三级的
安全计算环境-操作系统windows
这里只记录路径啊,参数怎么定,见仁见智呐
想了一下还是分开写吧。--2021.9.11.23.30.14
1身份鉴别
001应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
密码复杂度:控制面板-管理工具-本地安全策略-账户策略-密码策略
身份标识唯一:控制面板-管理工具-计算机管理-系统工具-本地用户和组
定期更换:点开上面的用户账户,属性里面不勾选密码永不过期,且在密码复杂度设置使用时间
空口令账户:控制面板-用户账户,看到密码保护没有
002应具有登录失败处理功能,应配置并启用结束会话,限制非法登录次数和当登录连接超时自动退出等相关措施。
失败处理功能:控制面板-管理工具-本地安全策略-账户策略-账户锁定策略
先设置账户锁定阈值(登录失败次数),后面才能开启账户锁定时间(登录失败锁定时间)和重置账户锁定计数器。
登录超时自动退出:桌面右键-个性化-屏幕保护程序(还不如直接在设置里搜)
选了屏幕保护程序之后就可以设置等待时间,当然,把在恢复时显示登录屏幕给勾上。
003当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
首先,看它能不能被远程,不能就万事大吉。
进入【我的电脑】
进去哦,然后右键点属性
有个【远程设置】,点他。
不允许远程就符合啦,但一般都是允许远程的,那要继续看它远程(RDP)有没有使用加密的通道。
同时按win键和r键,把【运行】弄出来,输入gpedit.msc,打开本地组策略编辑器。
计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-安全,点击【设置客户端连接加密级别】
启用加密级别
Q然后RDP是什么东西呢?
Remote Display Protocal(远程显示协议),双向奔赴能连接大部分微软的服务器,安不安全要看它有没有加密,像上面的高级加密就用128 位强加密进行加密。在仅包含 128 位客户端(例如,运行远程桌面连接的客户端)的环境中使用此加密级别。不支持此加密级别的客户端无法连接到 RD 会话主机服务器。低级加密就对由客户端发送到服务器的数据使用 56 位加密进行加密。
004应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
口令:账号密码啦
数字证书:秘钥啦,CA证书啦
生物技术:瞳孔啦,指纹啦,声纹啦,面部特征啦
2访问控制
005应对登录的用户分配账户和权限。
一般看系统重要配置目录的用户权限合不合理
比如C:\windows\system,右键,点击【属性】
比如C:\windows\System32\config,右键,点击【属性】
点击【安全】,查看administrators组和user组的权限,正常普通用户组的不能访问这些文件夹
006应重命名或删除默认账户,修改默认账户的默认口令。
查看操作系统用户:找一找有没有默认用户,控制面板-管理工具-计算机管理-系统工具-本地用户和组-用户。
图上这四个就是默认用户了,没有重命名就点进去看有没有禁用,都没有就问管理员有没有改符合复杂度要求的密码,都没有就不符合,一个漏网之鱼都不符合。
007应及时删除或停用多余的、过期的账户,避免共享账户的存在。
管理员才知道哪些是多余的、过期的账户,要询问日常使用这个管理账号的有多少个人,个人觉得多于一个就是共享账号了哈。
008应授予管理用户所需的最小权限,实现管理用户的权限分离。
三权分立(立法、行政和司法,大雾),主要是要废除超级管理员,然后形成系统管理员、安全员、审计员在满足工作的前提下权限互相制约的局面。先询问管理员,操作系统是不是具备了这三种账号,各自归入哪个用户组,然后进入控制面板-管理工具-本地安全策略-安全设置-本地策略-用户权限分配,查看系统策略分配到哪个用户组下面,是不是符合系统管理员、安全员、审计员工作的需求。
简单写一下,不足之处有空再补充
系统管理员负责系统的安装和配置等
安全管理员负责安全层面的工作,如访问控制、入侵防御、漏洞扫描、修复补丁等
审计管理员负责日志、审计和备份等
009应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
先问授权主体(人或者系统)是谁,除了他,其他人能不能更改访问控制配置。
查看重要目录的配置是否符合访问控制策略。
010访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
1、判断主体是用户级、进程级还是其他什么;
2、判断客体是文件级、数据库表级还是其他什么;
3、访问控制策略合不合理,生不生效。
011应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
访谈管理员,主体和客体有没有参数能代表他们的安全、敏感等级。
3安全审计
012应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
控制面板-管理工具-本地安全策略-安全设置-本地策略-审核策略,建议全开(成功,失败)
或者有第三方的审计软件。
013审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
控制面板-管理工具-计算机管理-系统工具-事件查看器-windows日志
014应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
控制面板-管理工具-计算机管理-系统工具-事件查看器-windows日志-安全,右键【属性】,可以看到日志的策略和保存地址,要询问管理员有没有定期备份的规定,并查看备份记录,如果没有就不符合,因为非授权用户通常点那个【清除日志】都是可以清掉的。
015应对审计进程进行保护,防止未经授权的中断。
控制面板-管理工具-本地安全策略-安全设置-本地策略-用户权限分配,点击【管理审核和安全日志】
只有administrators组,自然不符合,超级管理员是非授权用户组。
4入侵防范
016应遵循最小安装的原则,仅安装需要的组件和应用程序。
控制面板-程序和功能,询问管理员哪些是无关紧要的软件,没有自然就符合。
大半夜饿了,吃块月饼
017应关闭不需要的系统服务、默认共享和高危端口。
同时按下win键和r键,输入services.msc
不需要的系统服务:
重点看一下alerter、remote registry service、messenger、task scheduler、server、print sploor是否开了
alerter:通知所选用户和计算机有关系统管理级警报。不必要的服务。
remote registry service:使远程用户能修改此计算机上的注册表设置。危险的服务。
messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换。会有垃圾邮件和垃圾广告,MSBlast和Slammer病毒
task scheduler:可以用来在未来某个时间运行程序。可以做后门。
server:共享文件夹。
print sploor:将文件加载到内存中以便稍后打印。有漏洞。
默认共享:
控制面板-管理工具-计算机管理-系统工具-共享文件夹,要关掉。
高危端口:
同时安装win键和r键,输入cmd
输入netstat -an(查询本地端口和IP)
高危端口:TCP135、139、445、593、1025、2745、3127、6129等 UDP135、137、138、445等
018应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
1、主机防火墙入站规则限制
控制面板-防火墙-高级设置-入站规则,点击【远程桌面-用户模式(TCP-In)】,有没有设置地址。
2、IP筛选器
同时按住win键和r键,输入gpedit.msc,本地计算机策略-计算机配置-windows设置-安全设置-IP安全策略,查看IP筛选器。
3、依靠硬件设备例如防火墙、交换机等
019应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。
GB/T 28448-2019对此项测评指标的对象为业务应用系统、中间件和系统管理软件及系统设计文档,当前测评对象不适用。
020应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
有没有漏扫,没有打补丁记录,补丁最新版本多少。
021应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
内部:有没有安装主机入侵检测软件,能不能报警(短信、邮件等)
外部:有没有部署IPS(入侵检测系统)、IDS(入侵防御系统)
5恶意代码防范
022应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
可信验证一般都没有,看操作系统有没有安装杀毒软件,看病毒库最新版本和当前版本,询问管理员病毒库的更新策略等
023可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
1、通信设备(交换机、路由器等)具有可信根芯片或硬件;
2、启动过程基于可信根对系统引导程序、系统程序、重要配置参数和关键应用程序等进行可信验证度量;
3、在检测到设备的可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
4、安全管理中心可以接收设备的验证结果记录。