【等保测评】服务器——Windows server
Windows Server 2008 2R(9大测评项目)
一、身份鉴别(四点)
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1)测评内容
< ----a项可以拆分为4点------ >
1、应对登录的用户进行身份标识和鉴别; ----> 看登录过程中是否会存在对用户身份进行检验(是否需要输入用户名和密码才能登录)
通过win+R(运行)输入netplwiz 命令或 control userpasswords2 命令,查看是否勾选“要使用本计算机,用户必须输入用户名和密码”。
2、身份标识具有唯一性; ---> 看用户名是不是唯一
在计算机管理--> 本地 用户和组 --> 用户--> 检查有哪些用户,并尝试空口令登录
3、身份鉴别信息具有复杂度; ----> 看有没有开启以及满足等保2.0(三级)测评要求
4、要求并定期更换;
开始—管理工具-->本地安全策略--> 账号策略--> 密码策略
或者win+R(运行)输入gpedit.msc
本地组策略编辑器
2)等保差距评估结果记录
密码复杂性要求已启用;
密码长度最小值为0位;
密码最长使用期限为42天;
密码最短使用期限为0天;
强制记住密码历史0个;用可还原的加密来存储密码:已禁用
已勾选“要使用本计算机,用户必须输入用户名和密码
3)安全加固要求
a 密码必须符合复杂性要求:已启用(看是否有开启);
b 密码长度最小值:长度最小值至少为8位
c 密码最短使用期限:不为0
d 密码长度最长使用期限: 至少为90天
e 强制密码历史:至少记住5个密码以上
f 用可还原的加密来存储密码:已禁用
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
1) 测评内容
< ----b项可以是针对本地登录测评,可以拆分2点-- >
1、应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数 -->看账户锁定功能有没有开启
开始—管理工具-->本地安全策略 --> 账号策略--> 账户锁定策略
2、当登录连接超时自动退出等相关措施;
会话措施1 屏幕保护时间
控制面板 --> 外观 --> 显示 --> 更改屏幕保护程序(Windows server 2008)
Windows server 2016 以上 可以右键个性化--> 锁屏界面-->屏幕保护程序
会话措施2
本地组策略编辑器-> 管理模板 --> windows组件 --> 远程桌面服务--> 远程桌面会话主机 ---> 会话时间限制---> 看是否启用 正常15min
会话措施3
本地安全策略--> 本地策略--> 安全选项--> Micrasoft网络服务器:暂停会话前所需的空闲同间数量(15min)
会话保护措施4
安全选项-->网络安全:在超过指录时间后强制注销-->开启
2) 等保差距评估结果记录
用户锁定时间:不适用
账户锁定阈值:0次无效登录
复位帐户锁定计数器:不适用未启用了远程登录连接超时并自动退出功能
3) 安全加固
账户锁定时间: 10分钟
账户锁定阈值: 10次为无效登录
重置账户锁定计数器 10分钟
启用远程登录连接超时自动退出的功能,且等待时间为20分钟
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
1)测评内容
< ----c项主要考察采用什么方式对服务器进行远程管理-- >
当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
开始—管理工具—-> 远程桌面服务—-> 远程桌面会话主机配置 ,右键DP-TCP,选属性—常规
--> 远程(RDP)连接要求使用指定的安全层/SSL(已启用)
又或者本地组策略编辑器
未配置前
.本地组策略编辑器-> 管理模板 --> windows组件 --> 远程桌面服务--> 远程桌面会话主机 ---> 会话时间限制
/“计算机配置→管理模板→windows组件→远程桌面服务→远程桌面会话主机→安全”,查看“设置客户端连接加密级别”、
2) 等保差距评估结果记录
未启用“远程(RDP)连接要求使用指定的安全层
3) 安全加固
启用“远程(RDP)连接要求使用指定的安全层
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
1)测评内容
< ----D项主要考察双向认证/鉴别技术-- >
此项主要考察是否采用双因子登录的服务器,且至少一种是密码技术;
登录时查看是否除了用户名+口令还有其他鉴别方式。(例如指纹、声纹、令牌、UKEY、CA证书、脸部扫描、VPN等)
注:通过在测评过程中业主都只采用了用户名+口令的方式登录,未采用密码技术。
防火墙加白名单,堡垒机
2) 等保差距评估结果记录
采用堡垒机运维
3) 安全加固
此项一般无法通过操作系统自身实现,一般通过堡垒机、身份认证系统(软硬件),来实现。
二、访问控制
下面a、b、c 三项结合整改一起做。
在计算机管理--> 本地 用户和组 --> 用户
a)应对登录的用户分配账户和权限
1)测评内容
a项 查看administrator、guest有哪些权限并且记录账户状态,且采用最小权限分配(就是看有没有存在三权分立)
应设置系统,安全,审计管理员,
若只有一个Administrator的话,便存在administrator超级管理员权限账户,没有根据三权分立原则实现账户权限分离
同时,应授予管理用户所需的最小权限,实现管理用户的权限分离。
本地安全策略(secpol.msc)--->安全设置--->本地策略--->用户权限分配下
2) 等保差距评估结果记录
仅存在Administrator,未进行三权分立。
3) 安全加固
应设置系统,安全,审计管理员,并对用户权限进行三权分立。
b)应重命名或删除默认账户,修改默认账户的默认口令;
1)测评内容
实际操作中,一般不修改administrator、guest账户的名称,但是要确保administrator、guest账户(若是启用状态)的口令不为空,且需禁用Guest用户。
2) 等保差距评估结果记录
系统未重命名默认账户,修改默认口令;禁用Guest用户
3) 安全加固
对系统默认账户重命名,并修改默认口令;
对系统默认账户禁用Guest用户
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
1)测评内容
重点查看如下两点:
1、是否多人使用同一账户进行登录维护。(若有使用堡垒机,那么就在堡垒机上要求一人使用一个账户登录,在操作系统上建立三权分立账户,secadmin\aduitadmin\sysadmin)。
2、是否存在无用过期的账户,如test\aaa这种命名随意可疑的账户,若有,需要指出来,然后同用户及多方确认账户用途。
2) 等保差距评估结果记录
无多余账户
3) 安全加固
在询问管理员后,删除过多不无用的账户
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
1)测评内容
需创建三权账户,分别为(系统管理员、审计管理员、安全管理员)并禁用超级管理员账户
2) 等保差距评估结果记录
该设备只配置一个最高权限管理员administrator账号;
在命令行输入“secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置→本地策略→用户权限分配”中的相关项目。右侧的详细信息窗格即显示可配置的用户权限策略设置。
下图未设置三个管理员,所以权限均为超级管理员所有。
3) 安全加固
应设置系统,安全,审计管理员,并对用户权限进行三权分立。
e)访问控制的拉度应达到主体为用户级或进程级,客体为文件数据库表级;
1)测评内容
1、访谈系统管理员,能够配置访问控制策略的用户。
2、查看重点目录的权限配置,是否依据安全策略配置访问规则,(如果是网站,请核查网站目录的权限设置是否合理,特别是文件上传的目录)
2) 等保差距评估结果记录 / 安全加固
不适用
此项暂无整改措施,可根据之后的测评实践经验进行补充。
f)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
1)测评内容
在服务器文件夹中选择%systemdrive%\program files、%systemdrive%\system32等重要的文件夹,以及%systemdrive%\windows\system32\config、%systemdrive%\windows\system32\secpol等重要文件夹,右键选择“属性”>“安全”,查看访问控制设置情况。
2) 等保差距评估结果记录 / 安全加固
不适用
此项暂无整改措施,可根据之后的测评实践经验进行补充。
g)访问控制的拉度应达到主体为用户级或进程级,客体为文件数据库表级;
1)测评内容
1、查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感标记功能。
2、询问管理员是否对重要信息资源设置敏感标记。
3、询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设置访问权限等。
2) 等保差距评估结果记录 / 安全加固
不适用/不符合
此项暂无整改措施,可根据之后的测评实践经验进行补充。
1、查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感标记功能。
2、询问管理员是否对重要信息资源设置敏感标记。
3、询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设置访问权限等。
三、安全审计
---说明该系统/服务器存在日志信息
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)测评内容
查看系统是否开启了安全审计功能,在命令行输入“secpol.msc”弹出“本地安全策略”窗口,
本地安全策略(secpol.msc)--->本地策略--->审核策略
2) 等保差距评估结果记录
审核策略更改:无审核;
审核登录事件:无审核;
审核对象访问:无审核;
审核进程跟踪:无审核;
审核目标服务访问:无审核;
审核特权使用:无审核;
审核系统事件:无审核;
审核账户登录事件:无审核;
审核账户管理:无审核
3) 安全加固
审核策略更改:成功失败;
审核登录事件:成功失败;
审核对象访问:失败;
审核进程跟踪:无审核;
审核目标服务访问:失败;
审核特权使用:失败;
审核系统事件:成功失败;
审核账户登录事件:成功失败;
审核账户管理:成功失败
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
1)测评内容
查看审计记录是否包含要求的信息,在命令行输入“eventvwr.msc”弹出“事件查看器”,“事件查看器(本地)→Windows日志”下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件,点击任意类型事件,查看日志文件是否满足此项要求。
本地审计在计算机管理--> 事件查看器
2) 等保差距评估结果记录
审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
3) 安全加固
此项在审计进程开启后默认符合,一般不需要操作。具体可查看事件查看器里面的日志信息。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)测评内容
1、如果日志数据本地保存,则询问审计记录备份周期,有无有无异地备份。看是否有日志(半年180天)/ 以及看是否存在对重大安全事件的设计
2、在命令行中输入“eventvwr.msc”弹出“事件查看器”窗口,“事件查看器(本地)→Windows日志”下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略;如果日志数据存放在日志服务器上并且审计策略合理,则该要求项为符合。
2) 等保差距评估结果记录
未对审计记录进行保护,定期备份
3) 安全加固
此项一般要求需要日志备份、日志外部存储才符合。若无法实现,可通过延长日志存储时间来达到部分符合。(就是看没有有做备份,日志内容有没有发到日志审计系统中)
d)由对审计进程进行保护,防止未经授权的中断;
1)测评内容
1. 访谈是否有第三方对审计进行监控和保护的措施。
2. 命令行输入“secpol.msc”,弹出“本地安全策略”窗口,点击“安全设置→本地策略→用户权限分配”,右键点击策略中的“管理审核和安全日志”查看是否只有系统审计员或系统审计员所在的用户组。
2) 等保差距评估结果记录
只有审计管理员才能控制,有超级管理员不可以
只要有开就默认符合
Windows系统具备审计进程自我保护功能。
3) 安全加固
此项一般要求需要日志向外发送才算符合。
四、入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序
1)测评内容
1.测评前要询问管理员 软件的用处
2. cmd输入appwiz.cpl,查看是否存在多余的程序。
控制面板--> 程序
3. cmd输入dcomcnfg,查看是否存在多余组件。
(一般来说没有多余的应用程序就不会有多余组件)
2) 等保差距评估结果记录
未安装非必要的应用程序
3) 安全加固
主要进控制面板-卸载程序中查看,是否安装了服务器所不需要的软件
比方说qq\游戏大厅\软件管家等。
b)应关团不需要的系统服务、默认共享和高危端口;
1)测评内容
1、cmd输入services.msc查看
不需要的系统服务一般为:IP Helper 、Remote Registry 、Themes、Alerter、、Messenger、Task Schedulerd、Print Spooler)
2、cmd输入net share默认共享:admin$ ipc$ c$ d$ e$
3、cmd输入netstat-ano或者netstat -an
高危端口:139、445、135
4、cmd输入firewall.cpl 查看系统防火墙是否启用,点击右侧“高级设置”打开“高级安全Windows防火墙”点击“入站规则”查看是否阻止访问多余服务与端口。
如果防火墙有开启,先看高级设置中的策略有没有将高危端口禁用
在命令行输入"firewal1. cpl”打开Windows防火墙界面,查看Windows防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口。点击左侧列表中的”入站规则”,右侧显示Windows防火墙的入站规则,查看入站规则中是否阻止访问多余的服务,或高危端口
2) 等保差距评估结果记录
1)IP Helper、Remote Registry不需要的服务未关闭;
2)系统未关闭默认共享;
3)防火墙处于关闭状态,且445、135高危端口未关闭;
3) 安全加固
IP Helper、Remote Registry等不需要的服务已关闭;
系统已关闭默认共享;
防火墙处于开启状态,且高危端口已禁用;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
1)测评内容
1、查看远程桌面是否被打开、以及开放端口情况。
2、先看防火墙是否开启,如果开启的话,服务器管理器-->配置-->高级安全windows防火墙-->入站规则。
3、管理工具—本地安全策略-->IP安全策略。查看是否为远程桌面服务进行限制。
4、最直接询问系统管理员管理终端的接入方式。
询问并查看是否通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限制”。
2) 等保差距评估结果记录\安全加固
一般看是否采用内网地址登录/通过堡垒机进行运维
所以该项一般不在操作系统本身做,我们设计的安全方案一般包括服务器防火墙,在上面统一配置即可满足此项要求。
或者查看主机防火墙对登录终端的接入地址限制
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
1)测评内容
根据GB∕T 28448-2019 《信息安全技术 网络安全等级保护测评要求》测评对象范围描述,操作系统无该项要求。
2) 等保差距评估结果记录/安全加固
Windows系统默认不适用。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1)测评内容
nessess扫描,看漏扫报告,并在经过充分测试评估后,及时修补漏洞。要结合漏洞扫描报告来进行判断。
"appwiz.cpl" ,打开程序和功能界面,==> “查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况
2) 等保差距评估结果记录/安全加固
符合 未发现存在高中危漏洞
应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。 要结合漏洞扫描报告来进行判断。
f)应能够检洪到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
1)测评内容
防病毒软件、主机IPS软件,那么这些软件通常能提供防黑客入侵的功能,还要查发现入侵行为后是否提供报警(弹窗报警、邮件报警等等)
2) 等保差距评估结果记录/ 安全加固
不符合 未安装相关安全软件
1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能
2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS
五、恶意代码防范
1)测评内容
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
2) 等保差距评估结果记录/ 安全加固
查看询问防病毒手段。
六、可信验证
1)测评内容
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
2) 等保差距评估结果记录/ 安全加固
不适用 该系统不具备可信验证能力。
七、数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
八、数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
九、数据备份恢复
应提供重要数据处理系统的热冗余,保证系统的高可用性
其他都是不适用