身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1、在运行中输入rundll32 netplwiz.dll,UsersRunDll(或control userpasswords2),查看是否勾选了“要使用本机,用户必须输入用户名和密码”;
勾选了“要使用本机,用户必须输入用户名和密码”;
2、渗透测试主要服务器,探测系统是否存在身份认证绕过的情况;
不存在身份认证被绕过的情况;
3、查看控制面板-管理工具-本地安全策略-帐户策略-密码策略是否配置了复杂度要求;
启用了密码必须符合复杂性要求,密码长度最小值8字符,密码最短使用期限2天,密码最长使用期限42天,强制密码历史5;
4、查看控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户-右键-属性-是否勾选“密码永不过期”;
所有用户均未勾选“密码永不过期”;
5、渗透测试主要服务器,进行弱口令扫描和弱口令暴力破解,探测主机操作系统是否存在弱口令。
系统不存在弱口令账户。
结果记录:
1)描述是否 勾选了“要使用本机,用户必须输入用户名和密码”;
2)描述服务器设置的口令复杂度,并摘抄配置;
3)描述定期更换密码策略(相关文档或强制策略)。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;(之前有屏保,更新后删掉了)
- 查看控制面板-管理工具-本地安全策略-帐户策略-帐户锁定策略;
账户锁定时间30分钟,锁定阈值无效登录次数5次,重置账户锁定计数器30分钟;
- 应核查是否配置并启用了登录连接超时及自动退出功能。
配置并启用了登录连接超时(30分钟以内)及自动退出功能。
结果记录:
1)描述登录失败处理功能并摘抄配置;
2)描述系统设置登录连接超时,并摘抄配置。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
1)查看控制面板-管理工具-服务,是否启用了telnet;
禁用telnet服务;
打开控制面板程序,打开或关闭功能,然后看第5步打上telnet功能的勾,点确定,就会出现第7步自动安装,安装完后我们再次telnet就出现正常的第8步了。
如果只是看有没启动则在服务里找:看图
双击它选启用自动就行
2)若是本地管理则默认不适用;
- 询问是否采取了其它安全可靠的远程管理方式(3389、SSH);
采取了加密鉴别信息的方式进行远程管理。
采取3389远程桌面方式管理,且启用了“设置客户端链接加密级别”选项;
输入gpedit.msc,打开组策略管理器,在组策略中点击管理模板,然后在右边在找到windows组件。双击windows组件。/远程桌面服务/远程桌面会话主机/安全/设置客户端连接加密级别
- 查看本地组策略 - 本地计算机策略 - 计算机配置 - 管理模板 - Windows组件 - 远程桌面服务 - 远程桌面会话主机 - 安全选项
- 对远程链接时的管理数据包进行嗅探,查看传输数据是否及进行了加密。
结果记录:
1)描述远程登录方式;
2)描述是否关闭了Telnet方式;
3)描述是否有其他远程管理方式。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身 份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。(询问)
1) 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别 技术对用户身份进行鉴别;
采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别 技术对用户身份进行鉴别;
2) 应核查其中一种鉴别技术是否使用密码技术(动态口令、数字证书、USB-Key等)来实现
其中一种鉴别技术使用密码技术来实现
结果记录:
1.描述是否采用双因素检验机制;
2.描述何种方式进行校验。
访问控制
- 应对登录的用户分配账户和权限;
- 应核查是否为用户分配了账户和权限及相关设置情况;
为用户分配了账户和权限,权限设置合理;
- 应核查是否已禁用或限制匿名、默认账户的访问权限。
已禁用或限制Guest账户的访问权限。
控制面板-系统安全-管理工具-计算机管理-本地用户和组-用户
结果记录:
1)描述已建立的权限分配表,并摘抄系统用户权限设置;
2)描述默认账户的权限。
b)应重命名或删除默认账户,修改默认账户的默认口令;
查看控制面板-管理工具-本地安全策略-安全选项:
1、“帐户:重命名来宾帐户”;
将系统管理员帐户Administrator重命名,并修改口令;
2、“帐户:重命名系统管理员帐户”。
将来宾帐户Guest重命名,并修改口令或禁用。
结果记录:
1)描述是否禁用或重命名了默认账户;
2)描述是否更换了默认口令。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在
查看控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户。
1)禁用Guest帐户,删除其他不需要的帐户;
2)现存账户均有所属人员。
结果记录:
1)描述系统管理员的对应关系;
2)描述存在的账户和是否存在多余账户。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
- 应核查是否进行角色划分;
进行了角色划分;
- 应核查管理用户的权限是否已进行分离;
管理用户的权限已进行分离;
我们最常见的权限分离就是“三权分立”,也就是系统管理员、安全员、审计员
- 应核查管理用户权限是否为其工作任务所需的最小权限。(询问)
这一项要求也没有严格的判断标准,测评过程中也都是通过访谈来确认的,我们可以把问题问的隐晦一些,来获得最真实的回答。
管理用户权限为其工作任务所需的最小权限。
结果记录:
1)描述存在的管理角色和其权限;
2)描述分配的权限是否按照最小权限原则进行了权限分离。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
1) 应建立用户管理员对系统账和权限进行管理;
由专门的用户管理员进行用户权限管理;
2) 应建立用户权限分配表,并根据权限表设置用户权限;
权限设置与权限表一致,无法进行越权操作;
3) 应测试验证用户是否有可越权访问情形
用户权限设置和访问控制规则满足安全策略要求。
结果记录:
- 描述配置访问控制策略的管理员。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
windows 默认符合√
查看控制面板-管理工具-本地安全策略-安全选项-本地用户与组,查看用户权限设置。
Windows默认做到主体是用户,客体是文件的访问控制。
默认符合。
结果记录:
系统管理员默认做到主体是用户,客体是数据库表的访问控制;
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
Windows 默认不符合×
1) 应核查是否对主体、客体设置了安全标记;
系统能够对重要信息资源设置敏感标记;
2) 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。
能够依据安全标记进行强制访问控制。
结果记录:
1.描述是否对主客体设置安全标记;
2.描述是否根据安全标记进行访问控制;
3、此项不符合,描述系统未设置安全标记功能。
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
1)查看控制面板-管理工具-本地安全策略-本地策略-审核策略;
启用了审核策略;
2)询问并查看是否有第三方审计工具或系统。(询问)
启用了全部成功、失败的审核策略。
结果记录:
1)描述是否开始了安全审计功能;
2)描述审计策略是否开启,并摘抄策略。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计 相关的信息;
1)查看控制面板-管理工具-事件查看器
审计记录包含了事件的来源、事件id、级别、用户、操作代码和时间的日期和时间等。
结果记录:
1)描述日志内容;
2)摘抄日志。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1) 禁止GUEST访问事件日志,查看注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\security; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\system; 下面是否有名为RestrictGuestAcces的键值;(默认禁止Guest访问日志)
2)查看“本地策略”—“用户权利指派”中的“管理审核和安全日志”,查看是否除审计员、Administrators用户组外其他用户无权限;
3) 应核查是否采取技术措施对审计记录进行定期备份,并核查其备份策略。
选择事件查看器(本地)——>Windows日志下选择其中“应用程序”、“安全”、“设置”、“系统”任意一项参看属性。(默认按需要覆盖事件)
结果记录:
1)描述对审计记录的包含措施;
2)描述审计记录的备份情况和保存时间;
3)描述审计记录是否仅有管理员管理。
d)应对审计进程进行保护,防止未经授权的中断。
Windows系统具备了在审计进程自我保护方面功能。
选择安全设置-——>本地策略——>用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组
结果记录:
- 描述开启的审计进程是否能被中断。
入侵防范
- 应遵循最小安装的原则,仅安装需要的组件和应用程序;
- “控制面板”-“程序和功能”-“打开或关闭Windows功能”-“删除功能”;
- 遵循了最小安装原则;
- 这一项比较简单,但是也是最容易扣分的一项,最小安装原则因人而异,要具体情况具体分析,哪些是安装服务器所必需的的组件和应用程序,哪些组件和应用程序应该删除或者停用,需要通过访谈了解服务器的主要用途和业务需求再做判断。
我们可以在控制面板-程序-程序和功能中查看服务器或计算机已经安装的程序和功能
- 未安装非必要的组件和应用程序。
自行判断
结果记录:
1)描述当前系统版本号
2)描述是否安装了多余应用程序和组件
3)描述漏洞扫描是否发现因版本过低导致的风险
b)应关闭不需要的系统服务、默认共享和高危端口;
1)“控制面板”-“管理工具”-“计算机管理”-“共享文件夹”,查看是否关闭了默认共享;
2)“管理工具”-“服务器管理”-“功能”-“添加”-查看服务器功能启用情况,一些不必要的服务如Alerter、Remote Registry Service、Messenger等是否已启用;
- 管理工具-服务-查看可以使用的服务;监听端口,命令行输入“netstat -an”;
4) 端口扫描,探测操作系统启用的端口。
结果记录:
1) 描述是否关闭了非必要的系统服务(多余端口)和默认共享;
2) 描述是否存在非必要的高危端口。(可依据漏扫结果)。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; (询问)
询问系统管理员,是否对登录操作系统的终端接入方式、网络地址访问等进行限制,如:
1、开启了主机防火墙或设置TCP/IP筛选功能,并查看相关配置;
2、在网络层面设置访问控制规则进行限制。
配置文件或参数对终端接入范围进行了限制;
结果记录:
1)描述对能连接服务器的终端的限制情况。
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
Windows不适用×
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1) 应核查是否定期开展漏洞扫描工作,对已知漏洞进行探测(询问);
系统运维方在定期开展漏洞扫描工作;
2)应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞(实际操作,借漏扫工具);
通过漏洞扫描、渗透测试等方式核查不存在高风险漏洞;
3) 应核查是否在经过充分测试评估后及时修补漏洞。(询问)
系统运维方在经过充分测试评估后能够及时修补漏洞。
结果记录:
1)描述漏扫是否有高风险。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
1) 应访谈并核查是否有入侵检测的措施;(询问)
具备入侵检测的措施,且特征库为最新;
2) 查看是否对入侵检测系统的特征库进行定期升级;(询问)
3)渗透测试或漏洞扫描,查看是否在检测到严重入侵事件时提供报警。(询问)
在发生严重入侵事件时能够提供报警(短信、邮件和声光等)
结果记录:
1)描述入侵检测措施;
2)描述是否可以提供报警。
恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
1) 应核查是否安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
安装了防恶意代码软件或相应功能的软件,定期进行升级和更新防恶意代码库;
2) 应核查是否采用主动免疫可信验证技术及时识别入侵和病毒行为;
采用主动免疫可信验证技术及时识别入侵和病毒行为;
3) 应核查当识别入侵和病毒行为时是否将其有效阻断。
当识别入侵和病毒行为时能够将其有效阻断。.
结果记录:
1)描述安装的主机恶意代码防范软件品牌和版本;
2)描述是否定期更新特征库;
3)描述是否能够病毒行为进行识别并阻断。
可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏 后进行报警,并将验证结果形成审计记录送至安全管理中心。
1)查看是否基于可信根对计算设备的系统引导程序,系统程序,重要配置参数和应用程序等进行可信验证;
2)查看是否在应用程序的所有执行环节进行动态可信验证。
3)测试验证当检测到计算设备可信性受到破坏后是否进行报警;
4)测试验证结果是否以审计记录的形式送至安全管理中心;
5)查看是否能够进行动态关联感知。
一般没有相关设备达不到
结果记录:
- 描述是服务器中是否采用可信根芯片。
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
1) 操作系统是否采取了传输完整性保护措施。
前面设置RDP安全加密协议,这一项就是符合
结果记录:
1)描述远程传输方式;
2)描述是否能保证数据传输的完整性。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
1) 操作系统是否采取了关键程序、注册表等关键内容的完整性保护措施。
windows服务器,重要数据默认采用NTLM HASH算法进行加密存储,可以保证重要数据在存储过程中的完整性。默认符合√
结果记录:
1)描述本地存储数据的方式;
2)描述是否能保证数据存储的完整性。
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
1)查看控制面板-管理工具-服务,是否启用了telnet;
禁用telnet服务;
2)若是本地管理则默认不适用;
3)询问是否采取了其它安全可靠的远程管理方式(3389、SSH);
4)查看本地组策略 - 本地计算机策略 - 计算机配置 - 管理模板 - Windows组件 - 远程桌面服务 - 远程桌面会话主机 - 安全选项
采取3389远程桌面方式管理,且启用了“设置客户端链接加密级别”选项;
5)对远程链接时的管理数据包进行嗅探,查看传输数据是否及进行了加密。
前面设置RDP安全加密协议,这一项就是符合
结果记录:
1)描述远程传输方式;
2)描述是否能保证数据传输的保密性。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重 要业务数据和重要个人信息等
Windows默认对鉴别信息进行加密存储。
默认符合√
结果记录:
1)描述本地存储数据的方式;
2)描述是否能保证数据存储的保密性。
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
1) 询问是否定期对Windows进行备份;(询问)
2)检查备份文件。
按照备份策略进行本地备份;
备份策略设置合理、配置正确;
备份结果与备份策略一致;
核查近期恢复测试记录能够进行正常的数据恢复。
重要数据备份一般是客户自己定义什么是重要数据(别说没有重要数据),一般的重要数据 日志 应用备份文件,数据库信息等。要能保证服务器损坏可以用这些数据恢复出来,让业务正常运行。
结果记录:
1)描述备份策略;
2)描述备份方式,是否提供对应备份文件;
3)是否提供备份恢复记录。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
应核查是否提供异地实时备份功能,并通过网络将重要配置数据、重要业务数据实时备份至备份场地;
三级要求实时备份,二级要求定时备份。重要的系统如金融、医疗或者S3A3的系统,这一项是高危,而且还没有降危措施。
应提供异地实时备份功能;
结果记录:
1)描述异地备份方式。
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
应核查重要数据处理系统是否采用热冗余方式部署。
重要数据处理系统采用热冗余方式部署。
结果记录:
- 描述是否为热冗余部署。
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
查看控制面板-管理工具-本地安全策略-安全选项: “交互式登录:不显示上次的用户名”、“交互式登录:可被缓存的前次登录个数”和“网络访问:不允许存储网络身份验证得密码和凭证”。
“网络访问:不允许存储网络身份验证得密码和凭证”配置为“已启用”
“交互式登录:不显示上次的用户名”配置为“已启用”
“交互式登录:可被缓存的前次登录个数”配置为0次登录”
结果记录:
1)描述是否可以完全清除鉴别信息所在存储空间。
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
查看控制面板-管理工具-本地安全策略-安全选项: 查看“关机:清除虚拟内存页面文件”;
“关机:清除虚拟内存页面文件”配置为已启用。
结果记录:
1)描述是否可以完全清除敏感数据所在存储空间。
个人信息保护
a)应仅采集和保存业务必需的用户个人信息;
Windows系统本身不采集、存储用户个人信息,因此不适用。×
b)应禁止未授权访问和非法使用用户个人信息。
Windows系统本身不采集、存储用户个人信息,因此不适用。×
