等保2.0：Windows服务器-记录表（上）

请点击上面　　一键关注

内容来源：FreeBuf.COM，投稿人：GOD_龑 

此次记录表按照服务器等保三级通用要求而编写，适用于Windows Server 2008 R2 Enterprise。

身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

结果记录：经核查，在某某服务器上通过win+R（运行）输入netplwiz命令，显示已勾选“要使用本计算机，用户必须输入用户名和密码”；通过win+R（运行）输入lusrmgr.msc命令，点击用户，显示存在Administrator、caozuo、Guest、shenji等账户，且每个账户身份标识具有唯一性，Guest账户默认禁用；右键点击Adminstrator查看属性，仅勾选“用户下次登录时须更改密码(M )”；通过win+R（运行）输入secpol.msc命令，点击密码策略，显示：密码必须符合复杂性要求：已禁用；密码长度最小值：0个字符；密码最短使用期限：0天；密码最长使用期限：42天；强制密码历史：0个记住的密码；用可还原的加密来存储密码：已禁用。

符合情况：部分符合（0.5分）

整改建议：建议通过win+R（运行）输入secpol.msc命令，点击密码策略，配置：密码必须符合复杂性要求：已启用；密码长度最小值：8个字符；密码最短使用期限：1天；密码最长使用期限：90天；强制密码历史：5个记住的密码；用可还原的加密来存储密码：已禁用。

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

结果记录：经核查，在某某服务器上通过win+R（运行）输入secpol.msc命令，点击账户锁定策略，显示：账户锁定时间：不适用；账户锁定阈值：0次无效登录；重置账户锁定计数器：不适用；通过控制面板--》外观--》显示--》屏幕保护程序设置，显示为无。

符合情况：不符合（0分）

整改建议：建议通过控制面板--》外观--》显示--》屏幕保护程序设置，勾选“在恢复时显示登录屏幕”，并设置相应等待时间；通过win+R（运行）输入secpol.msc命令，点击账户锁定策略，配置：账户锁定时间：30分钟；账户锁定阈值：6次无效登录；重置账户锁定计数器：30分钟之后。

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

结果记录：经核查，在某某服务器上通过win+R（运行）输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全，显示远程（RDP）连接要求使用指定的安全层：未配置；通过输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接，显示设置活动但空闲的远程桌面服务会话的时间限制：未配置。

符合情况：不符合（0分）

整改建议：建议通过win+R（运行）输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全， 启用“远程（RDP）连接要求使用指定的安全层”，并选择TLS1.0以上版本的安全层；通过win+R（运行）输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接， 启用“显示设置活动但空闲的远程桌面服务会话的时间限制”，并配置相应空闲会话限制时间。

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

结果记录：经核查，某某服务器仅采用用户名+口令方式对登录用户进行身份鉴别，未采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。

符合情况：不符合（0分）

整改建议：建议采用两种或两种以上组合的鉴别技术对登录用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现，实现增强身份鉴别的安全力度。

访问控制

a）应对登录的用户分配账户和权限；

结果记录：经核查，在某某服务器上通过win+R（运行）输入secpol.msc--》本地策略--》用户权限分配 ，显示已对用户组权限进行合理分配；通过win+R（运行）输入lusrmgr.msc命令，点击用户，显示已为登录用户分配：Adminstrator（系统管理账户）、caozuo（操作员账户）、shenji（审计员账户）；访问C盘的Program文件夹，右键属性--》安全，显示已对不同的组或用户名进行合理授权。

符合情况：符合（1分）

整改建议：无。

b）应重命名或删除默认账户，修改默认账户的默认口令；

结果记录：经核查，在某某服务器上通过win+R（运行）输入lusrmgr.msc命令，点击用户，显示默认用户Adminstrator和Guest，Guest默认禁用，且其默认口令已修改。

符合情况：部分符合（0.5分）

整改建议：建议重命名Administrator默认账户名，防止爆破攻击及用户名枚举攻击。

c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

结果记录：经核查，在某某服务器上通过win+R（运行）输入lusrmgr.msc命令，点击用户，显示存在Adminstrator（系统管理账户）、caozuo（操作员账户）、shenji（审计员账户），且不同账户对应不同的管理用户，不存在多余的、过期的以及共享的账户。

符合情况：符合（1分）

整改建议：无。

d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

结果记录：经核查，在某某服务器上通过win+R（运行）输入secpol.msc--》本地策略--》用户权限分配 ，显示已对用户组权限进行合理分配；通过win+R（运行）输入lusrmgr.msc命令，点击用户，显示存在Adminstrator（系统管理账户）、caozuo（操作员账户）、shenji（审计员账户），且不同账户对应不同的管理用户，实现管理用户的权限分离。

符合情况：符合（1分）

整改建议：无。

e）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

结果记录：经核查，某某服务器由授权主体Adminstrator（系统管理账户）配置访问控制策略，规定主体（如：caozuo、shenji等管理账户）对客体（如：系统文件及管理审核和安全日志等功能等）的访问规则。

符合情况：符合（1分）

整改建议：无。

f）访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

结果记录：经核查，某某服务器访问控制粒度达到主体为用户级或进程级（如caozuo、shenji等管理账户和一些软件进程等），客体为文件或功能级（如每个磁盘的一些文件资料和一些功能权限等）。

符合情况：符合（1分）

整改建议：无。

g）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

结果记录：经核查，某某服务器仅基于访问控制规则对重要信息资源进行访问控制，未基于安全标记对重要信息资源进行访问控制。

符合情况：不符合（0分）

整改建议：建议基于安全标记对一些非常重要的信息资源进行访问控制，实现对重要信息资源的强制访问控制策略。

安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

结果记录：经核查，在某某服务器上通过win+R（运行）输入secpol.msc命令--》本地策略--》审核策略，显示：审核策略更改：无审核；审核登录事件：无审核；审核对象访问：无审核；审核进程跟踪：无审核；审核目录服务访问：无审核；审核特权使用：无审核；审核系统事件：无审核；审核账户登录事件：无审核；审核账户管理：无审核；审计功能配置不完善，未能保证对重要的用户行为和重要安全事件等进行审计。

符合情况：部分符合（0.5分）

整改建议：建议通过win+R（运行）输入secpol.msc命令--》本地策略--》审核策略，配置：审核策略更改：成功，失败；审核登录事件：成功，失败；审核对象访问：成功，失败；审核进程跟踪：成功，失败；审核目录服务访问：成功，失败；审核特权使用：成功，失败；审核系统事件：成功，失败；审核账户登录事件：成功，失败；审核账户管理：成功，失败。

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

结果记录：经核查，在某某服务器上通过win+R（运行）输入eventvwr.msc--》Windows日志，显示应用程序日志包括：级别、日期和时间、来源、事件ID、任务类型；安全日志包括：关键字、日期和时间、来源、事件ID、任务类型；系统日志包括：级别、日期和时间、来源、事件ID、任务类型。

符合情况：符合（1分）

整改建议：无。

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

结果记录：经核查，在某某服务器上通过win+R（运行）输入eventvwr.msc--》Windows日志--》应用程序--安全--系统--》属性，显示应用程序--安全--系统日志均存储于%SystemRoot%System32WinevtLogs目录，日志最大大小值为20480KB，已勾选“按需要覆盖事件（旧事件优先）”；通过win+R（运行）输入secpol.msc--》本地策略--》用户权限分配，显示“管理审核和安全日志”安全设置仅为Administrators组；审计时间大于180天；但未对审计数据进行备份。

符合情况：部分符合（0.5分）

整改建议：建议定期对审计数据进行备份，防止审计数据丢失。

d）应对审计进程进行保护，防止未经授权的中断。

结果记录：经核查，在某某服务器上通过win+R（运行）输入secpol.msc--》本地策略--》用户权限分配，显示“管理审核和安全日志”安全设置仅为Administrators组。

符合情况：符合（1分）

整改建议：无。

「天億网络安全」 知识星球 一个网络安全学习的星球！星球主要分享、整理、原创编辑等网络安全相关学习资料，一个真实有料的网络安全学习平台，大家共同学习、共同进步！

知识星球定价：199元/年，（服务时间为一年，自加入日期顺延一年）。

如何加入：扫描下方二维码，扫码付费即可加入。

加入知识星球的同学，请加我微信，拉您进VIP交流群！

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次？

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院：不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准（下载）

▶️2022版 | 全国网络安全常用标准（下载）

原文始发于微信公众号（天億网络安全）：等保2.0：Windows服务器-记录表（上）