等保测评之主机测评——Windows Sever
在测评过程中最为常见的是三级系统,所以本文按照三级等保标准进行测评。
本文中出现的测评截图均为博主搭建的测试环境。(请勿泄露客户的生产环境信息)
(一)身份鉴别
1.1 控制项:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
测评方法:
1)2008:打开“控制面板”—>“系统和安全”—>“管理工具”—>“计算机管理”—>”本地用户和组“,检查有哪些用户,检查是否设置密码永不过期。(此处还可以查看是否禁用默认账户administrator、Guest,是否存在测试账户,是否三权分立)
2)打开“控制面板”—>“系统和安全”—>“管理工具”—> “本地安全策略”—>“账户策略”—>“密码策略”,检查密码必须符合复杂性要求:已启用,密码长度最少为8位,密码最长使用期限:90-180天,密码最短使用期限:不为0,强制密码历史:2个以上。
1.2 控制项:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
测评方法:
1)打开“控制面板”—>“系统和安全”—> “管理工具”—>“本地安全策略”—> “账户策略”—>“账户锁定策略”,检查账户锁定时间:不为不适用,账户锁定阈值:不为不适用。
2)打开“控制面板”—>“外观”—>“显示”—>“更改屏幕保护程序”,查看“等待时间”的长短以及“在恢复时显示登录屏幕”选项是否打勾;
3)运行—>gpedit.msc 计算机配置—>管理模板—>Windows组件—>远程桌面服务—>远程会话主机—>会话时间限制,设置会话活动但空闲的远程桌面会话的时间限制。
1.3 控制项:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
测评方法:
1)如果是本地管理或KVM等硬件管理方式,此要求默认满足。
2)如果采用远程管理,则需采用带加密管理的远程管理方式。 运行—>gpedit.msc 计算机配置—>管理模板—>Windows组件—>远程桌面服务—>远程会话主机—>安全—>远程—>RDP连接要求使用的安全层—>已启用远程ssl加密方式或RDP加密方式。
运行—>gpedit.msc 计算机配置—>管理模板—>Windows组件—>远程桌面服务—>远程会话主机—>安全—>远程—>设置客户端连接加密级别(高级别)已启用.
1.4 控制项:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
测评方法:查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术。
(二)访问控制
2.1 控制项:应对登录的用户分配账户和权限;
测评方法:
1)访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。
2)查看注册表内容,与用户列表比对,确认是否存在匿名用户:
2.2 控制项:应重命名或删除默认账户,修改默认账户的默认口令;
测评方法:见1.1。
2.3 控制项:应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评方法:见1.1。
测评方法:见1.1。
2.5 控制项:应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
测评方法:
1)访谈系统管理员有哪些能够配置访问控制策略的用户;
2)查看重点目录的权限配置,是否依据安全策略配置访问规则:选择 systemdriver\windows \system\system32\config等相应的文件夹,右键选择“属性”>“安全”,查看everyone组、users组和administrators组的权限设置。
2.6 控制项:访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
Windows默认符合
2.7 控制项:应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
测评方法:
1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感;
2)询问管理员是否对重要信息资源设置敏感标记;
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。