一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、测评项
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
三、测评项a
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
3.1. 测评项a要求1
应对登录的用户进行身份标识和鉴别
这里的“身份标识”就是用户名,“鉴别”就是密码,属于windows自带功能,也就是我们进入Windows系统时需要输入用户名和密码,这个用户是可以不设置的,当然也就不符合要求了。
我们可以使用Win+R组合键打开运行框,在运行窗口里面输入netplwiz回车,则会出现用户账户页面,如下所示:
用户账户
当我们在本机用户列表中,选择其中某一个用户,比如lenovo后,勾掉“要使用本计算机,用户必须输入用户名和密码“选项的对勾后,下次开机进入系统时,将会跳过对用户进行身份鉴别的过程,如果该用户是空口令,那么自然也没法达到该要求,这就不用多说了。
3.2. 测评项a要求2
身份标识具有唯一性
即用户名不能重复,这个不用多说,windows不会允许相同用户名的,默认符合。
3.3. 测评项a要求3
身份鉴别信息具有复杂度要求
一般来说密码的复杂度要求包括长度最少8个字符,内容包含字母、数字及特殊字符,且不能是简单密码的组合,例如:admin@123等。
这个可以在Windows系统中的控制面板-系统和安全-管理工具-本地安全策略-密码策略里边设置进行设置,如下图所示:
密码策略
这里我主要关心的是“密码必须符合复杂性要求”和“密码长度最小值”这两个选项。“密码必须符合复杂性要求”要开启,“密码长度最小值”设置为8或者8以上即可符合口令长度要求。
3.4. 测评项a要求4
要求并定期更换
对于口令而言使用的时间越长,风险就越大,如果你的口令已经被他人获取,长时间内不更改密码,就会是你的计算机长期处于密码失控的状态,定期更改密码可以很好地防止类似事件发生,
这里我们可以通过访谈相关人员的方式进行,但是也没有可靠的证据,最好查看相关的配置,例如控制面板-系统和安全-管理工具-计算机管理-本地用户和组-用户中,选择一个用户右键单击选择属性查看“密码永不过期”是否已经勾选,勾选了就不符合。
用户属性
当然也可以查看控制面板-系统和安全-管理工具-本地安全策略-密码策略里边的“密码最长使用期限”只要是小于90天就算是符合。
密码策略
再一个就是在cmd中输入:net user 用户名,例如:
net user lenovo
就可以看到上次设置密码的时间和密码过期的时间限制,如下图所示:
net user
一般只要从上次设置密码到现在不超过90天就算符合要求,当然如果“password expires”为“never”则该项为不符合要求。
四、测评项b
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
4.1. 测评项b要求1
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数
这个要求比较好理解,即连续登录达到N次的时候,将登录账户锁定,在windows的控制面板-系统和安全-管理工具-本地安全策略-账户锁定策略中设置,如下图所示:
账户锁定策略
一般账户锁定阈值设置小于等于5,锁定时间和重置时间大于等于30分钟即可符合要求。
4.2. 测评项b要求2
当登录连接超时自动退出
一般设置时间限制小于等于30分钟即可,一般我都看计算机是否设置屏幕保护设置设置了就算是符合要求。
屏幕保护
这里选择了“在恢复时显示登录屏幕”,再设置“等待”时间,即可实现超过时间限制自动退出的功能。
对于“远程登录”,如果用的是windows自带的远程桌面,当然得在计算机属性-远程设置-系统属性-远程里边的远程桌面选择允许运行远程桌面,如下图所示:
远程桌面
然后同时按下win+r键,在运行框中输入gpedit.msc,按enter键,在本地本地计算机策略-计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-会话时间限制
会话设置
点击win+r,运行tsconfig.msc,右键RDP-TCP的属性,如下图所示
会话
其中,活动会话限制:即远程登录成功后,无论你是否操作,达到限定时间后就会断开连接;空闲会话限制:即远程登录成功后,如果你不进行操作的时间达到限定值,即断开连接。可以根据实际情况自行设置。
五. 测评项c
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
该测评项比较容易理解,进行远程管理时,要保证数据的保密性。
5.1远程会话安全设置
win+r键,在运行框中输入gpedit.msc,按enter键,在本地本地计算机策略-计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-安全里边进行安全配置。
会话安全配置
如果连接了外网,并且存在远程管理,那么点击win+r,运行tsconfig.msc,右键RDP-TCP的属性在常规里有安全性和加密级别。
安全加密配置
5.2查看是否关闭了telnet功能
如果可以与外部网络连通,就要查看是否关闭telnet功能,因为telnet是明文传输,一旦开启了telnet功能,无论运维人员是否使用,都算不符合要求,可以在cmd命令提示符输入:
netstat -an | findstr :23
telnet端口23
如果返回如上图所示,那么说明telnet功能开启,当然我们也可以在本地服务中找是否开启telnet功能,如下图所示:
telnet功能
六. 测评项d
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
6.1. 身份认证三要素
口令:就是大家常用的“用户名、口令”,你提交了只有你自己知道的验证信息,对方就可以认为提交了这个信息的人即为你,即身份认证通过;
辅助物品:如数字证书、密钥盘、加密狗等,你通过向对方出示了此类物品或信息来进行身份验证。
生物特征:指纹、虹膜、DNA等等。
所以,测评项中的两种组合的鉴别技术,就是使用三个要素里至少两个不同的要素,比如“用户名、口令”+“数字证书”。
所以如果只是重复的使用其中一种要素,比如登录时需要输入两次不同的“用户名、口令”,那就不叫双因素认证,而叫两步验证。
6.2. 密码技术
什么是密码技术?密码技术的运用有很多,比如数字签名、消息认证码等等,比较复杂,当然,其中最基本的元素应该是加密算法(对称加密、非对称加密)以及单向散列算法。
我们通常使用的“密码”,并不一定都采用了密码技术,实际上应该叫“口令”而非“密码”。
我们通过提供口令,通过了身份验证,获得了想要的数据,但是数据本身其实没有啥变化,它的特点是一旦绕过验证,就可以直接获得数据。
而如果是密码,比如加密算法将某数据进行了加密,我们想要获得原来的数据,就要提供密钥将数据还原,这里不存在什么绕过验证不逃过验证的,无法提供正确的密钥将数据还原的话,得到的就是一堆无意义的数据,也无法用它来做任何事。
结束语
身份鉴别是大家最常见的一种安全措施,往往是计算机的第一道屏障,大家应该重视,我在测评过程中很少会遇到身份鉴别做得非常好的情况,绝大多数服务器都是采用的默认密码和弱密码,而且长时间不更换,尤其是终端电脑,桌面密码大多数都是简单的几位数字密码,更别提其他的保护措施了,因此身份鉴别的情形还是非常严峻的,希望大家能够重视,以上就是等保测评2.0解读——Windows身份鉴别的所有内容,希望对大家有所帮助
原文始发于微信公众号(安全帮):一项一项教你测等保2.0——Windows身份鉴别
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论