一、身份鉴别(安全通用要求)
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
测评方法:
1、核查用户是否需要输入用户名和密码才能登陆
2、核查widow的默认用户名是否具有唯一性
3、本地安全策略(secpol.msc)---->账户策略---->密码策略,核查密码策略设置是否合理
预期结果:
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
测评方法:
1、本地安全策略(secpol.msc)----->账户策略----->密码锁定策略,查看账户锁定时间和账户锁定阈值
2、在桌面上单击右键,在弹出的快捷键菜单中选择“个性化”---->屏幕保护程序,查看“等待时间”,以及“在恢复时显示登陆屏幕”复选框是否勾选。
预期结果:
1、账户锁定时间:不为不适用。
2、账户锁定阈值:不为不适用。
3、已启用远程登录连接超时自动退出功能。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
测评方法:
本地组策略编辑器(gpedit.msc)--->本地计算机策略--->计算机配置--->管理模板--->widows组件
--->远程桌面服务--->远程桌面会话主机--->安全--->远程(RDP)连接要求使用指定的安全层
预期结果:
远程运维采用加密RDP协议
二、访问控制(安全通用要求)
a)应对登录的用户分配账户和权限。
lusrmgr.msc:控制面板→管理工具→计算机管理→本地用户和组
b)应重命名或删除默认账户,修改默认账户的默认口令。
测评方法:
1、查看“本地用户和组”(lusrmgr.msc)--->“用户”
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。
测评方法:
1、查看“本地用户和组”(lusrmgr.msc)--->“用户”
预期结果:
1、不存在多余的账户和测试时使用的过期账户
2、不存在多部门、多人共享账户的情况
(若只有一个账户便可能存在账户滥用的情况)
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。
本地安全策略(secpol.msc)--->安全设置--->本地策略--->用户权限分配下
预期结果:
1、设置了系统管理员、安全员、审计角色、并根据管理用户的角色分配权限,实现了管理用户的权限分离。
2、仅授予管理用户需要的最小权限,角色的权限之间相互制约。
(若只有一个Administrator的话,便存在administrator超级管理员权限账户,没有根据三权分立原则实现账户权限分离)
三、安全审计(安全通用要求)
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
测评方法:
本地安全策略(secpol.msc)--->本地策略--->审核策略
预期结果:
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
测评方法:事件查看器(eventvwr.msc)--->Windows日志--->应用程序、安全、设置、系统
单击任意类型事件,查看是否满足此项要求。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
eventvwr.msc:事件查看器→Windows日志→应用程序等属性 (切记不是事件属性)
一般查看日志文件是否满6个月,储存空间是否能满足6个月的需求
d)应对审计进程进行保护,防止未经授权的中断。(三级)
四、入侵防范(安全通用要求)
a)应遵循最小安装的原则,仅安装需要的组件和应用程序。
1、dcomcnfg:控制台根节点→组件服务→计算机→我的电脑(组件内容)
2、qppwiz.cpl:程序和功能里面内容
对于服务器来说,QQ\影音\游戏等程序都是多余的。
控制面板--->程序---->程序功能
b)应关闭不需要的系统服务、默认共享和高危端口。
1、services.msc:打开系统服务管理界面查看服务是否多余。
2、用命令netstat-an查看端口
3、用命令net share查看默认共享
4、firewall.cpl:高级设置→高级安全Windows防火墙→入站规则
1、services.msc:打开系统服务管理界面查看服务是否多余。
2、用命令netstat-an查看端口
3、用命令net share查看默认共享
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
1、询问管理员,了解终端接入方式
2、firewall.cpl:安全设置→高级安全Windows防火墙→入站规则→远程桌面-用户模式(TCP-In)属性→作用域
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
服务器没有能自主设置输入内容格式的通信接口,故此项不适用。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
要结合漏洞扫描报告来进行判断。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。(三级)
五、恶意代码防范(安全通用要求)
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
判断有无杀毒软件,软件版本及病毒库是否为最新
六、可信验证(安全通用要求)
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
默认不符合
七、数据完整性(安全通用要求)
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
gpedit.msc:本地计算机策略→计算机配置→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→安全→远程连接要求使用指定的安全层
(查看是否开启了RDP协议或者询问管理员是否运用其他的加密方式)
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。