访问控制
a)应对登录的用户分配账户和权限;
此项主要考察服务器在用户登录时是否给用户分配有相应的账户和权限;
1)访谈系统管理员,操作系统中能够登录的用户有哪些,以及它们所拥有的权限;
2)选择%systemdrive%\windows\system、%systemroot%\system32\config文件夹,右键属性-安全,查看everyone组、users组和administrators组的权限设置。
注;系统里最好是拥有除administrator外两个及以上的账户
b)应重命名或删除默认账户,修改默认账户的默认口令;
此项主要考察业主是否重命名系统默认账户并修改默认口令;
windows系统默认账户为:administrator和guest
1)在命令行输入“lusrmgr.msc”,弹出“本地用户和组”窗口,查看是否对Administrator进行重命名,Windows不存在默认口令
2)查看Guest账户是否被禁用,若未被禁用则需对其进行重命名
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
此项主要考察服务器中是否存在多余、不需要的账户,并且不能多人共用一个账户;
命令行输入“lusrmgr.msc”,弹出“本地用户和组”窗口,询问运维人员账户的使用情况
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
此项主要考核是否对管理账户进行“三权分立”;
1)查看Windows操作系统上所建立的账户
2)是否做到了账户与实际人员情况一致,是否至少包含了管理账户和审计账户
注;三权分立:系统管理员、安全管理员、审计管理员
系统管理员:管理系统中的账户、文档、文件等;
安全管理员:授权策略以及其它基本策略的设置,还有安全参数的设置。安全参数的设置是安全管理中心安全类中的安全管理中的测评项里说的,如果安全管理中的安全和安全管理员的安全是一个意思,那么安全管理员的职能就应该包括安全参数的设置。我对于安全参数的理解就是恶意代码防范和入侵防范,也就是杀毒软件、防火墙、ip策略、防入侵软件的参数的设置。
审计管理员:对系统中审计策略的管理,比如日志的存储策略,以及组策略中审核策略等。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
此项主要考察服务器是由谁来配置访问控制策略和规则;
1)访谈系统管理员,由哪个账户负责配置访问控制策略;
2)查看重点目录的权限配置,是否依据安全策略配置访问规则。
注;通常情况下都是谁系统管理员来配置
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
此项主要考察是否做了访问控制策略,以及策略是否明确到某个用户(而不仅仅是用户组),某个文件(不仅仅是文件夹);
选择%systemdrive%\program files、%systemdrive%system32等重要文件夹,以及%systemdrive%\Windows\system32\config、%systemdrive%\Windows\system32\secpol等重要文件,右键属性-安全,查看访问权限设置。
注;通常情况下此项都是符合的,为主体用户级,客体文件级
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
此项主要是否对服务器进行主机加固,并设置敏感标记等;
询问管理员是否对服务器的敏感信息、资源等做过标记,并能限制用户对这些有标记的资源进行访问。
注;通常情况下业主此项是不符合的,(windows自带的访问控制机制肯定是不符合要求的,需要使用第三方软件(椒图)或者定制的windows系统)
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
此项主要考察服务器是否开启审计功能;
对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略:分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开
1)对于Windows而言,默认情况下,日志审计功能是开启的,Windows event log服务器都是默认开启的,一般情况下关不掉;
2)命令行输入“secpol.msc”,弹出“本地安全策略”窗口,并依次点击“安全设置->本地策略->审计策略”查看审核策略,是否覆盖所有用户和重要事件
审计内容包括:
审核策略更改: 成功/失败
审核登录事件: 成功/失败
审核对象访问:成功/失败
审核进程跟踪: 成功/失败
审核目录服务访问: 成功/失败
审核特权使用: 成功/失败
审核系统事件: 成功/失败
审核账户登录事件: 成功/失败
审核账户管理: 成功/失败
3)是否采用第三方审计工具
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
此项主要考察审计记录的类型;
Windows的审计记录理论上就默认符合。点击“控制面板”->“管理工具”->“事件查看器”
(级别、用户、记录时间、任务类别、事件、来源等)
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
此项主要对审计记录的保护;
通过询问管理员平时在运维时由谁保存审计记录,有没有定期备份?备份存储在哪里?,保存时间有没有大于6个月。
d)应对审计进程进行保护,防止未经授权的中断。
Windows Event Log服务无法在一般情况下关闭,默认符合的
入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
输入appwiz.cpl可以看到windows中安装的程序/控制面板-程序功能-安装;询问管理员这些程序是否是多余程序。
b)应关闭不需要的系统服务、默认共享和高危端口;
1)在命令行输入“netstat –an”,查看列表中的监听端口,是否包括高危端口,如TCP135,139,445,593,1025端口,UDP135,137,138,445端口,一些流行病毒的后门端口,如TCP2745,3127,6129端口。
2)查看默认共享;在命令行输入“net share”,查看本地计算机上所有共享资源的信息,是否打开默认共享,列如C$,D$。
注;服务、进程、端口的关系是这样的,启用了某个服务,某个服务就会启动一个或者数个进程,然后进程就有可能会监听端口,然后只有当进程监听了端口后,此端口的通信才会存在意义。
总而言之,就是要判断是否对外界的通信存在管制,这里要结合实际情况来判断。
比如默认共享未删除,但默认共享使用的端口已经被防火墙或者ip策略禁止通信了,那么就不能机械的判定不符合。
另外,某被监听端口是否属于多余或者高危端口,一定要结合实际的情况判断,很多情况下还是需要访谈的。
最后,除了Windows自带的防火墙和IP策略,很有可能对方用硬件防火墙等第三方设备实现了管制,要注意访谈。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
1)使用远程桌面的:对于使用Windows远程桌面来进行远程管理的,就在windows防火墙或ip策略或硬件防火墙中看是否对rdp的端口进行了ip限制,rdp端口一般是默认值3389。注意,这里限制的粒度最好达到ip地址级别,也就是具体的数个或者十几个ip地址,或者至少是一个比较小的网段级别。
2)使用第三方工具的:比如使用TeamViewer,那就要看这个软件本身有没有这个功能了,或者用其他的软件来协助实现管理终端IP限制的效果。
3)不存在远程管理的:也就是实际上什么策略也没有做,但是从外部网络无法远程登录该服务器,只能在机房中对直接在服务器上进行本地登录和操作,可以给一个部分符合,或者不适用
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
由于是由应用系统对外提供输入接口,并通过源代码设置或其他硬件措施实现数据有效性校验功能,故服务器层面不适用此测评项
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
1)询问系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,以及更新时间,更新的方法。
2)在命令行输入“appwiz.cpl”,打开程序和功能界面,点击左侧列表中“查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况。
360安全卫士等软件不算专业的漏扫工具
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
对于Windows而言,须通过第三方软硬件来实现,一些杀毒软件,比如EDR、卡巴斯基(企业版)等,具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
另外,部署在云上的话,阿里云、华为云等,也存在这样的安全服务,也可以实现要求。但是要注意的是,被测评方是否购买了此类安全服务。
恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
1)查看是否安装了防恶意代码软件(注:凡Windows操作系统,未安装防恶意代码软件统统判定为高风险,情况较为严重)
2)查看恶意代码软件的病毒库及版本是否及时进行了更新
可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
目前绝大部分的信息系统都没有可信验证,仅在工控系统中存在极少数含有可信计算的,所以目前此项都是不适用,(如果运气好遇到可信计算的信息系统另算)
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
若服务器的数据仅含自身配置数据,那么就根据身份鉴别C项来写,涉及到别的例如审计数据的传输再另外算
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
操作系统能够保证自身数据存储的完整性
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
若服务器的数据仅含自身配置数据,那么就根据身份鉴别C项来写,涉及到别的例如审计数据的传输再另外算
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
操作系统能够保证自身数据在存储过程的保密性
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
服务器仅存在自身配置数据的情况下是不需要备份和恢复,所以此项在服务器层面是不适用,应在数据库层面体现。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
服务器仅存在自身配置数据的情况下是不需要异地备份和恢复,所以此项在服务器层面是不适用,应在数据库层面体现。
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
此项需要询问管理员和查询网络拓扑图,服务器是否采用热冗余的方式部署,能不能够保证服务器的高可用性
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
查看是否禁用“用可换源的加密来存储密码”和启用“清除虚拟内存页面文件”,
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
查看是否禁用了“清除虚拟内存页面文件”,能不能够保证存有敏感数据的存储空间被释放或重新分配前得到完全清除
