等保测评之主机测评——Windows Sever

这篇具有很好参考价值的文章主要介绍了等保测评之主机测评——Windows Sever。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录
  • (一)身份鉴别
  • (二)访问控制
  • (三)安全审计
  • (四)入侵防范
  • (五)恶意代码防范
  • (六)可信验证
  • (七)数据完整性
  • (八)数据保密性
  • (九)数据备份恢复
  • (十)剩余信息保护

在测评过程中最为常见的是三级系统,所以本文按照三级等保标准进行测评。
本文中出现的测评截图均为博主搭建的测试环境。(请勿泄露客户的生产环境信息)

(一)身份鉴别

1.1 控制项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
  测评方法:
  1)2008:打开—>控制面板—>系统和安全—>管理工具—>计算机管理—>本地用户和组;,检查有哪些用户,检查是否设置密码永不过期。(此处还可以查看是否禁用默认账户administrator、Guest,是否存在测试账户,是否三权分立)
          等保测评之主机测评——Windows Sever
  2)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>密码策略,检查密码必须符合复杂性要求:已启用,密码长度最少为8位,密码最长使用期限:90-180天,密码最短使用期限:不为0,强制密码历史:2个以上。
          等保测评之主机测评——Windows Sever
1.2 控制项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
  测评方法:
  1)打开—>控制面板—>系统和安全—>管理工具—>本地安全策略—>账户策略—>账户锁定策略,检查账户锁定时间:不为不适用,账户锁定阈值:不为不适用。
          等保测评之主机测评——Windows Sever
  2)打开—>控制面板—>外观—>显示—>更改屏幕保护程序;,查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾;
          等保测评之主机测评——Windows Sever
  3)运行->计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->会话时间限制,设置会话活动但空闲的远程桌面会话的时间限制。
          等保测评之主机测评——Windows Sever
1.3 控制项:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
  测评方法:
  1)如果是本地管理或KVM等硬件管理方式,此要求默认满足。
  2)如果采用远程管理,则需采用带加密管理的远程管理方式。运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->RDP连接要求使用的安全层->已启用远程ssl加密方式或RDP加密方式。
          等保测评之主机测评——Windows Sever
    运行->gpedit.msc 计算机配置->管理模板->Windows组件->远程桌面服务->远程会话主机->安全->远程->设置客户端连接加密级别(高级别)已启用.
          等保测评之主机测评——Windows Sever
1.4 控制项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
  测评方法:查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。

(二)访问控制

2.1 控制项:应对登录的用户分配账户和权限;
  测评方法:
  1)访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。
2)查看注册表内容,与用户列表比对,确认是否存在匿名用户:
2.2 控制项:应重命名或删除默认账户,修改默认账户的默认口令;
  测评方法:见1.1。
2.3 控制项:应及时删除或停用多余的、过期的账户,避免共享账户的存在;
  测评方法:见1.1。
2.4 控制项:应授予管理用户所需的最小权限,实现管理用户的权限分离;
  测评方法:见1.1。
2.5 控制项:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
  测评方法:
1)访谈系统管理员有哪些能够配置访问控制策略的用户; 
2)查看重点目录的权限配置,是否依据安全策略配置访问规则:选择 systemdriver\windows \system\system32\config等相应的文件夹,右键选择->属性->安全->查看everyone组、users组和administrators组的权限设置。
2.6 控制项:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
  Windows默认符合
2.7 控制项:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
  测评方法: 
  1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感;
2)询问管理员是否对重要信息资源设置敏感标记;
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。

(三)安全审计

3.1 控制项:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  测评方法:
  1)打开->控制面板->系统和安全->管理工具->本地安全策略->本地策略->审核策略,查看策略配置情况;
          等保测评之主机测评——Windows Sever
  2)询问并查看是否有第三方审计工具或系统。
3.2 控制项:审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
  测评方法:
  1)打开->控制面板->管理工具->计算机管理->事件查看器->Windows日志,点击查看应用程序、安全、系统日志,查看日志文件是否满足此项要求,并查看日志是否满足六个月。
          等保测评之主机测评——Windows Sever
          等保测评之主机测评——Windows Sever
          等保测评之主机测评——Windows Sever
  2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果。
3.3 控制项:应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
  测评方法:访谈、询问并验证日志文件备份位置。
3.4 控制项:应对审计进程进行保护,防止未经授权的中断;
  测评方式:Windows默认符合。

(四)入侵防范

4.1 控制项:应遵循最小安装的原则,仅安装需要的组件和应用程序;
  测评方法:
  1)打开->控制面板->程序->程序和功能;,查看操作系统中已安装的程序,询问是否有目前不需要的组件和应用程序。
          等保测评之主机测评——Windows Sever
4.2 控制项:应关闭不需要的系统服务、默认共享和高危端口;
  测评方法:  
  1)查看系统服务:在命令行输入"services. msc—;,打开系统服务管理界面,查看右侧的服务详细列表中多余的服务, 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动;
          等保测评之主机测评——Windows Sever
  2)查看监听端口:在命令行输入"netstat -an;,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、45、 593、1025端口,UDP 135、137、 138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。
          等保测评之主机测评——Windows Sever
  3)查看默认共享:在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$;
          等保测评之主机测评——Windows Sever
  4)查看主机防火墙策略:在命令行输入"firewall. cpl;打开Windows防火墙界面,查看Windows防火墙是否启用。若启用,点击->入站规则,查看是否阻止访问多余的服务或高危端口。
          等保测评之主机测评——Windows Sever
4.3 控制项:应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
  测评方法:
  1)询间系统管理员管理终端的接入方式;
  2)查看主机防火墙对登录终端的接入地址限制:在命令行输入"firewall.cpl;,打开Windows防火墙界面,查看Windowsd防火墙是否启用。点击->入站规则,查看是否添加IP限制;
  3)在命令行输入->gpedit.msc"打开组策路编辑器界面,点击左侧列表中的->本地计算机策略->计算机配置->Windows设置->安全设置->IP安全策略,右击->IP安全策略,点击->管理IP筛选器表和筛选器操作,查看是否添加IP限制;
          等保测评之主机测评——Windows Sever
  4)若服务器未开启远程桌面连接功能,此项默认符合。
  5)核查是否通过堡垒机结合网络ACL策略控制终端接入。
4.4 控制项:不适用
4.5 控制项:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
  测评方法:
  1)访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新以及更新的方法。
2)在命令行输入"appwiz.cpl" ,打开程序和功能界面,点击左侧列表中的->查看已安装的更新->打开->已安装更新界面,查看右侧列表中的补丁更新情况
          等保测评之主机测评——Windows Sever
4.6 控制项:应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
  测评方法:
  1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况。
2)软件是否具备报警功能。

(五)恶意代码防范

5.1 控制项:应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
  测评方法: 
  1)查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过15天。
2)或查看系统中采取何种可信验证机制,访谈管理员实现原理等。
3)验证当发现病毒入侵行为时,是否有效阻断。
          等保测评之主机测评——Windows Sever

(六)可信验证

6.1 控制项:可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
  测评方法:
  1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证。
2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警。
3)是否将验证结果形成审计记录送至安全管理中心。

(七)数据完整性

7.1 控制项:应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
  测评方法:见1.3
7.2 控制项:应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
  测评方法:检查操作系统内是否安装了第三方主机防护软件,实现对系统文件完整性的保护功能。

(八)数据保密性

8.1 控制项:应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
  测评方法:见1.3
8.2 控制项:应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
  测评方法
  1)默认情况下,windows操作系统对用户鉴别信息等敏感数据采用hash形式存储。
2)询问管理员是否采用密码技术对重要业务数据和重要个人信息(非操作系统本身)进行加密存储。

(九)数据备份恢复

9.1 控制项:应提供重要数据的本地数据备份与恢复功能;
  测评方法:
  1)访谈系统管理员,询问是否对操作系统中的重要配置信息进行备份,备份策略是什么,如果是虚拟机,可以查快照。
2)核查备份策略是否正确。
3)备份结果是否与备份策略一致。
9.2 控制项:异地备份:不适用
9.3 控制项:应提供重要数据处理系统的热冗余,保证系统的高可用性;
  测评方法:
  1)查看网络拓扑结构图,了解网络线路上的重要服务器节点是否其他热备、集群等高可用设备;
2)访谈管理员并查看资产列表,待查服务器有无其他高可用方式。

(十)剩余信息保护

10.1 控制项:应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
  测评方法:
  1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->"交互式登录:不显示最后的用户名"和"网络访问:不允许存储网络身份验证的密码和凭据"。
          等保测评之主机测评——Windows Sever
          等保测评之主机测评——Windows Sever
10.2 控制项:应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;
  测评方法:
  1)win+R 输入secpol.msc或通过控制面板->管理工具->本地安全策略打开,查看->本地策略->安全选项中的->关机:清除虚拟内存页面文件。
          等保测评之主机测评——Windows Sever
***************************转载请注明出处,尊重原创!***************************文章来源地址https://www.toymoban.com/news/detail-604446.html

到了这里,关于等保测评之主机测评——Windows Sever的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 等保——windows终端和服务器测评

    一、本文适用于Windows系统,但有些版本不适用,例如win10、win11等,因为没有密码策略模块 二、针对于win7的测评过程 1、win+R打开命令行,输入gpedit.msc,打开本地组策略编辑器(win10以上版本没有这个模块) 2、查看密码复杂度等 gpedit.msc-本地组策略编辑器-计算机配置-window

    2024年02月16日
    浏览(46)
  • 【安全防御】身份鉴别技术

    身份认证技术用于在计算机网络中确认操作者的身份。在计算机网络世界中,用户的身份信息是用一组特定的数据来表示的,计算机也只能识别用户的数字身份。身份认证技术能够作为系统安全的第一道防线,主要用于确认网络用户的身份,防止非法访问和恶意攻击,确保数

    2024年02月03日
    浏览(35)
  • 【密码学复习】第十章 身份鉴别

    身份鉴别的定义 定义:身份 鉴别 , 又称为身份识别、身份认证。它是证实客户的真实身份与其所声称的身份是否相符的过程。 口令身份鉴别       固定口令(四) 注册环节:双因子认证 ① 接收用户提供的口令 pw (PIN); ② 生成用户的其它信息(证书等),存入磁卡

    2024年02月08日
    浏览(51)
  • 身份鉴别解读与技术实现分析(1)

    6.1.4.1 身份鉴别 本项要求包括: a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施     在等级保护体系中,

    2024年02月06日
    浏览(32)
  • 什么是等保测评?等保测评必须进行吗?

    在网络安全这个圈子里,等保测评是非常热门的词汇,而且对于很多企业而言,等保测评是必须进行的项目,如果不进行等保测评可能会面临罚款等。因此很多人就比较关心:APP有必要进行等保测评吗?接下来我们通过文章来介绍一下。 等保测评含义和测评方式 等保测评意思

    2024年02月16日
    浏览(37)
  • IPsec_SSL VPN身份鉴别过程简要

    一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》) IKE第一阶段(主模式) “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和加密证书。此消息用明文传输,所以通过wireshark等协议分析工具可以详细看到消息

    2024年02月07日
    浏览(60)
  • 等保测评三级等保—安全设计思路

    1、 保护对象框架 保护对象是对信息系统从安全角度抽象后的描述方法,是信息系统内具有相似安全保护需求的一 组信息资产的组合。 依据信息系统的功能特性、安全价值以及面临威胁的相似性,信息系统保护对象可分为计算区域、 区域边界、网络基础设施、安全措施四类

    2024年04月23日
    浏览(54)
  • 等保测评--安全计算环境--测评方法

    一、测评对象 终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统) 、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统

    2024年02月12日
    浏览(44)
  • 等保测评--安全物理环境--测评方法

    一、 测评对象 记录类文档和机房 二、测评实施 1)检查机房所在建筑物是否具有建筑物抗震设防审批文档; 2)检查机房门窗是否不存在因风导致的尘土严重; 3)检查机房是否不存在雨水渗漏现象; 4)检查机房屋顶、墙体、门窗和地面等是否不存在破损开裂。 三、单元判定

    2024年02月12日
    浏览(39)
  • 等保测评--安全区域边界--测评方法

    一、测评对象 网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件 二、测评实施 1)应核查在网络边界处是否部署访问控制设备; 2) 应核查设备配置信息是否指定端口进行跨越边界的网络通信,指定端口是否配置并启用了安全策略; 3)

    2024年02月11日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包