主机安全测评说明
物理安全测评共有7项,分别是身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
各项要求、检查防范以及建议值(三级标准)
注意:加粗字体为三级相对于二级增加的项目。
身份鉴别
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
访谈管理员,是否为系统用户设置密码,并查看系统账户登录过程中是否使用了密码进行登录验证。
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
检查密码历史记录、密码最长使用期限、最短密码长度、密码复杂性要求等。
检查方法:
cmd->secpol.msc
密码策略建议值:
密码必须符合复杂性要求:启用(大写字母、小写字母、数字、特殊符号4种中的3种组合)
密码长度最小值:8个字符
密码最短使用期限:2天
密码最长使用期限:70天
强制密码历史:24个
可用还原的加密来储存密码:禁用
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
cmd->secpol.msc
查看账户锁定策略:
建议值:
账户锁定阈值:3~5次
账户锁定时间:30min
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
1.确认操作系统必须是Windows Server 2003或者之后的版本;
2.检查终端服务器是否使用了SSL加密,检查方法:
检查安全层参数是否为SSL。
e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
只需检查Windows系统用户名是否有重复。
检查方法:
cmd->net user
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
如果有除用户名/密码外的其他身份鉴别方法,则记录这种方法。否则记录“只使用用户名/口令”。
访问控制
a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;
本项主要涉及两个方面的内容:文件权限、默认共享
文件权限:
重要目录不能对everyone账户开放。
检查%systemdrive%\windows\system、%systemroot%\system32\config两个目录下的各个用户组的权限并记录。
默认共享:
默认共享功能是为了方便网络管理员通过网络对计算机进行远程管理设计的,为了保证系统安全,通常关闭。检查方法:
cmd->net share
netstat -an | find “LISTEN” 查看监听的端口
查看注册表:
HLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为0,0表示共享开启,应为1。记录下默认的共享。
b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
本地策略用户权限分配中查看:
1.“从远端系统强制关机”只指派给Administrators组。
2.“关闭系统”仅指派给Administrators组。
3.“取得文件或其它对象的所有权”仅指派给Administrators。
4.“管理审核和安全日志”仅指派给Administrators组。
5.“从本地登录此计算机”指派给指定授权用户。
6.“从网络访问此计算机”指派给Administrators组。
检查方法:
cmd->secpol.msc
本地策略->用户权限分配
c) 应实现操作系统和数据库系统特权用户的权限分离;
如果主机运行了数据库,询问并记录操作系统管理员和数据库管理员是否为同一人。如果没安装数据库,此项标记为不适用。
d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;
1.检查默认账户是否重命名;
2.询问是否已经修改默认账户口令;
3.查看是否已经禁用Guest账户;
检查方法:记录未重命名的默认账户,未禁用的默认账户。
e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
询问账户的用途,确认账户是否是多余的、过期的、共享的账户。
f) 应对重要信息资源设置敏感标记;
敏感标记的意思:比如某个文件的安全标记是10,权限小于10的用户,没有权利访问。
g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;
主要是访谈和记录。
安全审计
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
查看系统是否开启了安全审计功能,询问是否有第三方审计工具或者系统,并且记录运行状态。
检查方法:
secpol.msc
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
全部开启。
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
compmgmt.msc,查看日志文件是否满足要求。
d) 应能够根据记录数据进行分析,并生成审计报表;
e) 应保护审计进程, 避免受到未预期的中断;
检查审计进程的访问权限是否设置的合理。
f) 应保护审计记录, 避免受到未预期的删除、修改或覆盖等。
访谈审计记录的存储、备份和保护措施,如配置日志服务器等。
剩余信息保护
a) 应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
本地策略的安全选项中查看是否启用“不显示上次登录用户名”,建议启用。
b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用;
在密码策略中禁用“用可还原的加密来存储密码”。
“关机:清除虚拟内存页面文件”配置为“已启用”。
入侵防范
a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
主要是访谈,询问管理员查看日志的频率,是否合理配置防火墙,是否部署并合理配置了入侵检测系统,入侵检测系统是否具备报警的功能。
b) 应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
访谈使用文件完整性检查工具或者脚本定期对重要文件的完整性进行检查,是否对重要的配置文件进行备份等。
c) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
记录服务器中安装的多余的组件、应用程序。查看“程序和功能”是否安装了不必要的软件,Windows Update升级方式,升级频度,是否有厂家定期巡检进行系统补丁升级;询问是否安装了IPS(入侵防御系统)。
恶意代码防范
a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
查看是否安装了防恶意代码软件,若有,记录版本号,最后一次更新日期,升级方式。
b) 主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
询问是否使用同一病毒库。
c) 应支持防恶意代码的统一管理。
询问管理员是否采用统一的病毒更新策略和查杀策略。
资源控制
a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录;
限制终端登录:
1.关闭3389端口(regedit打开注册表查看HLM\SYSTEM\ CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp和HLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp中PortNamber的值是否为默认值3389);
2.查看防火墙入站规则;
3.查看网络层防火墙过滤规则。
b) 应根据安全策略设置登录终端的操作超时锁定;
限制远程登录空闲断开时间:
本地策略安全选项中查看“Microsoft网络服务器:在挂起会话之前所需的空闲时间”(W2003)是否配置为15分钟。/“Microsoft网络服务器:暂停会话前所需的空闲时间量”(W2008)是否配置为15分钟。
c) 应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
打开“管理工具—性能监视器”查看CPU、内存等使用情况。
d) 应限制单个用户对系统资源的最大或最小使用限度;
若不限制,一个用户占用的资源过多,很容易造成DoS攻击。
e) 应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
询问系统管理员如何监控系统服务水平。,若有第三方监控程序,询问并查看是否有相关功能。
部分整改方法
禁用默认共享
如果要禁止C$、D$、E$一类的共享,可以单击“开始→运行”命令,在运行窗口键入“Regedit”后回车,打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]分支,将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。
如果要禁止ADMIN$共享,可以在同样的分支下,将右侧窗口中的DOWRD值“AutoShareWKs” 设置为“0”即可。
如果要禁止IPC$共享,可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支,将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。
禁止admin$共享:net share admin$ /del 含义:关闭名admin$的共享。
访问默认共享
开始->运行->\172.168.2.2\C$,直接访问C盘或者在浏览器下输入\172.168.2.2\C$回车 输入用户名、密码就可以了。
不必要的服务
