允许用户设置、配置和维护自己的工作站或服务器可能会创建一个不一致的环境,其中特定的工作站或服务器比其他工作站或服务器更容易受到攻击。这种类型的环境可以很容易地让对手在网络上获得最初的立足点。标准操作环境(SOE) 是操作系统和应用程序的标准化实施,旨在确保一致且安全的基线。
当国有企业从服务提供商等第三方获得时,应考虑网络供应链风险,例如意外或故意包含恶意内容或配置。为了减少此类事件的可能性,组织不仅应该从可信来源获取其国有企业,而且还应该在使用前对其进行扫描,以确保其完整性。
SOE用于工作站和服务器。
第三方提供的 SOE 在使用之前会扫描恶意内容和配置。
较新版本的操作系统通常会在安全功能方面比旧版本有所改进。这可能会使攻击者更难以为他们发现的安全漏洞创建可靠的漏洞。使用较旧的操作系统版本,特别是那些不再受供应商支持的操作系统,使组织暴露于开发技术,这些技术后来在较新版本中得到了缓解。
x64(64位)版本的 Microsoft Windows 包括 x86(32 位)版本所缺乏的其他安全功能。使用 x86(32 位)版本的 Microsoft Windows 会使组织暴露于 x64(64 位)版本的MicrosoftWindows 所缓解的利用技术。
最新版本或先前版本的操作系统用于工作站、服务器和网络设备。
当操作系统以默认状态部署时,很容易导致不安全的操作环境,允许对手在网络上获得初始立足点。操作系统中存在许多选项,以允许将它们配置为安全状态,以最大程度地降低此安全风险。澳大利亚网络安全中心(ACSC) 和供应商经常制作加固指南,以协助安全地配置各种操作系统。
实施 ACSC 和供应商指南是为了帮助加固操作系统的配置。
默认操作系统账户将被禁用、重命名或更改其密码。
不需要的操作系统账户、软件、组件、服务和功能将被禁用或删除。
可移动媒体的自动执行功能被禁用。
Internet Explorer11 被禁用或删除。
.NET Framework 3.5(包括 .NET 2.0 和 3.0)被禁用或删除。
非特权用户无法绕过、禁用或修改操作系统的安全功能。
禁止非特权用户在 MicrosoftWindows 中运行脚本执行引擎,包括:
Windows ScriptHost (cscript.exe 和 wscript.exe)
PowerShell (powershell.exe, powershell_ise.exe 和 pwsh.exe)
命令提示符(cmd.exe)
Windows ManagementInstrumentation (wmic.exe)
当本地管理员账户与常用账户名和密码短语一起使用时,它可以允许在一个工作站或服务器上破坏这些凭据的对手轻松地通过网络传输到其他工作站或服务器。
本地管理员账户被禁用;或者,使用对每个设备的本地管理员账户都是随机且唯一的密码短语。
应用程序管理
虽然安装任何应用程序的能力可能是用户的业务要求,但攻击者可以利用此权限,他们可以通过电子邮件发送恶意应用程序,或将其托管在受感染的网站上,并使用社交工程技术说服用户安装它。即使安装应用程序需要特权访问权限,如果用户认为或可以确信安装应用程序的要求是合法的,他们也会经常使用其特权访问权限。此外,如果将应用程序配置为使用提升的权限进行安装,则攻击者可以通过创建 Windows 安装程序安装包来创建属于本地管理员组的新账户来利用此漏洞。管理此安全风险的一种方法是允许用户从组织管理的软件存储库或受信任的应用程序市场中安装经过审查和批准的应用程序。
用户无法安装未经批准的软件。
用户无法卸载或禁用已批准的软件。
攻击者可以通过电子邮件发送恶意代码,或在受感染的网站上托管恶意代码,并使用社交工程技术诱使用户执行它。此类恶意代码通常旨在利用现有应用程序中的安全漏洞,无需安装即可成功。应用程序控制可以是一种非常有效的机制,不仅可以防止恶意代码执行,还可以确保只能安装经过批准的应用程序。
在开发应用程序控制规则时,定义已批准的可执行文件(例如.exe和.com文件)、软件库(例如.dll和.ocx 文件)、脚本(例如 .ps1、.bat、.cmd、.vbs 和 .js 文件)、安装程序(例如 .msi、.msp 和 .mst 文件)、已编译的 HTML(例如 .chm)、HTML 应用程序(例如 .hta)、控制面板小程序(例如 .cpl)和从头开始的驱动程序比依赖于当前驻留在工作站或服务器上的列表更安全。此外,组织最好定义自己的规则集,而不是依赖于应用程序控制供应商的规则集。
请注意,对于仅实施基本八个成熟度模型中成熟度级别 2 的组织,安全控制 1656、1658、1582、1544、1659 和 1662-1663 不适用。
应用程序控制在工作站上实现。
应用程序控制在面向互联网的服务器上实现。
应用程序控制在非面向 Internet 的服务器上实现。
应用程序控制将 可执行文件、软件库、脚本、安装程序、已编译的 HTML、HTML 应用程序和控制面板小程序的执行限制在组织批准的集合中。
应用程序控制将驱动程序 的执行限制为组织批准的集。
应用程序控制是使用加密哈希规则、发布者证书规则或路径规则实现的。
应用控制规则集 每年或更频繁地进行验证。
使用发布者证书规则实现应用程序控制时,将同时使用发布者名称和产品名称。
使用路径规则实现应用程序控制时,文件系统权限配置为防止未经授权修改文件夹和文件权限、文件夹内容(包括添加新文件)和批准执行的单个文件。
微软的 "推荐阻止规则" 已经实现。
微软的 "推荐驱动程序阻止规则" 已实现。
所有用户(执行特定管理活动时的特权用户除外)都不能禁用、绕过或免于应用程序控制。
记录工作站上允许和阻止的执行。
记录面向 Internet 的服务器上允许和阻止的执行。
记录非面向 Internet 的服务器上允许和阻止的执行。
应用程序控制事件日志,包括文件名、日期/时间戳以及与事件关联的用户的用户名。
应用程序控制事件日志被集中存储并防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
漏洞利用防护
当操作系统中的漏洞利用生产功能尚未启用时,为 Microsoft Windows 开发漏洞的攻击对手将更成功地利用安全漏洞。
Microsoft 的漏洞利用防护功能在工作站和服务器上实现。
PowerShell
PowerShell是Microsoft开发的一种功能强大的脚本语言,用于为自动化系统管理提供集成界面,并且由于其无处不在并且易于使用来完全控制Microsoft Windows环境,因此是系统管理员工具包的重要组成部分。但是,它也是对手手中的危险利用工具。为了防止利用早期 PowerShell 版本中的安全漏洞进行攻击,应从操作系统中删除WindowsPowerShell 2.0 功能。此外,PowerShell 的语言模式应设置为"约束语言模式",以实现功能和安全性之间的平衡。最后,PowerShell 中提供的日志记录功能(如模块日志记录、脚本块日志记录和转录)可以在涉及 PowerShell 被用于恶意目的的网络安全事件后为事件响应者提供宝贵的信息。
请注意,对于仅实施基本八个成熟度模型中成熟度级别 2 的组织,安全控制 1621-1622 和 1665 不适用。
Windows PowerShell2.0 被禁用或删除。
PowerShell 配置为使用约束语言模式。
PowerShell 配置为使用模块日志记录、脚本块日志记录和转录功能。
PowerShell 脚本块日志受受保护的事件日志记录功能保护。
记录锁定的 PowerShell 脚本执行。
PowerShell 事件日志集中存储并防止未经授权的修改和删除,监视入侵迹象,并在检测到网络安全事件时采取措施。
基于主机的入侵防御系统
许多端点安全解决方案都依赖于签名来检测恶意代码。仅当已分析特定恶意代码段并且签名是最新的时,此方法才有效。不幸的是,攻击者可以创建已知恶意代码的变体,或开发新的看不见的恶意代码,以绕过传统的基于签名的检测机制。基于主机的入侵防御系统(HIPS) 可以使用基于行为的检测方案来帮助识别和阻止异常行为,例如进程注入、击键日志记录、驱动程序加载和呼叫挂钩,以及检测防病毒供应商尚未识别的恶意代码。
HIPS 在工作站上实现。
HIPS 在高价值服务器上实现,例如身份验证服务器、域名系统服务器、Web 服务器、文件服务器和电子邮件服务器。
软件防火墙
网络防火墙通常无法防止恶意代码在网络上传播,或者阻止对手提取重要数据,因为它们通常只能控制可以在不同网段之间使用哪些端口或协议。许多形式的恶意代码专门设计用于通过使用通用协议(如超文本传输协议,超文本传输协议安全, 简单邮件传输协议和域名系统)来利用这一点。软件防火墙比网络防火墙更有效,因为它们可以控制哪些应用程序和服务可以与工作站和服务器进行通信。内置的 Windows 防火墙应用于控制特定应用程序的入站和出站流量。
在工作站和服务器上实施了软件防火墙,以限制入站和出站网络连接。
防病毒软件
当供应商开发软件时,他们可能不会使用安全的编码实践。攻击者可以通过开发恶意代码来利用尚未检测到和补救的安全漏洞来利用这一点。由于开发功能正常且可靠的漏洞利用程序通常需要花费大量时间和精力,因此对手通常会尽可能多地重复使用其漏洞利用程序。虽然防病毒供应商可能会分析漏洞利用,但在没有任何措施来检测它们的组织中,它们通常仍然是一种可行的入侵方法。
防病毒软件在工作站和服务器上实施,并配置了:
1.启用基于签名的检测并将其设置为高级别
2.启用基于启发式的检测并将其设置为高级别
3.启用勒索软件保护措施
4.检测签名检查货币并至少每天更新一次
5.为所有固定磁盘和可移动媒体配置自动和定期扫描。
防病毒软件启用了信誉评级功能。
设备访问控制软件
使用设备访问控制软件来防止未经授权的可移动媒体和设备(例如智能手机、平板电脑、蓝牙设备、无线设备和4G/5G加密狗)通过外部通信接口(例如通用串行总线、蓝牙和近场通信)连接到工作站和服务器,作为纵深防御工作站和服务器保护方法的一部分,增加了价值。
还已经证明,攻击者可以通过允许直接内存访问(DMA)的外部通信接口将设备连接到锁定的工作站和服务器,并随后访问内存中的加密密钥。此外,对手可以在内存中读取或写入他们想要的任何内容。针对此安全漏洞的最佳防御措施是禁用对允许 DMA 的外部通信接口(例如 FireWire、ExpressCard 和 Thunderbolt)的访问。
通过使用设备访问控制软件或禁用操作系统中的外部通信接口,可以防止 将 未纵的可移动介质和 设备 连接到工作站和服务器。
允许 DMA 的外部通信接口被禁用。
如果可移动 media 的使用没有业务要求,则阻止通过使用设备访问控制软件写入。
应用程序加固
应用程序选择
在选择应用程序时,组织必须优先考虑那些致力于保护编码实践并在维护其应用程序安全性方面具有良好记录的供应商。这不仅有助于加固应用程序,还会增加供应商及时发布补丁以修复其应用程序中的任何安全漏洞的可能性。
应用程序是从已承诺保护开发和维护实践的供应商中选择的。
应用程序版本
较新版本的应用程序通常会在安全功能方面引入比旧版本更好的功能。这可能会使攻击者更难以为他们发现的安全漏洞创建可靠的漏洞。使用较旧版本的应用程序,尤其是关键业务应用程序,如办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、可移植文档格式 (PDF) 软件和安全产品,使组织暴露于利用技术,这些技术后来在较新版本的应用程序中得到缓解。
最新版本的办公生产力套件、Web 浏览器及其扩展、电子邮件客户端、PDF 软件和安全产品在国有企业中使用。
当国有企业中存在时,将使用最新版本的 Web 服务器软件、存储重要数据的服务器应用程序以及其他可访问 Internet 的服务器应用程序。
加固应用程序配置
默认情况下,许多应用程序启用用户不需要的功能,而安全功能可能被禁用或设置为较低的安全级别。对于可能成为对手目标的关键业务应用程序(如办公生产力套件、Web 浏览器及其扩展程序、电子邮件客户端、PDF 软件和安全产品)而言,这尤其危险。为了帮助最大程度地降低此安全风险,ACSC 会生成指南来帮助安全地配置关键业务应用程序。此外,为了帮助安全地配置其应用程序,供应商可能会提供自己的安全指南。
Web 浏览器不会从互联网上处理 Java。
网络浏览器不处理 来自互联网的网络广告。
Internet Explorer11 不处理来自互联网的内容。
Microsoft Office 被阻止创建子进程。
Microsoft Office 被阻止创建可执行内容。
Microsoft Office 被阻止将代码注入其他进程。
Microsoft Office 配置为阻止激活对象链接和嵌入包。
PDF 软件被阻止创建子进程。
实施了针对 Web 浏览器、Microsoft Office 和 PDF 软件的 ACSC 或供应商加固指南。
Web浏览器,Microsoft Office和PDF软件中的任何不需要的功能都将被禁用。
Web 浏览器、Microsoft Office 和 PDF 软件附加组件的使用仅限于组织批准的附加组件。
如果支持,将实施 Microsoft 的攻击面减少规则。
用户无法更改 Web 浏览器、Microsoft Office 和 PDF 软件安全设置。
MicrosoftOffice 宏
Microsoft Office 文件可以包含用 Visual Basic for Applications 编程语言编写的嵌入式代码(称为宏)。宏可以包含一系列命令,这些命令可以编码或记录,并在以后重播以自动执行重复性任务。宏是功能强大的工具,用户可以轻松地创建它们,从而大大提高他们的工作效率。但是,攻击者还可以创建宏来执行各种恶意活动,例如协助破坏工作站以泄露或拒绝对敏感或机密数据的访问。为了降低此安全风险,组织应为没有已证明业务需求的用户禁用 Microsoft Office 宏,并保护其余用户使用这些宏。
请注意,对于仅实施基本八个成熟度模型中的成熟度级别 2 的组织,安全控制 1674、1487、1675-1676 和 1678 不适用。
对于没有已证明的业务需求的用户,将禁用 MicrosoftOffice 宏。
来自互联网的文件中的 MicrosoftOffice 宏将被阻止。
已启用 MicrosoftOffice 宏防病毒扫描。
Microsoft Office 宏被阻止进行 Win32 API 调用。
仅允许从沙盒环境、受信任位置或由受信任的发布者进行数字签名的 MicrosoftOffice 宏执行。
只有负责验证 MicrosoftOffice 宏是否没有恶意代码的特权用户才能写入和修改受信任位置中的内容。
由不受信任的发布者进行数字签名的 MicrosoftOffice 宏无法通过消息栏或后台视图启用。
Microsoft Office 的受信任发布者列表每年或更频繁地进行验证。
用户无法更改 MicrosoftOffice 宏安全设置。
将记录允许和阻止的 MicrosoftOffice 宏执行。
Microsoft Office 宏事件日志是集中存储并防止未经授权的修改和删除的日志,监视入侵迹象,并在检测到网络安全事件时采取措施。
身份验证加固
账户类型
当这些准则涉及身份验证加固时,它同样适用于所有账户类型。这包括非特权账户、特权账户、碎玻璃账户和服务账户。
身份验证类型
当这些准则涉及身份验证加固时,它同样适用于交互式身份验证和非交互式身份验证。
系统进行身份验证
在向用户授予对系统及其资源的访问权限之前,必须对它们进行身份验证。这通常通过多因素身份验证(例如用户名以及生物识别和密码)或通过单因素身份验证(例如用户名和密码短语)来实现。
在授予用户对系统及其资源的访问权限之前,将对用户进行身份验证。
多重身份验证
多重身份验证使用两个或多个身份验证因素来确认用户的身份。这可能包括:
1.用户知道的内容,例如密码
2.用户拥有的东西,例如安全密钥、智能卡、手机或物理一次性密码令牌
3.用户是某些东西,例如指纹或他们的面部几何形状。
但请注意,如果用户知道的内容被写下来,或者键入到文件中并存储为纯文本,这将成为用户拥有的东西,而不是用户知道的东西。
特权用户、远程访问解决方案的用户以及有权访问重要数据存储库的用户由于其访问级别而更有可能成为攻击者的目标。因此,对这些账户使用多重身份验证尤为重要。此外,多重身份验证对于任何系统管理活动都至关重要,因为它可以通过阻止或减慢对手获得对资产的无限制访问的能力来限制妥协的后果。在这方面,多重身份验证可以作为跳转服务器身份验证过程的一部分实现,其中所管理的资产不支持多重身份验证。
实现多重身份验证时,可以实现多种不同的身份验证因素。不幸的是,某些身份验证因素(例如生物识别技术或通过短信服务,Internet协议语音或电子邮件发送的代码)比其他因素更容易受到损害。因此,建议将涉及用户具有的某些内容的有限数量的身份验证因素用作多重身份验证实现的一部分。此外,为了提高安全性,建议使用抗验证程序模拟身份验证因素来防止实时网络钓鱼攻击。
当凭据在其他系统上重用时,实现多重身份验证的好处可能会减少。例如,当用作远程访问的多重身份验证的一部分的用户名和密码与用于公司工作站的用户名和密码相同时。在这种情况下,如果攻击者破坏了用于远程访问的设备,他们可以捕获用户名和密码,以便在不需要使用多重身份验证的公司工作站上重复使用。
请注意,对于仅实施基本八个成熟度模型中的成熟度级别 2 的组织,安全控制 1505、1682和 1684 不适用。
多重身份验证用于对系统的非特权用户进行身份验证。
多重身份验证用于对系统的特权用户进行身份验证。
如果组织的用户向组织的面向 Internet 的服务进行身份验证,则组织的用户将使用多重身份验证。
如果组织的用户向处理、存储或传达其组织敏感数据的第三方面向 Internet 的服务进行身份验证,则组织的用户将使用多重身份验证。
如果组织的用户向处理、存储或通信其组织的非敏感数据的第三方面向 Internet 的服务进行身份验证,则组织的用户将使用多重身份验证(如果可用)。
默认情况下,如果非组织用户向组织的面向 Internet 的服务进行身份验证,则为这些用户启用多重身份验证(但用户可以选择退出)。
多重身份验证用于对访问重要数据存储库的用户进行身份验证。
多重身份验证使用:用户拥有的东西和用户知道的东西,或者用户拥有的东西被用户知道或正在解锁的东西。
多重身份验证具有验证程序模拟性。
用于多重身份验证的密码至少为 6 个字符,除非适用更严格的要求。
用于在 SECRET 系统上进行多重身份验证的密码至少为 8 个字符。
在 TOP SECRET 系统上用于多重身份验证的密码至少为 10 个字符。
实现多重身份验证时,任何身份验证因素本身都不能用于对另一个系统进行单重身份验证。
记录成功和不成功的多重身份验证。
多重身份验证事件日志被集中存储并防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
单因素身份验证
用户账户受损的一个重大威胁是脱机密码/密码破解工具。当攻击者从系统获得对用户名和散列密码/密码短语列表的访问权限时,他们可以尝试通过将已知密码/密码短语的哈希与他们获得的散列密码/密码短语列表中的哈希进行比较来恢复它们。通过查找匹配项,攻击者将知道与给定用户名关联的密码/密码。结合在一起,这通常会形成一组完整的账户凭据。
为了降低此安全风险,组织应实施多重身份验证。请注意,虽然单因素身份验证不再被认为适合保护敏感或机密数据,但可能无法在某些系统上实现多重身份验证。在这种情况下,组织将需要通过引入复杂性并随着时间的推移继续增加其长度来增加对手破坏密码/密码短语所需的平均时间。这种长度的增加可以通过使用密码而不是密码来平衡可用性。在系统不支持密码的情况下,并且作为绝对的最后手段,将需要实现系统支持的最强密码长度和复杂性。
当系统不支持多重身份验证时,将改为使用密码进行单重身份验证。
用于单因素身份验证的密码短语至少为 4 个随机单词,总最小长度为 14 个字符,除非适用更严格的要求。
用于 SECRET 系统上单因素身份验证的密码短语至少为 5 个随机单词,总长度最小为 17 个字符。
在 TOP SECRET 系统上用于单因素身份验证的密码短语至少为 6 个随机单词,总长度最小为 20 个字符。
用于单因素身份验证的密码:
1.不是由歌词,电影,文学或任何其他公开可用的材料构成的
2.不要在自然语言中形成真正的句子
3.不是分类单词的列表。
用于单因素身份验证的密码短语不能用于向多个不同的系统进行身份验证。
设置和重置用户账户的凭据
当代表用户设置或重置密码/密码短语时,重要的是随机生成密码/密码短语,并在对其身份进行充分验证后(例如,亲自将自己及其通行证呈现给服务台或已知同事,或回答一组质询-响应问题),通过安全的通信通道提供给他们,以防止他们受到损害。如果无法做到这一点,就需要实施基于风险的替代措施。
代表用户设置或重置的密码/密码短语是随机生成的。
用户在为其账户收集密码/密码时提供足够的证据来验证其身份。
密码/密码短语通过安全的通信通道提供给用户,或者,如果不可能,则分成几个部分,一部分提供给用户,另一部分提供给用户的主管。
未设置自己的初始密码/密码的用户需要在首次使用时进行更改。
设置和重置服务账户的凭据
为了向服务账户提供额外的安全性和凭据管理功能,Microsoft 在 Microsoft Windows Server 2012 中引入了组托管服务账户。这样,创建为组托管服务账户的服务账户不需要管理员手动管理凭据,因为操作系统会自动管理凭据。这可确保服务账户凭据不会放错位置或被遗忘,并且会定期自动更改。
服务账户创建为组托管服务账户。
账户锁定
在指定次数的失败登录尝试后锁定账户可降低成功进行密码喷涂攻击的可能性。但是,应小心,因为实现账户锁定功能可能会增加拒绝服务的可能性。或者,可以将某些系统配置为自动减慢重复失败的登录尝试的速度,而不是锁定账户。实施多重身份验证也是降低成功密码喷涂攻击可能性的有效方法。
账户在最多五次登录尝试失败后被锁定。
在重新授权访问权限之前,将调查重复的账户锁定。
账户解锁
为了降低社交工程工具破坏账户的可能性,用户在请求账户解锁时应提供足够的证据来验证其身份。
用户在请求账户解锁时提供足够的证据来验证其身份。
不安全的身份验证方法
身份验证方法需要防止盗窃、拦截、复制、伪造、未经授权的访问和未经授权的修改。例如,局域网(LAN)管理器和NTLAN管理器身份验证方法使用弱哈希算法。因此,用作LAN管理器身份验证和NTLAN管理器身份验证(即NTLMv1、NTLMv2和NTLM2)一部分的密码/密码很容易受到损害。相反,组织应该在Microsoft Windows环境中使用Kerberos进行身份验证。
禁用了易受重放攻击的身份验证方法。
LAN 管理器和 NT LAN 管理器身份验证方法被禁用。
特权账户是"受保护的用户"安全组的成员。
保护凭据
将凭据存储在它授予访问权限的系统中会增加对手获得对系统访问权限的可能性。例如,密码/密码短语绝不应被写下来并粘贴在笔记本电脑或计算机显示器上,安全密钥、智能卡或一次性密码令牌绝不应留在计算机或笔记本电脑包中。此外,在将凭据输入系统时遮挡凭据可以帮助保护它们免受屏幕刮刀和肩部冲浪者的侵害。
如果将凭据存储在系统上,则应实施足够的保护,以防止它们作为目标网络入侵的一部分而受到损害。例如,凭据可以存储在密码保管库中,而不是存储在 Microsoft Word 或 Excel 文档中,存储在数据库中的凭据可以进行哈希处理、加盐和拉伸,或者凭据可以存储在硬件安全模块中。此外,还可以启用安全功能(如 Windows Defender 凭据防护和 Windows Defender 远程凭据防护)为凭据提供额外的保护。
最后,非对称身份验证和凭据的安全传输降低了对手以有效用户的名义拦截和使用此类凭据访问系统的可能性。
请注意,对于仅实施基本八个成熟度模型中成熟度级别 2 的组织,安全控制 1686 不适用。
本地管理员账户和服务账户的凭据是未识别的、不可预测的和托管的。
凭据与它们授予访问权限的系统分开存储。
凭据在输入系统时会被遮挡。
存储的密码/密码短语通过确保它们经过散列,加盐和拉伸来保护。
Windows DefenderCredential Guard 和 Windows DefenderRemote Credential Guard 已启用。
在以下情况下,密码/密码短语将被更改:
1.它们直接受到损害
2.他们被怀疑受到损害
3.它们出现在在线数据泄露数据库中
4.它们被发现存储在网络上的明文中
5.它们被发现正在通过网络以明文形式传输
6.共享账户的成员身份更改
7.它们在过去12个月内没有改变。
会话终止
在适当的非活动时间段后,实施在工作时间以外自动终止用户会话的措施(请注意,这在不同的工作区域之间可能有所不同),然后重新启动工作站,可以帮助进行系统维护活动(例如修补)以及删除可能已危及系统但未能获得持久性的任何对手。
在工作时间以外,在适当的非活动时间段之后,用户会话将终止,工作站将重新启动。
会话和屏幕锁定
会话和屏幕锁定可防止对用户已通过身份验证才能访问的系统进行未经授权的访问。
系统配置了会话或屏幕锁定,该锁定:
1.在用户处于非活动状态最多 15 分钟后激活, 或者如果用户手动激活,则激活
2.隐藏屏幕上的所有会话内容
3.确保在激活会话或屏幕锁定之前,屏幕不会进入节能状态
4.要求用户重新进行身份验证以解锁系统
5.拒绝用户禁用会话或屏幕锁定机制。
登录界面
在授予对系统的访问权限之前向用户显示登录界面会提醒他们其安全责任。登录界面可能涵盖以下主题:
1.系统的灵敏度或分类
2.对系统的访问仅限于授权用户
3.系统可接受的用法和安全策略
4.用户同意遵守上述政策
5.违反上述政策的法律后果
6.监控和审计活动的详细信息
7.任何问题的联系点。
系统具有登录界面,要求用户在授予访问权限之前确认并接受其安全责任。
我们寻求有关登录界面的确切措辞的法律建议。
虚拟化加固
容器化
容器允许系统的广泛部署,并可用于快速扩展系统。但是,它们仍然是运行软件的系统,应被视为任何其他系统。与其他类型的系统相比,在容器化环境中应用安全控制可能采取不同的形式。例如,修补工作站上的操作系统的操作可能与确保将修补的映像用于容器不同,但原理是相同的。一般而言,适用于非容器化系统的相同安全风险可能也适用于容器化系统。
计算环境之间的功能分离
基于软件的隔离机制通常用于在多个计算环境之间共享物理服务器的硬件。使用基于软件的隔离机制共享物理服务器硬件的好处包括增加物理服务器可用于的活动范围,并最大限度地提高其硬件的利用率。
计算环境可以由安装在虚拟机中的整个操作系统组成,其中隔离机制是虚拟机监控程序,这在提供基础结构即服务的云服务中常用。或者,计算环境可以由一个应用程序组成,该应用程序使用物理服务器的基础操作系统的共享内核,其中隔离机制是应用程序容器或应用程序沙箱,这在提供平台即服务的云服务中常用。单个应用程序中数据的逻辑分离(通常用于提供软件即服务的云服务)不被视为与多个计算环境相同。
破坏单个计算环境或合法控制单个计算环境的对手可能会利用隔离机制中的配置错误或安全漏洞来破坏同一物理服务器上的其他计算环境,或破坏物理服务器的基础操作系统。
当使用基于软件的隔离机制共享物理服务器的硬件时,隔离机制来自使用安全编码实践的供应商,并且在发现安全漏洞后,及时开发和分发修补程序。
使用基于软件的隔离机制共享物理服务器的硬件时,通过删除不需要的功能并限制对用于管理隔离机制的管理界面的访问,可以加固隔离机制的配置。
使用基于软件的隔离机制共享物理服务器的硬件时,将加固服务器上运行的基础操作系统。
当使用基于软件的隔离机制共享物理服务器的硬件时,会及时将修补程序应用于隔离机制和底层操作系统。
当使用基于软件的隔离机制共享物理服务器的硬件时,会及时对隔离机制和底层操作系统执行完整性和日志监控。
当使用基于软件的隔离机制共享 SECRET 或 TOP SECRET 工作负载的物理服务器硬件时,物理服务器和在物理服务器上运行的所有计算环境属于同一分类,并且位于同一安全域中。
|
注:本文档翻译参考来源为澳大利亚ACSC,部分内容在本文中做了技术性调整,具体实施请参考我国有关标准,本文仅提供为大家提供一个信息安全的思路拓展。 |
原文始发于微信公众号(祺印说信安):信息安全手册之系统加固指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论