HW:Windows服务器测评

admin 2022年7月5日22:46:55评论25 views字数 4989阅读16分37秒阅读模式
微信公众号:计算机与网络安全


本文以等级保护三级信息系统中的Windows Server为例,对操作系统的测评实施进行介绍。其他等级系统中的主机可根据对应级别的基本要求,参照此内容进行调整,以满足自身的安全测评需求。


1、身份鉴别机制测评


1)检查系统是否对登录用户进行了身份标识和鉴别。可在命令提示符中输入“net user”或运行“lusrmgr.msc”检查用户标识符列表,检查系统是否提供了身份标识。通过模拟登录的方式,检查登录过程中系统账号是否进行登录验证。

2)检查系统口令是否有复杂度和定期更换的要求。可在“本地组策略编辑器”中依次打开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”,查看被测主机操作系统的密码复杂性要求、密码长度最小值和密码最长使用期限等设置情况。

3)检查系统是否启用了登录失败处理功能。可进入“本地组策略编辑器”,依次打开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,查看被测主机操作系统的账户锁定阈值和账户锁定时间。

4)检查远程管理是否具备防窃听措施。对于采用了远程管理的操作系统,可打开“控制面板”,依次进入“管理工具”→“远程桌面服务”→“远程桌面会话主机配置”→“RDP-TCP属性”→“常规”,查看“安全层”是否选择了SSL。

5)检查用户名是否具有唯一性,是否存在过期或多余的用户名。可进入DOS命令提示符,输入“lusrmgr.msc”并按“回车”,单击“用户”,查看其中的用户名是否具有唯一性,并查看是否存在过期或多余的用户名。

6)检查是否采用了2种或以上组合的鉴别技术对管理用户进行身份鉴别。以远程方式登录主要服务器操作系统,查看身份鉴别是否采用2个或以上身份鉴别技术的组合来进行身份鉴别。通过本地控制台管理主机设备操作系统,查看是否采用2种或以上身份鉴别技术。结合访谈和文档查阅的结果进行综合判定。

7)测试用户口令是否易被破解。使用fgdump工具提取服务器的SAM文件,使用John the Ripper(Windows版)尝试破解登录口令,尝试用破解出的口令登录服务器。

8)测试系统是否存在认证方式可被绕过的漏洞。使用nc监听端口,利用ms06040rpc.exe漏洞溢出工具对目标主机进行溢出攻击,查看nc界面确认溢出是否成功获得操作系统的控制权限。


2、访问控制机制测评


1)检查是否启用了访问控制功能。访谈系统管理员,了解操作系统是否配置了操作系统的安全策略;进入“控制面板”→“管理工具”→“服务”,查看“远程桌面服务”是否关闭;检查Administrators组中的用户,查看是否有普通用户、应用账户等非管理员账户属于管理员组;检查重要文件夹的用户访问权限,查看系统是否对重要文件的访问权限进行了限制,特别是users组和Administrator组对重要是否对重要文件的访问权限进行了限制,特别是users组和Administrator组对重要文件夹访问权限的区别(访问权限分为完全控制、修改、读取和运行、读取、写入等);使用DOS命令行模式下的“net share”,检查是否存在默认共享文件,包括所有的逻辑盘(C$,D$,E$…)、系统目录Windows(admin$)以及命名管道资源(IPC$);使用注册表编辑器,依次打开“HKEY_LOCAL_MACHINE”→“SYSTEM”→“Current Control Set”→“Control”→“Lsa”,查看“restrictanonymous”的值是否为1,以检查共享是否开启。


2)检查是否为不同的用户指派不同的权限,并实现管理用户的权限分离和最小权限原则。进入“控制面板”→“管理工具”→“本地安全策略”→“安全设置”→“本地策略”→“用户权限分配”,查看“安全设置”一栏中是否设置了不同的用户。


3)检查是否严格限制了默认账户的访问权限,重命名系统默认账户并修改默认口令。进入“控制面板”→“管理工具”→“计算机管理”→“系统工具”→“本地用户和组”→“用户”,右击“Guest”选择“属性”,检查操作系统中匿名/默认用户的访问权限是否已被禁用或者严格限制;进入“控制面板”→“管理工具”→“计算机管理”→“系统工具”→“本地用户和组”→“用户”,检查默认用户名Administrator是否重命名。


4)检查是否对重要信息资源设置了敏感标记及标记方法。主要通过访谈和文档查阅的方式。

5)检查是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作。主要通过访谈和文档查阅的方式,检查是否对敏感标记进行策略设置,是否对敏感标记进行分类,是否对敏感标记设定了访问权限。

6)检查是否存在不必要的服务。可使用端口扫描工具对操作系统进行扫描或使用telnet等命令来探测主机是否开放了不必要的服务,如Web、FTP等。

7)检查所有进出操作系统的网络访问是否得到了有效控制。可使用“ipconfig”命令查看网卡配置,使用“route print”命令查看路由配置,以判断操作系统在网络中的访问路径。


3、安全审计机制测评


1)检查是否启用了安全审计功能以及审计覆盖范围。在 DOS 命令提示符下输入secpol.msc,依次进入“安全设置”→“本地策略”→“审核策略”,查看审核策略的安全设置是否设置为“成功,失败”,以覆盖各类重要安全事件。

2)检查审计日志配置是否符合安全要求。依次进入“控制面板”→“管理工具”→“服务器管理器”→“诊断”→“事件查看器”→“Windows日志”,右击“安全”选择“属性”,查看审计日志的存储路径、日志最大大小、日志覆盖策略等信息。

3)检查事件记录的内容,判断审计内容是否包括事件的日期、时间、类型、主客体标识、结果等信息。依次进入“控制面板”→“管理工具”→“服务器管理器”→“诊断”→“事件查看器”,查看事件记录的具体内容。

4)检查是否为授权用户提供了浏览和分析审计记录的功能,是否可以根据需要自动生成不同格式的审计报表。通过访谈、文档查阅,结合Windows系统服务器管理器中的事件查看器,判断系统是否具备上述功能,或提供了相应的审计工具。

5)检查是否对审计进程进行了保护,避免受到未预期的中断。通过访谈和文档查阅,检查主要服务器操作系统、重要终端操作系统是否可通过非审计员的其他账户试图中断审计进程,判断检查审计进程是否受到保护以及是否有相应的审计保护工具。

6)检查是否对审计记录进行了保护,避免受到未预期的删除、修改或覆盖。通过访谈和文档查阅,检查是否有对审计记录的存储、备份和保护的措施,检查是否有日志服务器。以普通账号登录操作系统,执行删除系统审计记录的操作,查看系统是否显示日志无法删除,表明审计记录受到保护。


4、剩余信息保护机制测评


1)检查系统用户鉴别信息所在的存储空间(包括硬盘和内存),被释放或再分配给其他用户前是否得到了完全清除。打开“本地安全策略”→“安全设置”→“本地策略”→“安全选项”,查看“不显示最后的用户名”是否已启用,结合针对系统管理员的访谈结果进行判断。

2)检查系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前是否得到了完全清除。通过访谈和文档查阅,检查主要操作系统维护操作手册中是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程;打开“本地安全策略”→“安全设置”→“本地策略”→“安全选项”,查看“关机清除虚拟内存页面文件”是否已启用;打开“本地安全策略”→“安全设置”→“账户策略”→“密码策略”,查看“用可还原的加密来存储密码”选项是否已启用。


5、入侵防范机制测评


1)检查系统是否能够检测到严重的入侵行为,是否能够记录入侵的源 IP、攻击类型、攻击目标、攻击时间,并在发生严重入侵事件时提供报警。具体包括系统是否采取了入侵防范措施,是否安装了主机入侵检测软件或第三方入侵检测系统,是否有入侵检测记录,系统管理员是否经常查看日志。

2)检查系统是否能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。通过访谈和文档查阅的方式,检查系统是否提供对重要程序的完整性进行检测,是否使用了文件完整性检查工具对重要文件的完整性进行检查,是否对重要的配置文件进行了备份。

3)检查操作系统是否遵循了最小安装原则。进入“控制面板”→“所有控制面板项”→“管理工具”→“服务”,检查系统已安装的服务,结合访谈和文档查阅的方式,判断系统是否仅安装了必要的组件和应用程序,是否启动了不必要的服务,如 Alerter、Remote Registry Service、Messenger等。

4)检查系统是否设置了升级服务器保证及时更新补丁。进入“控制面板”→“卸载程序”→“查看已安装的更新”,查看所安装的补丁名称、安装时间等信息,判断操作系统补丁是否及时安装,结合访谈和文档查阅方式,检查是否设置了专门的升级服务器,实现对操作系统补丁的升级,如WSUS服务器。

5)检查是否开启了不必要的端口。在命令提示符下输入“netstat -an”查看本机各端口的网络连接情况,查看是否存在处于“LISTENING”状态的端口,关闭其中不必要的服务。

6)测试系统是否能及时检测到攻击行为。使用扫描工具对目标主机进行扫描攻击,查看入侵防范系统是否及时报警并记录攻击信息。


6、恶意代码防范机制测评


1)检查是否安装防恶意代码软件,并及时更新软件版本和恶意代码库。查看任务栏和隐藏的图标,查看防病毒软件是否处于开启状态,结合访谈和文档查阅方式,判断系统是否采取恶意代码实时检测与查杀措施,并检查病毒库的更新方法。

2)检查主机防恶意代码产品是否具有与网络防恶意代码产品不同的恶意代码库。通过访谈和文档查阅方式,检查两者恶意代码库的区别。

3)检查是否支持防恶意代码的统一管理。通过访谈和文档查阅方式,检查防恶意代码产品是否具有统一的管理平台,是否采用了统一的病毒更新策略和病毒查杀策略。


7、资源控制机制测评


1)检查是否通过设定终端接入方式、网络地址范围等条件限制终端登录。打开“控制面板”→“查看网络状态和任务”→“本地连接”→“属性”→“Internet协议版本4”并单击“属性”→“高级”→“选项”→“TCP/IP筛选”查看是否对端口进行了限制;打开“开始”→“管理工具”→“本地安全策略”→“IP安全策略”,查看是否使用了IP安全策略来实现对远程访问的地址限制;打开“开始”→“管理工具”→“高级安全Windows防火墙”,查看防火墙策略配置,判断内置防火墙是否能够对出站、入站通信进行双向过滤;结合访谈和文档查阅,判断系统是否设定了终端接入方式、网络地址范围等条件限制终端登录,是否有硬件防火墙限制终端接入、网络地址范围等。

2)检查是否根据安全策略设置了登录终端的操作超时锁定。进入“控制面板”→“显示”→“更改屏幕保护程序”,查看“在恢复时显示登录屏幕”是否已勾选以及等待时间的设置情况,判断系统是否设置了屏幕锁定;在DOS命令行模式下输入“gpedit.msc”打开“组策略”,进入“计算机配置”→“管理模板”→“Windows 组件”→“远程桌面服务”→“远程桌面会话主机”→“会话时间限制”,查看是否设置了达到时间限制时终止会话;同时按下“Ctrl+Alt+Delete”键,打开“Windows任务管理器”→“性能”→“资源监视器”,查看系统是否资源进行了监视,包括主机的CPU、硬盘、内存、网络等资源的使用情况;结合访谈和文档查阅,检查系统管理员是否经常查看“系统资源监控器”,是否有相关工具实现登录终端的操作超时锁定要求。


3)检查是否限制单个用户对系统资源的最大或最小使用限度。通过访谈和文档查阅,检查是否通过安全策略设置了单个用户对系统资源的最大或最小使用限度;打开“计算机”,右击要为其启用磁盘配额的磁盘分区,“属性”→“配额”→“配额项”,查看系统是否设置了用户对磁盘的使用配额。

4)检查是否使用了第三方软件来监控操作系统资源使用情况,并能够在操作系统资源使用异常时提供报警。


- The end -




HW:Windows服务器测评

原文始发于微信公众号(计算机与网络安全):HW:Windows服务器测评

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日22:46:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW:Windows服务器测评http://cn-sec.com/archives/1158215.html

发表评论

匿名网友 填写信息