镇江网站建设活动方案,网站的建设进入哪个科目,上海做网站比较好的公司有哪些,苏州公司网站制作公司文章目录 **身份鉴别****访问控制****安全审计****入侵防范****恶意代码防范****可信验证****测评常用命令** Windows服务器安全计算环境测评
测评对象#xff1a;Windows server 2012 R2
身份鉴别
#xff08;高风险#xff09;应对登录的用户进行身份标识和鉴别#x… 文章目录 **身份鉴别****访问控制****安全审计****入侵防范****恶意代码防范****可信验证****测评常用命令** Windows服务器安全计算环境测评
测评对象Windows server 2012 R2
身份鉴别
高风险应对登录的用户进行身份标识和鉴别身份标识具有唯一性身份鉴别信息具有复杂度要求并定期更换。
核查用户是否需要输入用户名和密码才能登录。
通过winR运行输入netplwiz命令查看是否勾选“要使用本计算机用户必须输入用户名和密码”。 用户登录时需要输入用户名和密码。
核查Windows的默认用户名是否具有唯一性。
运行中输入lusrmgr.msc查看有哪些用户系统默认用户adminstrator和GuestGuest默认禁用administrator不存在默认口令。 Windows用户名具有唯一性。
尝试使用空口令登录。
无法使用空口令登录。
核查密码策略设置是否合理。
通过在运行中输入secpol.msc命令–》账户策略中的密码策略查看密码复杂度是否开启密码复杂度策略等信息不适用就是未启用。 不符合结果应为 高风险应具有登录失败处理功能应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
查看账户锁定时间和账户锁定阈值
通过在运行中输入secpol.msc命令–》账户策略中的账户锁定策略查看登录失败处理功能是否开启登录失败策略等信息不适用就是未启用。 不符合结果应设置为 核查登录连接超时是否自动退出通过控制面板–》外观–》显示–》屏幕保护程序设置 查看是否启用了屏保。 不符合未启用远程登录连接超时自动退出的功能。
高风险当进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听。
如果是本地管理成KVM等硬件管理方式此要求默认满足。
如果采用远程管理则需采用带有加密管理的远程管理方式。
通过输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全 不符合远程运维需采用加密的RDP协议。
高风险应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别 且其中一种鉴别技术至少应使用密码技术来实现。
一般此项经访谈即可大部分主机此项不符合。
访问控制
应对登录的用户分配账户和权限。
访问重要文件例如系统盘的Program文件夹右键属性–》安全查看各个用户的权限分配是否合理一般默认合理。 各用户具有最小角色权限且分别登录。
不存在匿名用户默认用户账号只能由管理员登录。
ps测评结果和测评方式是书上提供的。
高风险应重命名或删除默认账户修改默认账户的默认口令。
通过运行输入lusrmgr.msc命令查看有哪些用户是否存在默认用户默认账户是否禁用。 已修改账户的默认口令已禁用guest账户。
不符合Windows操作系统的默认账户Administrator应该被禁用或重命名。
应及时删除或停用多余的、过期的账户避免共享账户的存在。
了解各个账户用途核查账户是否属于多余的、过期的或共享账户名的。
通过运行输入lusrmgr.msc命令查看本地用户和组。 不存在多余的账户和测试时使用的过期账户。
不存在多部门、多人共享账户的情况。
应授予管理用户所需的最小权限实现管理用户的权限分离。
通过输入secpol.msc–》本地策略–》用户权限分配 查看用户权限是否分配合理一般都是默认。主要注意管理审核和安全日志是否只有特定的人员有权限。 不符合未设置了系统管理员、安全员、审计员角色并根据管理用户的角色分配权限实现了管理用户的权限分离。未仅授予管理用户需要的最小权限角色的权限之间相互制约。
高风险应由授权主体配置访问控制策略访问控制策略规定主体对客体的访问规则。
询问系统管理员了解哪些用户能够配置访问控制策略。
在windows主机中授权主体一般是管理员。
查看重点目录的权限配置了解是否依据安全策略配置访问规则。
验证普通用户是否对访问控制策略具有操作权限。
访问控制的粒度应达到主体为用户级或进程级客体为文件或数据库表级。
查看重要文件或目录的访问控制权限设置。
Windows系统此项默认符合。
应对重要主体和客体设置安全标记并控制主体对有安全标记的信息资源的访问。
查看操作系统功能手册或相关文档询问管理员是否采用敏感标记是如何配置的。
Windows系统此项基本不符合Windows自己的访问控制功能无法满足本项要求需要借助第三方软件实现。
安全审计
高风险应启用安全审计功能审计覆盖到每个用户对重要的用户行为和重要安全事件进行审计。
查看系统是否开启了安全审计功能。
通过输入secpol.msc命令–》本地策略–》审核策略查看其安全设置是否有成功、失败如没有即未开启相关功能的审计功能。 不符合结果应为 询问系统管理员并查看是否使用了第三方审计工具或系统。
部署了第三方审计工具能够实现对用户的全覆盖(主要针用户操作行为进行审计)。
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
查看审计记录是否包含要求的信息。
通过输入eventvwr.msc–》Windows日志查看 Windows审计记录默认满足要求若使用第三方审计工具则检查审计工具的记录是否满足。
高风险应对审计记录进行保护定期备份异地备份避免受到未预期的删除、修改或覆盖等。
如果日志数据是在本地保存的则核查审计记录备份周期、有无异地备份。
输入eventvwr.msc–》Windows日志–》应用程序–》属性 访谈管理员是否对于系统日志备份备份策略查看备份记录。
存储目录、周期和相关策略等设置合理即符合。
如果部署了日志服务器且审计策略设置合理则符合。
应对审计进程进行保护防止未经授权的中断。
访谈系统管理员了解是否有第三方对审计进程采取监控和保护措施。
查看是否只有系统审计员或系统审计员所在的用户组具有“管理审核和安全日志”权限。
通过输入secpol.msc–》本地策略–》用户权限分配查看“管理审核和安全日志”策略项是否包含了与审计无关的用户组默认符合 不符合非审计人员不能登录和操作日志。由专人负责审计日志的管理。
入侵防范
应遵循最小安装的原则仅安装需要的组件和应用程序。
核查并访谈管理员是否存在多余的组件
通过在运行中输入dcomcnfg-》组件服务-》计算机-》我的电脑 核查并访谈是否装有多余的服务
运行-》appwiz.cpl 未安装非必要的组件。未安装非必要的应用程序。
高风险应关闭不需要的系统服务、默认共享和高危端口。
查看系统服务。
通过运行–》services.msc查看系统服务查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。 查看监听端口。
通过运行–》cmd–》netstat -an查看高危端口开启情况例如135,137,138,139,445,3389等 查看默认共享
通过运行–》cmd–》输入net share查看共享开启情况 查看主机防火墙策略
通过运行–》cmd–》输入firewall.cpl查看主机防火墙策略 点击高级设置查看出入站规则是否禁止高危端口高危服务。 不符合开启了135高危端口和默认共享
高风险应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
查看主机防火墙对登录终端接入地址的限制。
运行-》firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式Tcp-In-》作用域。 查看IP筛选器对登录终端接入地址的限制
通过运行-》gpeditmsc-》本地计算机策略-》计算机配置-》Windows设置-》安全设置-》IP安全策略 预期结果
已通过主机防火墙设置访问控制规则。
已通过网络防火墙、堡垒机、IP地址段进行接入地址限制。
应提供数据有效性检验功能保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
此项不适用主机用于应用测评中。
高风险应能发现可能存在的已知漏洞并在经过充分测试评估后及时修补漏洞。
通过访谈管理员是否有做过漏洞扫描是否定期查看漏扫报告。
通过运行–》appwiz.cpl–》查看已安装更新查看补丁是否有更新是否为最新。 不符合应对操作系统补丁进行测试和安装安装的补丁为较新的稳定版本。
应能够检测到对重要节点进行入侵的行为并在发生严重入侵事件时提供报警。
访谈系统管理员查看拓扑图。
恶意代码防范
高风险应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为并将其有效阻断。
询问管理员。
可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证并在应用程序的关键执行环节进行动态可信验证在检测到其可信性受到破坏后进行报警并将验证结果形成审计记录送至安全管理中心。
运行输入tpm.msc查看是否开启tpm可信验证。 设备支持可信验证但是要满足相关要求需要配合相关设备。
测评常用命令 netplwiz这是“网络密码”的缩写它是一个Windows实用程序用于管理用户账户的密码属性例如您可以使用它来要求在登录时输入用户名和密码。 lusrmgr.msc这是“本地用户和组管理器”的缩写它是一个Microsoft Management Console (MMC) 管理单元用于管理本地用户账户和组。 secpol.msc这是“安全策略”的缩写它允许管理员查看和修改本地或远程系统的安全策略。 eventvwr.msc这是“事件查看器”的缩写它是一个用于查看、搜索和分析事件日志如应用程序日志、安全日志和系统日志的工具。 gpedit.msc这是“组策略编辑器”的缩写它是一个用于管理组策略设置的工具这些设置可以应用于本地计算机或Active Directory中的用户和计算机。 services.msc这是“服务”的缩写它允许管理员查看和管理系统服务的状态包括启动、停止、暂停和恢复服务。 cmd这是命令提示符一个用于执行命令行指令的程序。 netstat -an这个命令用于显示活动的TCP连接、计算机监听的端口、以太网统计等网络相关信息。net share这个命令用于显示或删除网络共享也可以添加新的网络共享。firewall.cpl这是控制面板中的“Windows防火墙”的快捷方式用于配置防火墙规则。appwiz.cpl这是控制面板中的“程序和功能”的快捷方式用于安装、卸载和管理已安装的程序。netplwiz这与第一个条目重复用于管理用户账户的登录属性。 免费的馈赠往往标明了无形的价格。
