等保2.0:Windows服务器-记录表(上)

admin
admin
admin
138880
文章
114
评论
2022年9月29日01:19:58评论83 views字数 4543阅读15分8秒阅读模式
请点击上面 等保2.0:Windows服务器-记录表(上) 一键关注
内容来源:FreeBuf.COM,投稿人:GOD_龑 

此次记录表按照服务器等保三级通用要求而编写,适用于Windows Server 2008 R2 Enterprise。


身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

结果记录:经核查,在某某服务器上通过win+R(运行)输入netplwiz命令,显示已勾选“要使用本计算机,用户必须输入用户名和密码”;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Administrator、caozuo、Guest、shenji等账户,且每个账户身份标识具有唯一性,Guest账户默认禁用;右键点击Adminstrator查看属性,仅勾选“用户下次登录时须更改密码(M )”;通过win+R(运行)输入secpol.msc命令,点击密码策略,显示:密码必须符合复杂性要求:已禁用;密码长度最小值:0个字符;密码最短使用期限:0天;密码最长使用期限:42天;强制密码历史:0个记住的密码;用可还原的加密来存储密码:已禁用。

符合情况:部分符合(0.5分)

整改建议:建议通过win+R(运行)输入secpol.msc命令,点击密码策略,配置:密码必须符合复杂性要求:已启用;密码长度最小值:8个字符;密码最短使用期限:1天;密码最长使用期限:90天;强制密码历史:5个记住的密码;用可还原的加密来存储密码:已禁用。

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc命令,点击账户锁定策略,显示:账户锁定时间:不适用;账户锁定阈值:0次无效登录;重置账户锁定计数器:不适用;通过控制面板--》外观--》显示--》屏幕保护程序设置,显示为无。

符合情况:不符合(0分)

整改建议:建议通过控制面板--》外观--》显示--》屏幕保护程序设置,勾选“在恢复时显示登录屏幕”,并设置相应等待时间;通过win+R(运行)输入secpol.msc命令,点击账户锁定策略,配置:账户锁定时间:30分钟;账户锁定阈值:6次无效登录;重置账户锁定计数器:30分钟之后。

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

结果记录:经核查,在某某服务器上通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全,显示远程(RDP)连接要求使用指定的安全层:未配置;通过输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接,显示设置活动但空闲的远程桌面服务会话的时间限制:未配置。

符合情况:不符合(0分)

整改建议:建议通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全, 启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层;通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接, 启用“显示设置活动但空闲的远程桌面服务会话的时间限制”,并配置相应空闲会话限制时间。

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

结果记录:经核查,某某服务器仅采用用户名+口令方式对登录用户进行身份鉴别,未采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。

符合情况:不符合(0分)

整改建议:建议采用两种或两种以上组合的鉴别技术对登录用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现,实现增强身份鉴别的安全力度。

访问控制

a)应对登录的用户分配账户和权限;

结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配 ,显示已对用户组权限进行合理分配;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示已为登录用户分配:Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户);访问C盘的Program文件夹,右键属性--》安全,显示已对不同的组或用户名进行合理授权。

符合情况:符合(1分)

整改建议:无。

b)应重命名或删除默认账户,修改默认账户的默认口令;

结果记录:经核查,在某某服务器上通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示默认用户Adminstrator和Guest,Guest默认禁用,且其默认口令已修改。

符合情况:部分符合(0.5分)

整改建议:建议重命名Administrator默认账户名,防止爆破攻击及用户名枚举攻击。

c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

结果记录:经核查,在某某服务器上通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户),且不同账户对应不同的管理用户,不存在多余的、过期的以及共享的账户。

符合情况:符合(1分)

整改建议:无。

d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配 ,显示已对用户组权限进行合理分配;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户),且不同账户对应不同的管理用户,实现管理用户的权限分离。

符合情况:符合(1分)

整改建议:无。

e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

结果记录:经核查,某某服务器由授权主体Adminstrator(系统管理账户)配置访问控制策略,规定主体(如:caozuo、shenji等管理账户)对客体(如:系统文件及管理审核和安全日志等功能等)的访问规则。

符合情况:符合(1分)

整改建议:无。

f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

结果记录:经核查,某某服务器访问控制粒度达到主体为用户级或进程级(如caozuo、shenji等管理账户和一些软件进程等),客体为文件或功能级(如每个磁盘的一些文件资料和一些功能权限等)。

符合情况:符合(1分)

整改建议:无。

g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

结果记录:经核查,某某服务器仅基于访问控制规则对重要信息资源进行访问控制,未基于安全标记对重要信息资源进行访问控制。

符合情况:不符合(0分)

整改建议:建议基于安全标记对一些非常重要的信息资源进行访问控制,实现对重要信息资源的强制访问控制策略。

安全审计

a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc命令--》本地策略--》审核策略,显示:审核策略更改:无审核;审核登录事件:无审核;审核对象访问:无审核;审核进程跟踪:无审核;审核目录服务访问:无审核;审核特权使用:无审核;审核系统事件:无审核;审核账户登录事件:无审核;审核账户管理:无审核;审计功能配置不完善,未能保证对重要的用户行为和重要安全事件等进行审计。

符合情况:部分符合(0.5分)

整改建议:建议通过win+R(运行)输入secpol.msc命令--》本地策略--》审核策略,配置:审核策略更改:成功,失败;审核登录事件:成功,失败;审核对象访问:成功,失败;审核进程跟踪:成功,失败;审核目录服务访问:成功,失败;审核特权使用:成功,失败;审核系统事件:成功,失败;审核账户登录事件:成功,失败;审核账户管理:成功,失败。

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

结果记录:经核查,在某某服务器上通过win+R(运行)输入eventvwr.msc--》Windows日志,显示应用程序日志包括:级别、日期和时间、来源、事件ID、任务类型;安全日志包括:关键字、日期和时间、来源、事件ID、任务类型;系统日志包括:级别、日期和时间、来源、事件ID、任务类型。

符合情况:符合(1分)

整改建议:无。

c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

结果记录:经核查,在某某服务器上通过win+R(运行)输入eventvwr.msc--》Windows日志--》应用程序--安全--系统--》属性,显示应用程序--安全--系统日志均存储于%SystemRoot%System32WinevtLogs目录,日志最大大小值为20480KB,已勾选“按需要覆盖事件(旧事件优先)”;通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配,显示“管理审核和安全日志”安全设置仅为Administrators组;审计时间大于180天;但未对审计数据进行备份。

符合情况:部分符合(0.5分)

整改建议:建议定期对审计数据进行备份,防止审计数据丢失。

d)应对审计进程进行保护,防止未经授权的中断。

结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配,显示“管理审核和安全日志”安全设置仅为Administrators组。

符合情况:符合(1分)

整改建议:无。
等保2.0:Windows服务器-记录表(上)
「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!

知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。

如何加入:扫描下方二维码,扫码付费即可加入。

加入知识星球的同学,请加我微信,拉您进VIP交流群!

等保2.0:Windows服务器-记录表(上)

朋友都在看

▶️3保1评 | 分保、等保、关保、密评联系与区别

▶️等保2.0丨2021 必须了解的40个问题

▶️等保2.0 三级 拓扑图+设备套餐+详解

▶️等保2.0 二级 拓扑图+设备套餐+详解

▶️等保2.0 测评  二级系统和三级系统多长时间测评一次?

▶️等保2.0系列安全计算环境之数据完整性、保密性测评

▶️等保医疗|全国二级、三乙、三甲医院信息系统安全防护设备汇总

▶️国务院:不符合网络安全要求的政务信息系统未来将不给经费

▶️等级保护、风险评估和安全测评三者的区别

▶️分保、等保、关保、密码应用对比详解

▶️汇总 | 2020年发布的最重要网络安全标准(下载)

▶️2022版 | 全国网络安全常用标准(下载)

原文始发于微信公众号(天億网络安全):等保2.0:Windows服务器-记录表(上)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月29日01:19:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   等保2.0:Windows服务器-记录表(上)https://cn-sec.com/archives/1321438.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息