本文按照三级等保标准进行测评,可参考进行加固。
等保测评是信息安全等级保护工作的基本制度、基本策略和基本方法。
等保测评是信息安全等级保护工作的基本制度、基本策略和基本方法。信息系统运营、使用单位应选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
等保三级主机测评要求分为:身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、备份恢复测试、剩余信息保护这九大控制点,共有32个测评项。
Windows server 2012
一、身份鉴别
1.1 控制项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评方法:
1)2008:打开—>控制面板—>系统和安全—>管理工具—>计算机管理—>本地用户和组;,检查有哪些用户,检查是否设置密码永不过期。(此处还可以查看是否禁用默认账户administrator、Guest,是否存在测试账户,是否三权分立)
2)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>密码策略,检查密码必须符合复杂性要求:已启用,,,,。
整改措施:
密码必须符合复杂性要求:已启用
密码长度最小值:8位---密码需包含数字、大小写字母、特殊字符,长度8位以上
密码最短使用期限:7天
密码最长使用期限:90-180天
密码最短使用期限:不为0
强制密码历史:2个以上
1.2 控制项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评方法:
1)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>账户锁定策略,检查账户锁定时间:不为不适用,账户锁定阈值:不为不适用。
整改措施:账户连续登录失败5-10次,锁定账户一定时间(1-30分钟);登录后无操作5-15分钟,自动退出登录状态。
2)打开—>控制面板—>外观—>显示—>更改屏幕保护程序;,查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾;
3)运行->计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->会话时间限制,设置会话活动但空闲的远程桌面会话的时间限制。
1.3 控制项:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法:
1)如果是本地管理或KVM等硬件管理方式,此要求默认满足。
2)如果采用远程管理,则需采用带加密管理的远程管理方式。运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->RDP连接要求使用的安全层->已启用远程ssl加密方式或RDP加密方式。
运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->设置客户端连接加密级别(高级别)已启用.
整改措施:使用加密传输协议,如SSH或RDP加密等。
1.4 控制项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
测评方法:查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。
整改措施:除了我们常用的账号密码进行认证之外还需要增加一种身份鉴别措施,如指纹、证书、人脸等。而且要求两种认证方式同时通过才能进行登录
(二)访问控制
2.1 控制项:应对登录的用户分配账户和权限;
测评方法:
1)访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。
整改措施:给各个使用的账号都分配一定权限,避免出现无权限的账户或过高权限账户。
2)查看注册表内容,与用户列表比对,确认是否存在匿名用户:
2.2 控制项:应重命名或删除默认账户,修改默认账户的默认口令;
测评方法:见1.1。
整改措施:重命名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的(linux系统的root就改不了),可以禁止默认账号远程登录。
2.3 控制项:应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评方法:见1.1。
整改措施:删掉不用的账号。
2.4 控制项:应授予管理用户所需的最小权限,实现管理用户的权限分离;
测评方法:见1.1。
整改措施:划分系统管理员、审计管理员、安全管理员账户,并分配不同权限。
2.5 控制项:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评方法:
1)访谈系统管理员有哪些能够配置访问控制策略的用户;
2)查看重点目录的权限配置,是否依据安全策略配置访问规则:选择 systemdriver\windows \system\system32\config等相应的文件夹,右键选择->属性->安全->查看everyone组、users组和administrators组的权限设置。
整改措施:确定一个账户进行访问控制策略的配置。(这项实际测评中不需要该,一般默认权限最高的系统管理员或者安全管理员)
2.6 控制项:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
Windows默认符合
2.7 控制项:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评方法:
1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感;
2)询问管理员是否对重要信息资源设置敏感标记;
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。
整改措施:开启强访问控制。这时候无论是账户还是系统资源都是主体,访问需要双方授权,而不是单方面授权。这项需要借助第三方工具,没有设备是整改不了的,一般为必丢的分数。
(三)安全审计
3.1 控制项:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
测评方法:
1)打开->控制面板->系统和安全->管理工具->本地安全策略->本地策略->审核策略,查看策略配置情况;
2)询问并查看是否有第三方审计工具或系统。
整改措施:开启系统审计功能,审计类型包括系统运行状态、登录审计、访问审计、参数修改审计等,且审计应该要覆盖到所有的账户。
3.2 控制项:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
测评方法:
1)打开->控制面板->管理工具->计算机管理->事件查看器->Windows日志,点击查看应用程序、安全、系统日志,查看日志文件是否满足此项要求,并查看日志是否满足六个月。
2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果。
整改措施:如果是开的主机自身审计功能一般不需要改,该记录的系统的都自动记录了.但如果是安装了第三方审计,比如什么日志分析与审计系统之类的,可能有些版本就容易缺日期时间之类。
3.3 控制项:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评方法:访谈、询问并验证日志文件备份位置。
整改措施:日志转存或定期备份,留存时间(可追溯)满足180天。日志可以转存到日志审计系统或导出来备份。
3.4 控制项:应对审计进程进行保护,防止未经授权的中断;
测评方式:Windows默认符合、Linux系统开auditd。
(四)入侵防范
4.1 控制项:应遵循最小安装的原则,仅安装需要的组件和应用程序;
测评方法:
1)打开->控制面板->程序->程序和功能;,查看操作系统中已安装的程序,询问是否有目前不需要的组件和应用程序。
整改措施:卸载不需要的程序、软件。
4.2 控制项:应关闭不需要的系统服务、默认共享和高危端口;
测评方法:
1)查看系统服务:在命令行输入"services. msc—;,打开系统服务管理界面,查看右侧的服务详细列表中多余的服务, 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动;
2)查看监听端口:在命令行输入"netstat -an;,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、445、 593、1025端口,UDP 135、137、 138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。
整改措施:关闭系统默认开启但不需要用到的一些进程、端口。如Linux的telnet,Windows的默认共享、高危端口TCP 135、139 、445、 593、1025端口,UDP 135、137、 138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。
3)查看默认共享:在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$;
4)查看主机防火墙策略:在命令行输入"firewall. cpl;打开Windows防火墙界面,查看Windows防火墙是否启用。若启用,点击->入站规则,查看是否阻止访问多余的服务或高危端口。
4.3 控制项:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
测评方法:
1)询间系统管理员管理终端的接入方式;
2)查看主机防火墙对登录终端的接入地址限制:在命令行输入"firewall.cpl;,打开Windows防火墙界面,查看Windowsd防火墙是否启用。点击->入站规则,查看是否添加IP限制;
3)在命令行输入->gpedit.msc"打开组策路编辑器界面,点击左侧列表中的->本地计算机策略->计算机配置->Windows设置->安全设置->IP安全策略,右击->IP安全策略,点击->管理IP筛选器表和筛选器操作,查看是否添加IP限制;
整改措施:限制远程管理终端的接入地址范围,仅允许特地IP远程登录。在这处的整改可以通过网络策略限制,也可以通过主机自身的访问策略设置。
4)若服务器未开启远程桌面连接功能,此项默认符合。
5)核查是否通过堡垒机结合网络ACL策略控制终端接入。
4.4 控制项:不适用
4.5 控制项:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
测评方法:
1)访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新以及更新的方法。
2)在命令行输入"appwiz.cpl" ,打开程序和功能界面,点击左侧列表中的->查看已安装的更新->打开->已安装更新界面,查看右侧列表中的补丁更新情况。
整改措施:定期对主机进行漏洞扫描,扫描出有高危就修复。
4.6 控制项:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
测评方法:
1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况。
2)软件是否具备报警功能。
整改措施:主机上安装入侵检测工具,可进行入侵检测和报警。
(五)恶意代码防范
5.1 控制项:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
测评方法:
1)查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过15天。
2)或查看系统中采取何种可信验证机制,访谈管理员实现原理等。
3)验证当发现病毒入侵行为时,是否有效阻断。
整改措施:在主机上安装杀毒软件,病毒特征库要及时升级。对部署在内网的主机需要定期下载离线包进行更新。
(六)可信验证
6.1 控制项:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
测评方法:
1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证。
2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警。
3)是否将验证结果形成审计记录送至安全管理中心。
整改措施:主机上安装可信根、可信芯片等在系统运行前进行可信验证。这些都需要购买,每个主机都的安装,一般都是等保的必丢分数
(七)数据完整性
7.1 控制项:应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
测评方法:见1.3
整改措施:使用SSH、RDP进行远程管理。
7.2 控制项:应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
测评方法:检查操作系统内是否安装了第三方主机防护软件,实现对系统文件完整性的保护功能。
整改措施:使用第三方工具进行存储完整性校验。
(八)数据保密性
8.1 控制项:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
测评方法:见1.3
整改措施:使用SSH、RDP(RDP注意要开启加密)进行远程管理。
8.2 控制项:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
测评方法
1)默认情况下,windows操作系统对用户鉴别信息等敏感数据采用hash形式存储。
2)询问管理员是否采用密码技术对重要业务数据和重要个人信息(非操作系统本身)进行加密存储。
整改措施:使用密码算法对鉴别数据(账号的密码)进行存储加密。
(九)数据备份恢复
9.1 控制项:应提供重要数据的本地数据备份与恢复功能;
测评方法:
1)访谈系统管理员,询问是否对操作系统中的重要配置信息进行备份,备份策略是什么,如果是虚拟机,可以查快照。
2)核查备份策略是否正确。
3)备份结果是否与备份策略一致。
整改措施:对主机的主要配置数据进行定期备份,并定期进行备份恢复测试。
9.2 控制项:异地备份:不适用
9.3 控制项:应提供重要数据处理系统的热冗余,保证系统的高可用性;
测评方法:
1)查看网络拓扑结构图,了解网络线路上的重要服务器节点是否其他热备、集群等高可用设备;
2)访谈管理员并查看资产列表,待查服务器有无其他高可用方式。
整改措施:重要设备进行双机热冗余部署或集群部署。
(十)剩余信息保护
10.1 控制项:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
测评方法:
1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->"交互式登录:不显示最后的用户名"和"网络访问:不允许存储网络身份验证的密码和凭据"。
整改措施:清除登录界面的账户名和口令,windows开启“交互式登录:不显示最后的用户名”。
10.2 控制项:应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;
测评方法:
1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->关机:清除虚拟内存页面文件。
整改措施:windows开启“关机:清除虚拟内存页面文件”,Linux配置HISTSIEZ参数。
windows7
一、本文适用于Windows系统,但有些版本不适用,例如win10、win11等,因为没有密码策略模块
二、针对于win7的测评过程
1、win+R打开命令行,输入gpedit.msc,打开本地组策略编辑器(win10以上版本没有这个模块)
2、查看密码复杂度等
gpedit.msc->本地组策略编辑器->计算机配置->windows设置->安全设置
接下来就是对各个模块进行截图判断
查看密码复杂度
查看登陆失败处理功能
查看日志审核功能
查看权限,日志是否保护
查看个人信息清除
查看防火墙策略
gpedit.msc->本地组策略编辑器->计算机配置->管理模块->windows组件->远程桌面服务->远程桌面会话主机->安全
查看远程连接是否有开启SSL
gpedit.msc->本地组策略编辑器->计算机配置->管理模块->windows组件->远程桌面服务->远程桌面会话主机->会话时间限制
查看远程连接超时时间
这个本地组策略编辑器就查看到这里
3、在桌面右键->个性化->屏幕保护程序,或者
4、右键计算机->管理->计算机管理-
查看日志,时间是否满足180天以上
查看默认共享
查看用户
查看服务
5、打开控制面板(win+R,输入control)->程序和功能
查看防火墙(也可以win+R firewall.cpl)
打开高级设置,查看入站规则
查看用户账户是否为管理员,是否开启密码保护
6、右键计算机->属性,查看主机信息
win+R->输入cmd,命令ipconfig,查看ip信息
netstat-an查看端口开放
再看安装了什么安全软件