本。
应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
访谈系统管理员,查看拓扑图。
恶意代码防范
(高风险)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
询问管理员。
可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
运行输入tpm.msc查看是否开启tpm可信验证。
设备支持可信验证,但是要满足相关要求需要配合相关设备。
测评常用命令
-
netplwiz:这是“网络密码”的缩写,它是一个Windows实用程序,用于管理用户账户的密码属性,例如,您可以使用它来要求在登录时输入用户名和密码。
-
lusrmgr.msc:这是“本地用户和组管理器”的缩写,它是一个Microsoft Management Console (MMC) 管理单元,用于管理本地用户账户和组。
-
secpol.msc:这是“安全策略”的缩写,它允许管理员查看和修改本地或远程系统的安全策略。
-
eventvwr.msc:这是“事件查看器”的缩写,它是一个用于查看、搜索和分析事件日志(如应用程序日志、安全日志和系统日志)的工具。
-
gpedit.msc:这是“组策略编辑器”的缩写,它是一个用于管理组策略设置的工具,这些设置可以应用于本地计算机或Active Directory中的用户和计算机。
-
services.msc:这是“服务”的缩写,它允许管理员查看和管理系统服务的状态,包括启动、停止、暂停和恢复服务。
-
cmd:这是命令提示符,一个用于执行命令行指令的程序。
- netstat -an:这个命令用于显示活动的TCP连接、计算机监听的端口、以太网统计等网络相关信息。
- net share:这个命令用于显示或删除网络共享,也可以添加新的网络共享。
- firewall.cpl:这是控制面板中的“Windows防火墙”的快捷方式,用于配置防火墙规则。
- appwiz.cpl:这是控制面板中的“程序和功能”的快捷方式,用于安装、卸载和管理已安装的程序。
- netplwiz:这与第一个条目重复,用于管理用户账户的登录属性。
免费的馈赠往往标明了无形的价格。
