等级保护2.0 三级-Windows 测评指导书
1.1安全计算环境-Windows(以Windows Server 2012为例)
1.1.1身份鉴别
测评项:
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
测评方法:
- 使用Win键+R键打开运行,输入control userpasswords2命令并运行,查看是否勾选勾选了“要使用本机,用户必须输入用户名和密码”。
- 打开“控制面板”一>“管理工具”->“计算机管理”->“本地用户机组”,检查所有用户名是否具有唯一性。
- 打开“控制面板”一>“管理工具”->“本地安全策略”->“账户策略”->“密码策略”,检查“复杂性要求”是否开启,记录“密码长度”、“密码最短使用期限”、“密码最长使用期限”、“密码历史”等策略的值。
测评项:
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
测评方法:
- 打开“控制面板”->“管理工具”->“本地安全策略”一>“账户策略”一>“密码锁定策略”,记录“账户锁定时间”与“账户锁定阈值”的值。
- 打开“控制面板”->“显示”->“更改屏幕保护程序”,查看“等待时间”的长短以及“在恢复时显示登录屏幕”选项是否打钩。
测评项:
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
测评方法:
- 如果是本地管理或KVM等硬件管理方式,此要求默认满足。
- 如果采用远程管理,则需采用带加密管理的远程管理方式。使用Win键+R键打开运行,在命令行输入“gpedit.msc”弹出“本地组策略编辑器”窗口,查看“本地计算机策略一>计算机配置一>管理模板一>Windows组件一>选程桌面服务〉远程桌面会话主机->安全”中的相关项目。
测评项:
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
测评方法:
- 查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。
- 记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的鉴别方法。
1.1.2访问控制
测评项:
a)应对登录的用户分配账户和权限。
测评方法:
- 打开“控制面板”->“管理工具”->“计算机管理”->“本地用户机组”,查看所有用户的属性,并记录每个用户隶属的组。
- 选择系统盘windows、system、%systemroot%system32config等相应的文件夹,右键选择“属性”一>“安全”,查看everyone组、users组和administrators组的权限设置。
测评项:
b)应重命名或删除默认账户,修改默认账户的默认口令。
测评方法:
- 打开“控制面板”->“管理工具”->“本地安全策略”一>“本地策略”|一>“安全选项”,记录“帐户:来宾帐户状态”、“帐户:管理员帐户状态”、“帐户:重命名系统管理员帐户”、“帐户:重命名来宾帐户”的值。
测评项:
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。
测评方法:
- 打开“控制面板”一>“管理工具”->“计算机管理”->“本地用户机组”,查看是否存在过期账户,依据用户账户列表询问主机管理员,每个账户是否均在使用,是否存在多人共用的账户。
测评项:
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。
测评方法:
- 使用Win键+R键打开运行,输入命令”secpol.msc”并运行,弹出“本地安全策略”窗口,查看“安全设置->本地策略>用户权限分配”中的相关项目。右侧的详细信息窗口即显示可配署的用户权限策略设置
测评项:
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
测评方法:
- 访谈系统管理员,能够配置访问控制策略的用户。
- 查看重点目录的权限配置,是否依据安全策略配置访问规则。
测评项:
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
测评方法:
- 选择%systemdrive%program files、%systemdrive%Windowssystem32等重要的文件夹,右键选择“属性”>“安全”,查看访问权限设置。
测评项:
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评方法:
- 查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感。
- 询问管理员是否对重要信息资源设置敏感标记。
- 询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。
1.1.3安全审计
测评项:
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
测评方法:
- 使用Win键+R键打开运行,输入命令”secpol.msc”并运行,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。查看“审核策略更改:成功,失败、审核登录事件:成功,失败”等审核策略是否开启。
- 询问并查看是否有第三方审计工具或系统。
测评项:
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
测评方法:
- 使用Win键+R键打开运行,输入命令”eventvwr.msc”并运行,弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志”下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志记录了哪些信息。
- 如果安装了第三方审计工具,则查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果。
测评项:
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
测评方法:
- 如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。使用Win键+R键打开运行,输入命令”eventvwr.msc”并运行,弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志”下包括“应用程序”、”安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略。
- 如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合。
测评项:
d)应对审计进程进行保护,防止未经授权的中断。
测评方法:
- 访谈是否有第三方方审计进程监控和保护的措施
- 使用Win键+R键打开运行,输入命令”secpol.msc”并运行,弹出“本地安全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组。
1.1.4入侵防范
测评项:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序。
测评方法:
- 询问管理员和查看服务器安装的组件和应用程序是否为系统所需的。
测评项:
b)应关闭不需要的系统服务、默认共享和高危端口。
测评方法:
- 打开“控制面板”->“管理工具”->“服务”,查看已经启动的或者是手动的服务,一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动。
- 使用Win键+R键打开运行,输入cmd命令并运行,输入net share,查看开启的共享。
- 使用Win键+R键打开运行,输入cmd命令并运行,输入netstat-an查看是否有不必要端口开启,如139、445。
测评项:
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
测评方法:
- 访谈系统管理员并查看系统对登录终端的接入方式进行限制的措施。
- 如果安装有主机防火墙则查看有无登录地址限制。
测评项:
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
不适用描述:
由应用系统对外提供输入接口,通过源代码设置或其他硬件措施实现数据有效性校验功能,故服务器不适用此测评项。
测评项:
e)应能发现可能存在的已知浦洞,并在经过充分测试评估后,及时修补漏洞。
测评方法:
- 访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新
- 打开“控制面板”->“程序和功能”,点击左侧列表中的“查看已安装的更新”,查看右侧列表中的补丁更新情况。
测评项:
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报。
测评方法:
- 访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能。
- 查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS。
1.1.5恶意代码防范
测评项:
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
测评方法:
- 查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否超过一个月。
- 询问系统管理员是否有统一的病毒更新策略和查杀策略。
- 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
- 询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报警机制等。
- 查看系统中采取何种可信验证机制,访谈管理员实现原理等。
1.1.6可信验证
测评项:
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
测评方法:
- 核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证。
- 修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警。
- 是否将验证结果形成审计记录送至安全管理中心。
1.1.7数据完整性
测评项:
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
不适用描述:
由应用系统、数据库系统等软件使用https、ssh等安全协议传输数据实现传输过程中的完整性,故服务器不适用此测评项。
测评项:
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
不适用描述:
由应用系统、数据库系统等软件使用sha256等加密算法存储数据实现存储过程中的完整性,故服务器不适用此测评项。
1.1.8数据保密性
测评项:
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
不适用描述:
由应用系统、数据库系统等软件使用https、ssh等安全协议传输数据实现传输过程中的保密性,故服务器不适用此测评项。
测评项:
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限千鉴别数据、重要业务数据和重要个人信息等。
不适用描述:
由数据库系统等软件使用sha256等加密算法存储数据实现存储过程中的保密性,故服务器不适用此测评项。
1.1.9数据备份恢复
测评项:
a)应提供重要数据的本地数据备份与恢复功能。
不适用描述:
通过对应用系统和数据库进行备份和恢复测试来实现数据备份和恢复功能,故服务器不适用此测评项。
测评项:
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地。
不适用描述:
通过对应用系统和数据库进行备份和恢复测试来实现数据备份和恢复功能,故服务器不适用此测评项。
测评项:
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
测评方法:
- 查看网络拓扑结构图,访谈管理员并查看资产列表,了解网络线路上核心交换机、应用服务器、数据库服务器等重要节点是否采用热备、集群等高可用方式部署。
- 访谈管理员并查看资产列表,了解服务器等重要节点有无其他高可用方式。
1.1.10剩余信息保护
测评项:
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
测评方法:
- 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“账户策略”->“密码策略”,查看“用可还原的加密来存储密码”是否禁用。
- 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的[安全选项]查看是否启用“关机:清除虚拟内存页面文件”。
测评项:
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
测评方法:
- 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的[安全选项]查看是否启用“关机:清除虚拟内存页面文件”。
1.1.11个人信息保护
测评项:
a)应仅采集和保存业务必需的用户个人信息。
不适用描述:
个人信息须通过应用系统或数据库采集和保存,服务器无法直接查看个人信息,故服务器不适用此测评项。
测评项:
b)应禁止未授权访问和非法使用用户个人信息。
不适用描述:
个人信息须通过应用系统或数据库采集和保存,服务器无法直接查看个人信息,故服务器不适用此测评项。
来自https://www.cnblogs.com/xiangdongzhang/p/14141698.html
原创文章,作者:6024010,如若转载,请注明出处:https://blog.ytso.com/269124.html