2.1版第0次修订Windows系统等级保护实施指导书(二级)
序号控制
点
测评项操作步骤预期结果
1身份
鉴别
a)应对登录操作系统和数
据库系统的用户进行身份
标识和鉴别;
访谈并检查操作系统和数据库系统是否存在无密码自动登录,或默认账户
默认口令登陆
1、对登陆操作系统和数据库系统的用户
进行身份鉴别
2、不得使用默认用户和默认口令
b)操作系统和数据库系统
管理用户身份鉴别信息应
具有不易被冒用的特点,口
令应有复杂度要求并定期
更换;
应检查主要服务器操作系统,查看是否提供了身份鉴别措施(如用户名和口
令等),其身份鉴别信息是否具有不易被冒用的特点,例如,口令足够长,
口令复杂(如规定字符应混有大、小写字母、数字和特殊字符),口令生命
周期,新旧口令的替换要求(如规定替换的字符数量)或为了便于记忆使用
了令牌。
1.运行secpol.msc命令
2.打开“本地安全设置”对话框依次展开“帐户策略密码策略”
3.查看是否具有设置启用密码复杂性要求、密码长度最小值、最长存留
期、最短存留期等
1、口令由数字、大小写字母、符号混排、
无规律方式
2、用户口令的长度至少为8位
3、口令每季度更换一次,更新的口令至
少5次内不能重复
如:
a)复杂性要求已启用;
b)长度最小值至少为8位;
c)最长存留期不为0;
d)最短存留期不为0;
c)应启用登录失败处理功
能,可采取结束会话、限制
非法登录次数和自动退出
等措施;
1.运行secpol.msc命令
2.打开“账户策略”对话框依次展开“账户锁定策略”
3.查看是否修改锁定阀值和锁定时间,重置账户锁定计数器
查看本地安全策略-安全选项,查看是否设置在超过登录时间后强制注销
1、已启用登陆失败功能
2、限制非法登陆尝试次数,超尝试次数
后实现锁定策略
3、设置网络连接超时自动退出
2.1版第0次修订
4、运行gpedit.msc查看计算机配置-管理模板-终端服务-会话,是否对会话做了时间限制(复位账户锁定计数器、账户锁定时间和账户锁定阈值不为零或启用)
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;应检查主要服务器操作系统,查看服务器操作系统是否对与之相连的服务
器或终端设备进行身份标识和鉴别并进行了相应的加密。
1)如果是本地管理或KVM等硬件管理方式,此要求默认满足;
2)查看远程桌面开启选项是否为“仅运行运行网络级别身份验证的远程桌
面的计算机连接”。
3)查看IPSEC server服务是否开启
4)查看本地安全策略-IP安全策略在本地计算机,是否配置3389相关IPSEC
当对服务器远程管理,鉴别信息非明文
(如SSL+VPN方式)
e)为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;1、查看我的电脑-属性-本地用户和组,查看用户列表;
2、访谈是否存在多人使用同一账户的情况
操作系统和数据库系统的用户名具有唯
一性
2访问
控制
a)应启用访问控制功能,
依据安全策略控制用户对
资源的访问;
查看系统关键目录、配置文件等访问权限。
1.查看%systemdrive%\windows\system文件夹权限应限无关用户
2.查看%systemroot%\system32\config文件夹权限应限无关用户
3.在cmd窗口中运行net share看是否关闭了默认
共享和ipc共享
4.如果不使用共享server服务应处于关闭状态
5.查看关键日志文件的读写权限
1、制定安全策略
2、根据安全策略控制用户对资源的访问
(对重要文件的访问权限进行限制,对
系统不需要的服务、共享路径等可能被
非授权访问的客体(文件)进行限制)
如:1.除了管理员外没有其它无关用户对
系统文件夹有访问及操作权限
2.1版第0次修订
6.查看管理员组中用户 2.默认共享关闭
3.普通用户、应用账户等非管理员账
户不属于管理员组
c)应实现操作系统和数据库系统特权用户的权限分离;应检查主要服务器操作系统,查看特权用户的权限是否进行分离,如可分
为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则
(如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安
全设置,安全审计员只能维护审计信息等)。
系统管理、安全管理以及安全审计等特
权用户权限进行分离,且权限互斥
d)应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令;应查看主要服务器操作系统,查看匿名/默认用户的访问权限是否已被禁用
或者严格限制(如限定在有限的范围内)。
1.查看windows用户和组-用户-中guest、SUPPORT_388945a0用户是否
被禁用
2.是否对administrator进行了重命名
1、合理限制默认账户的访问权限
2、重命名默认账号
3、修改默认口令
e)应及时删除多余的、过期的账户,避免共享账户的存在;应查看是否有多余、过期、共享账户的存在。
1.依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地
用户和组]->[用户],查看是否存在过期账户;依据用户账户列表询问主机
管理员,每个账户是否为合法用户;
2.依据用户账户列表询问主机管理员,是否存在多人共用的账户。
1、不存在过期和无用账号
2、做到账户和人一一对应
3安全
审计
a)安全审计应覆盖到服务
器和重要客户端上的每个
操作系统用户和数据库用
可访谈安全审计员,询问主机系统是否设置安全审计;询问主机系统对事
件进行审计的选择要求和策略是什么;对审计日志的处理方式有哪些。
1.运行secpol.msc查看审核是否开启
1、启用审计功能
2、审计范围覆盖到服务器和重要客户端
上的每个用户
2.1版第0次修订
户; 2.查看高级审核策略配置,查看是否配置相关审核策略
3.查看是否存在其他审核策略
4.访谈是否有堡垒机、运维管理终端等审计措施
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;应检查主要服务器操作系统、重要终端操作系统,查看审计策略是否覆盖
系统内重要的安全相关事件,例如,用户标识与鉴别、自主访问控制的所
有操作记录、重要用户行为(如用超级用户命令改变用户身份,删除系统
表)、系统资源的异常使用、重要系统命令的使用(如删除客体)等。
1.依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策
略]->[本地策略]->[审核策略];
2.查看各审核策略对哪些操作进行审核。
a)审计账户登录事件:成功,失败
b)审计账户管理:成功,失败
c)审计目录服务访问:失败
d)审计登录事件:成功,失败
e)审计对象访问:成功,失败
f)审计策略更改:成功,失败
g)审计特权使用:失败
h)审计系统事件:成功,失败
3.应检查主要服务器操作系统、重要终端操作系统,查看能否对特定事件
指定实时报警方式(如声音、EMAIL、短信等)
1、审计策略覆盖系统内重要的安全相关
事件,至少包括用户标记和鉴别、自主
访问控制的所有操作记录、重要用户行
为(如用超级用户命令改变用户身份,
删除系统表)、系统资源的异常使用、重
要系统命令的使用等
c)审计记录应包括事件的应检查主要服务器操作系统、重要终端操作系统,查看审计记录信息是否审计记录包括事件发生的日期和时间,
2.1版第0次修订
日期、时间、类型、主体标识、客体标识和结果等;包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件
成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等
ssh工具windows
内容。
1.启用了windows审计,默认满足
查看堡垒机、运维审计系统日志
触发时间的主体与客体,事件的类型,
时间成功或失败,身份鉴别事件中请求
的来源,事件的结果等
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。1、访谈并检查审计记录是否在本地存储,是否有日志服务器
2、查看审计记录列表,记录是否至少保存半年
1、采取措施对审计记录保护
2、记录至少保存半年
5入侵
防范
c)操作系统遵循最小安装
的原则,仅安装需要的组件
和应用程序,并通过设置升
级服务器等方式保持系统
补丁及时得到更新。
1.组件最小化:检查系统安装的组件和应用程序是否遵循了最小安装的原
则;
2.服务最小化:依次展开[开始]->([控制面板]->)[管理工具]->[服务];
查看已经启动的或者是手动的服务,一些不必要的服务如Alerter、Remote
Registry Service、Messenger、Task Scheduler是否已启动;
3.服务端口:依次展开[开始]->[运行],在文本框中输入cmd点确定,输
入netstat–an查看是否有不必要端口开启,如139、135、3389、445。
4.默认共享:
a)依次展开[开始]->[运行],在文本框中输入cmd点确定,输入net share,
查看共享;
b)依次展开[开始]->[运行],在文本框中输入regedit点确定,查看注册
表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrict
1、遵循最小安装原则,仅安装需要的组
件和应用程序
2、未启动多余的服务和端口
3、设置升级服务器实现对服务器的补丁
升级
4、操作系统和数据库系统补丁为厂商新
公布的补丁版本
5、“共享名”列为空,无C$、D$、IPC$等
默共享。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentC
ontrolSet\Control\Lsa\restrictanon
ymous值不为“0”(0表示共享开启)
注:尽量关闭teln et、ftp、smt p、
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论