等保测评(三级)服务器和终端-测评项及整改措施(详细)

news2024/11/14 13:46:01

本文按照三级等保标准进行测评,可参考进行加固。

等保测评是信息安全等级保护工作的基本制度、基本策略和基本方法。

等保测评是信息安全等级保护工作的基本制度、基本策略和基本方法。信息系统运营、使用单位应选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。

等保三级主机测评要求分为:身份鉴别、访问控制、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、备份恢复测试、剩余信息保护这九大控制点,共有32个测评项。

Windows server 2012

一、身份鉴别

1.1 控制项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
  测评方法:
  1)2008:打开—>控制面板—>系统和安全—>管理工具—>计算机管理—>本地用户和组;,检查有哪些用户,检查是否设置密码永不过期。(此处还可以查看是否禁用默认账户administrator、Guest,是否存在测试账户,是否三权分立)

2)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>密码策略,检查密码必须符合复杂性要求:已启用,,,,。

整改措施:

密码必须符合复杂性要求:已启用

密码长度最小值:8位---密码需包含数字、大小写字母、特殊字符,长度8位以上

密码最短使用期限:7天

密码最长使用期限:90-180天

密码最短使用期限:不为0

强制密码历史:2个以上

1.2 控制项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
  测评方法:
  1)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>账户锁定策略,检查账户锁定时间:不为不适用,账户锁定阈值:不为不适用。

整改措施:账户连续登录失败5-10次,锁定账户一定时间(1-30分钟);登录后无操作5-15分钟,自动退出登录状态。

2)打开—>控制面板—>外观—>显示—>更改屏幕保护程序;,查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾;

3)运行->计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->会话时间限制,设置会话活动但空闲的远程桌面会话的时间限制。

1.3 控制项:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
  测评方法:
  1)如果是本地管理或KVM等硬件管理方式,此要求默认满足。
  2)如果采用远程管理,则需采用带加密管理的远程管理方式。运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->RDP连接要求使用的安全层->已启用远程ssl加密方式或RDP加密方式。

运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->设置客户端连接加密级别(高级别)已启用.

整改措施:使用加密传输协议,如SSH或RDP加密等。

1.4 控制项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
  测评方法:查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。

整改措施:除了我们常用的账号密码进行认证之外还需要增加一种身份鉴别措施,如指纹、证书、人脸等。而且要求两种认证方式同时通过才能进行登录

(二)访问控制

2.1 控制项:应对登录的用户分配账户和权限;
  测评方法:
  1)访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。

整改措施:给各个使用的账号都分配一定权限,避免出现无权限的账户或过高权限账户。
2)查看注册表内容,与用户列表比对,确认是否存在匿名用户:
2.2 控制项:应重命名或删除默认账户,修改默认账户的默认口令;
  测评方法:见1.1。

整改措施:重命名默认账户adminstratos、root等并修改他们的默认口令。对没办法修改默认账户名的(linux系统的root就改不了),可以禁止默认账号远程登录。
2.3 控制项:应及时删除或停用多余的、过期的账户,避免共享账户的存在;
  测评方法:见1.1。

整改措施:删掉不用的账号。
2.4 控制项:应授予管理用户所需的最小权限,实现管理用户的权限分离;
  测评方法:见1.1。

整改措施:划分系统管理员、审计管理员、安全管理员账户,并分配不同权限。
2.5 控制项:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
  测评方法:
1)访谈系统管理员有哪些能够配置访问控制策略的用户; 
2)查看重点目录的权限配置,是否依据安全策略配置访问规则:选择 systemdriver\windows \system\system32\config等相应的文件夹,右键选择->属性->安全->查看everyone组、users组和administrators组的权限设置。

整改措施:确定一个账户进行访问控制策略的配置。(这项实际测评中不需要该,一般默认权限最高的系统管理员或者安全管理员)
2.6 控制项:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
  Windows默认符合
2.7 控制项:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
  测评方法: 
  1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感;
2)询问管理员是否对重要信息资源设置敏感标记;
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。

整改措施:开启强访问控制。这时候无论是账户还是系统资源都是主体,访问需要双方授权,而不是单方面授权。这项需要借助第三方工具,没有设备是整改不了的,一般为必丢的分数。

(三)安全审计

3.1 控制项:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  测评方法:
  1)打开->控制面板->系统和安全->管理工具->本地安全策略->本地策略->审核策略,查看策略配置情况;

2)询问并查看是否有第三方审计工具或系统。

整改措施:开启系统审计功能,审计类型包括系统运行状态、登录审计、访问审计、参数修改审计等,且审计应该要覆盖到所有的账户。
3.2 控制项:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
  测评方法:
  1)打开->控制面板->管理工具->计算机管理->事件查看器->Windows日志,点击查看应用程序、安全、系统日志,查看日志文件是否满足此项要求,并查看日志是否满足六个月。

2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果。

整改措施:如果是开的主机自身审计功能一般不需要改,该记录的系统的都自动记录了.但如果是安装了第三方审计,比如什么日志分析与审计系统之类的,可能有些版本就容易缺日期时间之类。
3.3 控制项:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
  测评方法:访谈、询问并验证日志文件备份位置。

整改措施:日志转存或定期备份,留存时间(可追溯)满足180天。日志可以转存到日志审计系统或导出来备份。
3.4 控制项:应对审计进程进行保护,防止未经授权的中断;
  测评方式:Windows默认符合、Linux系统开auditd。

(四)入侵防范

4.1 控制项:应遵循最小安装的原则,仅安装需要的组件和应用程序;
  测评方法:
  1)打开->控制面板->程序->程序和功能;,查看操作系统中已安装的程序,询问是否有目前不需要的组件和应用程序。

整改措施:卸载不需要的程序、软件。

4.2 控制项:应关闭不需要的系统服务、默认共享和高危端口;
  测评方法:  
  1)查看系统服务:在命令行输入"services. msc—;,打开系统服务管理界面,查看右侧的服务详细列表中多余的服务, 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动;

2)查看监听端口:在命令行输入"netstat -an;,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、445、 593、1025端口,UDP 135、137、 138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。

整改措施:关闭系统默认开启但不需要用到的一些进程、端口。如Linux的telnet,Windows的默认共享、高危端口TCP 135、139 、445、 593、1025端口,UDP 135、137、 138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。

3)查看默认共享:在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$;

4)查看主机防火墙策略:在命令行输入"firewall. cpl;打开Windows防火墙界面,查看Windows防火墙是否启用。若启用,点击->入站规则,查看是否阻止访问多余的服务或高危端口。

4.3 控制项:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
  测评方法:
  1)询间系统管理员管理终端的接入方式;
  2)查看主机防火墙对登录终端的接入地址限制:在命令行输入"firewall.cpl;,打开Windows防火墙界面,查看Windowsd防火墙是否启用。点击->入站规则,查看是否添加IP限制;
  3)在命令行输入->gpedit.msc"打开组策路编辑器界面,点击左侧列表中的->本地计算机策略->计算机配置->Windows设置->安全设置->IP安全策略,右击->IP安全策略,点击->管理IP筛选器表和筛选器操作,查看是否添加IP限制;

整改措施:限制远程管理终端的接入地址范围,仅允许特地IP远程登录。在这处的整改可以通过网络策略限制,也可以通过主机自身的访问策略设置。

4)若服务器未开启远程桌面连接功能,此项默认符合。
  5)核查是否通过堡垒机结合网络ACL策略控制终端接入。
4.4 控制项:不适用
4.5 控制项:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
  测评方法:
  1)访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新以及更新的方法。
2)在命令行输入"appwiz.cpl" ,打开程序和功能界面,点击左侧列表中的->查看已安装的更新->打开->已安装更新界面,查看右侧列表中的补丁更新情况。

整改措施:定期对主机进行漏洞扫描,扫描出有高危就修复。

4.6 控制项:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
  测评方法:
  1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况。
2)软件是否具备报警功能。

整改措施:主机上安装入侵检测工具,可进行入侵检测和报警。

(五)恶意代码防范

5.1 控制项:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
  测评方法: 
  1)查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过15天。
2)或查看系统中采取何种可信验证机制,访谈管理员实现原理等。
3)验证当发现病毒入侵行为时,是否有效阻断。

整改措施:在主机上安装杀毒软件,病毒特征库要及时升级。对部署在内网的主机需要定期下载离线包进行更新。

(六)可信验证

6.1 控制项:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
  测评方法:
  1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证。
2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警。
3)是否将验证结果形成审计记录送至安全管理中心。

整改措施:主机上安装可信根、可信芯片等在系统运行前进行可信验证。这些都需要购买,每个主机都的安装,一般都是等保的必丢分数

(七)数据完整性

7.1 控制项:应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
  测评方法:见1.3

整改措施:使用SSH、RDP进行远程管理。
7.2 控制项:应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
  测评方法:检查操作系统内是否安装了第三方主机防护软件,实现对系统文件完整性的保护功能。

整改措施:使用第三方工具进行存储完整性校验。

(八)数据保密性

8.1 控制项:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
  测评方法:见1.3

整改措施:使用SSH、RDP(RDP注意要开启加密)进行远程管理。
8.2 控制项:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
  测评方法
  1)默认情况下,windows操作系统对用户鉴别信息等敏感数据采用hash形式存储。
2)询问管理员是否采用密码技术对重要业务数据和重要个人信息(非操作系统本身)进行加密存储。

整改措施:使用密码算法对鉴别数据(账号的密码)进行存储加密。

(九)数据备份恢复

9.1 控制项:应提供重要数据的本地数据备份与恢复功能;
  测评方法:
  1)访谈系统管理员,询问是否对操作系统中的重要配置信息进行备份,备份策略是什么,如果是虚拟机,可以查快照。
2)核查备份策略是否正确。
3)备份结果是否与备份策略一致。

整改措施:对主机的主要配置数据进行定期备份,并定期进行备份恢复测试。
9.2 控制项:异地备份:不适用
9.3 控制项:应提供重要数据处理系统的热冗余,保证系统的高可用性;
  测评方法:
  1)查看网络拓扑结构图,了解网络线路上的重要服务器节点是否其他热备、集群等高可用设备;
2)访谈管理员并查看资产列表,待查服务器有无其他高可用方式。

整改措施:重要设备进行双机热冗余部署或集群部署。

(十)剩余信息保护

10.1 控制项:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
  测评方法:
  1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->"交互式登录:不显示最后的用户名"和"网络访问:不允许存储网络身份验证的密码和凭据"。

整改措施:清除登录界面的账户名和口令,windows开启“交互式登录:不显示最后的用户名”。

10.2 控制项:应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;
  测评方法:
  1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->关机:清除虚拟内存页面文件。

整改措施:windows开启“关机:清除虚拟内存页面文件”,Linux配置HISTSIEZ参数。

windows7

一、本文适用于Windows系统,但有些版本不适用,例如win10、win11等,因为没有密码策略模块

二、针对于win7的测评过程

1、win+R打开命令行,输入gpedit.msc,打开本地组策略编辑器(win10以上版本没有这个模块)

2、查看密码复杂度等

gpedit.msc->本地组策略编辑器->计算机配置->windows设置->安全设置

接下来就是对各个模块进行截图判断

查看密码复杂度

查看登陆失败处理功能

查看日志审核功能

查看权限,日志是否保护

查看个人信息清除

查看防火墙策略

gpedit.msc->本地组策略编辑器->计算机配置->管理模块->windows组件->远程桌面服务->远程桌面会话主机->安全

查看远程连接是否有开启SSL

gpedit.msc->本地组策略编辑器->计算机配置->管理模块->windows组件->远程桌面服务->远程桌面会话主机->会话时间限制 

查看远程连接超时时间

这个本地组策略编辑器就查看到这里

3、在桌面右键->个性化->屏幕保护程序,或者

4、右键计算机->管理->计算机管理-

查看日志,时间是否满足180天以上

查看默认共享

查看用户

查看服务

5、打开控制面板(win+R,输入control)->程序和功能

查看防火墙(也可以win+R firewall.cpl) 

打开高级设置,查看入站规则

查看用户账户是否为管理员,是否开启密码保护

6、右键计算机->属性,查看主机信息

win+R->输入cmd,命令ipconfig,查看ip信息

netstat-an查看端口开放

再看安装了什么安全软件

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2079903.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java中常用的API

具体的例子就不再列出了 自己尝试 // 注意第三个方法 1.如果数据源数组和目的地数组都是基本数据类型,那么两者的类型必须保持一致,否则会报错 2.如果数据源数组和目的地数组都是引用数据类型,那么子类类型可以赋值给父类类型 public cl…

并发服务器---IO多路复用

单循环服务器:同一时刻只能处理一个客户端任务 并发服务器: 同一时刻,只能处理多个客户端的任务 实现方法:多进程 多线程 IO多路复用 IO多路复用: 1.阻塞io(fgets scanf recv getchar read&#x…

【python计算机视觉编程——1.基本的图像操作和处理】

python计算机视觉编程——1.基本的图像操作和处理 1.基本的图像操作和处理1.1 PIL:Python图像处理类库1.1.1 转换图像格式1.1.2 创建缩略图1.1.3 复制和粘贴图像区域1.1.4 调整尺寸和旋转 1.2 Matplotlib1.2.1绘制图像、点和线1.2.2 图像轮廓和直方图 1.3 Numpy1.3.1 图像数组表…

【STM32】DMA

描述 大部分图片来源:正点原子HAL库课程 专栏目录:记录自己的嵌入式学习之路-CSDN博客 目录 0 概述 1 原理(用于个人理解的,非常重要!) 1.1 DMA请求 1.2 循环模式与DMA请求的关系 1.3 …

以科研为本 创新突破的品牌理念 朵拉朵尚荣获2023年度影响力品牌奖

以科研为本 创新突破的品牌理念 朵拉朵尚荣获2023年度影响力品牌奖 随着国内美妆行业经过数十年的快速发展,已经形成了数千亿规模的产业链,在产业集聚、行业新技术不断涌现、产业链持续优化等背景下,美妆行业该如何通过科技创新,…

流量太炸裂了!一键AI替换视频人物,几分钟极速制作爆款视频!

目录 一、案例分析 二、制作教程 1.1、通义千问APP——角色扮演 1.2、Motionshop 1.3、Wonder Studio 1.4、Viggle 三、结束语 最近网上火了一种新玩法:用AI技术,一键就能把视频里的人物换成机器人或者任何你想要的角色。就像之前那些视频&#x…

二叉树高频题目-上-不含树型dp

二叉树高频题目-上-不含树型dp 题目1 : 二叉树的层序遍历 测试链接 : https://leetcode.cn/problems/binary-tree-level-order-traversal/ 思路 自己使用数组实现队列, 在队列中进行广度优先遍历先将根结点进队, 如果队列里还有东西, 按照队列大小进行循环, 让队列里的结点进…

创建一个最简单的FastAPI

如何生成一个最简单的 FastAPI 文件? FastAPI官方文档:https://fastapi.tiangolo.com/zh/tutorial/first-steps/ # -*- coding: utf-8 -*-""" file: main.py author: CSDN-北极的三哈 time: 2024/8/27 22:11 email:flymeawei163.com so…

【自动驾驶】控制算法(六)前馈控制与航向误差

写在前面: 🌟 欢迎光临 清流君 的博客小天地,这里是我分享技术与心得的温馨角落。📝 个人主页:清流君_CSDN博客,期待与您一同探索 移动机器人 领域的无限可能。 🔍 本文系 清流君 原创之作&…

Python爬虫使用实例_1

Python爬虫使用实例 —— 续 IDE: Pycharm or Jupyter Notebook 6. 网易云歌榜 🥝 获取地址 记得把#/去掉就好,一定要记得,否则没用。 热歌榜的url是 https://music.163.com/discover/toplist?id3778678 ,同理可得其他榜的ur…

Java设计模式之单例模式详细讲解和案例示范

单例模式(Singleton Pattern)是Java设计模式中最简单但却非常实用的一种。它确保一个类只有一个实例,并提供一个全局的访问点。本文将通过电商交易系统为例,详细探讨单例模式的使用场景、常见问题及解决方案。 1. 单例模式简介 …

【LeetCode Cookbook(C++ 描述)】平衡二叉树

目录 平衡二叉树基础不同插入节点方式的不同旋转LL 型失衡RR 型失衡LR 型失衡RL 型失衡 删除操作删除节点为二叉树的叶子节点删除的节点只有左子树或者右子树删除的节点既有左子树又有右子树 LeetCode #110:Balanced Binary Tree 平衡二叉树递归法(自底向…

[C++番外] 抛异常

一、C语言的时候我们怎么判断错误的呢? C语言的错误处理机制: 终止程序,如assert,缺陷:用户难以接受。如发生内存错误,除0错误时就会终止程序。返回错误码,缺陷:需要程序员自己去查…

字典序排数

题目链接 字典序排数 题目描述 注意点 1 < n < 5 * 10^4 解答思路 参照题解使用dfs完成本题&#xff0c;需要注意的是结果不包含0&#xff0c;所以先遍历第一层&#xff08;1~9&#xff09;&#xff0c;再根据每个节点继续深搜&#xff0c;将访问到的节点按顺序添加…

测试开发面试题目汇总

之前因为面临换工作&#xff0c;所以通过一些渠道汇总了一些面试题目&#xff0c;然后加入了部分自己面试过程中遇到的问题&#xff0c;因此记录下来。文末有惊喜。 1. 项目经验 2. 测试的过程 3. 京东登录页面怎么测&#xff1f; 4. 如果一个普通用户&#xff0c;他的百度首…

EasyExcel动态映射Excel数据到任意实体类教程

在使用EasyExcel进行Excel导入时&#xff0c;我们经常需要将Excel中的数据映射到Java实体类中。如果Excel的列名是固定的&#xff0c;我们可以通过ExcelProperty("列名")注解直接在实体类中指定列名。但如果Excel的列名不固定&#xff0c;或者我们希望根据Excel的第一…

NS2582 同步升压双节锂电池充电管理 IC

1 特性  最大 2A 输出同步开关型升压充电器  升压效率可高达 90% 以上  内置电池短路 / 涓流 / 恒流 / 恒压模式  0.5% 电池恒压模式电压精度  支持 LED 充电状态指示  支持充电电流外部可调  支持输入适配器 DPM 功能  外置 EN 使能…

SQL语法:create、insert、update、

1.create创建表 创建表时&#xff0c;通常会有如下设置&#xff1a;主键、非空、取值唯一、使用自动增长等。 根据如图创建表名为userinfo的数据表&#xff1a; create table userinfo(id int not null primary key auto_increment,username varchar(50) not null unique,cre…

java框架第二课(Reflection反射机制)

一.关于反射 (1)使用场景介绍 平常我们写代码时&#xff0c;都是已知类名&#xff0c;类的属性&#xff0c;构造方法&#xff0c;其他方法等信息&#xff0c;然后根据类名new对象&#xff0c;这个过程称为正向操作(例如&#xff1a;有一个管理员类&#xff0c;有账号和密码属…

WEB渗透Win提权篇-BypassUAC

提权工具合集包&#xff08;免费分享&#xff09;&#xff1a; 夸克网盘分享 往期文章 WEB渗透Win提权篇-提权工具合集-CSDN博客 WEB渗透Win提权篇-RDP&Firewall-CSDN博客 WEB渗透Win提权篇-MSSQL-CSDN博客 WEB渗透Win提权篇-MYSQL-udf-CSDN博客 WEB渗透Win提权篇-Acc…