windows 查看网络中断事件_等保2.0 Windows主机测评图文教程

本文以等保三级(S3A3)要求，Windows Server 2016 Datacenter系统为例进行演示。首发于FreeBuf论坛： https://www.freebuf.com/articles/system/243892.html

---

一、身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

该项需检查登录是否需用账号密码，当前密码是否在8位以上并包含字母、数字、特殊字符。

通过以下配置查看密码复杂度策略和更换周期：

控制面板->管理工具->本地安全策略->密码策略

b) 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

通过以下配置查看登录失败处理功能是否开启：

控制面板->管理工具->本地安全策略->账户锁定策略

通过以下配置查看是否开启登录超时自动退出功能(若主机通过堡垒机管理，也可在堡垒机上设置)：

设置->个性化->锁屏界面->屏幕保护程序设置

c) 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

若操作系统只在本地管理或通过KVM等硬件方式管理则该项符合。在远程管理时如通过堡垒机采用SSH、HTTPS协议进行远程管理则满足本测评项要求，利用自身远程桌面服务时，则要采取加密的RDP协议，可在以下位置查看是否配置：

gpedit.msc->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全

d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

Windows操作系统目前仅有“用户名+口令”一种鉴别方式，多借助于堡垒机来实现双因子认证。

二、访问控制

a) 应对登录的用户分配账户和权限；

该项在主机层面基本都满足要求，因为在安装系统时已创建了用户并分配了相应的权限。

b) 应重命名或删除默认账户，修改默认账户的默认口令；

通过以下配置查看是否禁用Guest用户，禁用或重命名Administrator用户(Windows不存在默认口令)：

控制面板->管理工具->计算机管理->本地用户和组->用户

c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在； 该项需咨询管理员，是否存在多余账户，是否有多用户共用同一账号的情况。 d) 应授予管理用户所需的最小权限，实现管理用户的权限分离； 从各账户的属性中查看各自所属组及其对应的权限：

e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

对于Windows主机，授权主体一般就指系统管理员，普通用户的权限也不足以配置访问控制策略，所以该项主要检查访问规则是否生效，比如验证用户是否有可越权访问的情形：

f) 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

检查是否对不同用户进行访问控制：

控制面板->管理工具->本地安全策略->本地策略->用户权限分配

检查不同的文件是否有不同的访问权限要求，Windows系统默认不同角色账户对文件有不同操作权限，所以该项主要检查应用相关文件权限设置是否合理：

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。 该项要求对重要信息做出敏感标记以实现强制访问控制，敏感标记的形式可以是颜色标识、数字安全等级等，但Windows自身的访问控制功能并不能满足本项要求，需借助第三方软件实现，在实际测评中基本没遇到符合的情况。 三、安全审计 a) 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 查看系统本身的审核策略开启情况(如果使用第三方审计工具则检查工具)：

控制面板->管理工具->本地安全策略->本地策略->审核策略

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

Windows操作系统审计记录默认满足要求，若使用第三方审计工具，则检查审计工具的记录是否足够详细。

控制面板->管理工具->事件查看器->Windows日志

c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； Windows操作系统默认除administrators组之外不能删除修改日志，所以主要检查应用程序、安全、系统日志策略是否合理，关注点如下图所示：

访谈管理员是否对日志定期备份，查看备份记录。 d) 应对审计进程进行保护，防止未经授权的中断。 检查“管理审核和安全日志”策略项是否包含了审计用户无关用户组 ：

控制面板->管理工具->本地安全策略->本地策略->用户权限分配

Windows操作系统具备了在审计进程自我保护方面功能，但“管理审核和安全日志”策略默认不是只有系统审计员或系统审计员所在的用户组。 四、入侵防范 a) 应遵循最小安装的原则，仅安装需要的组件和应用程序； 检查并询问是否安装多余组件：

运行->dcomcnfg->组件服务->计算机->我的电脑

检查并询问是否安装多余应用程序：

控制面板->程序->程序和功能

b) 应关闭不需要的系统服务、默认共享和高危端口；

检查是否开启多余服务(如Alerter、Remote Registry Service、Messenger、Task Scheduler等)：

运行->services.msc

检查是否开启了默认共享：

命令提示符->net share

检查是否开启高危端口(常见高危端口有135、137、138、139、445、1025等)：

命令提示符->netstat -an

c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制； 对于该项，目前一般系统会仅限制通过本地登录或堡垒机登录，部分未做限制的主机也可通过远程桌面服务登录；至于接入网络地址范围可通过网络防火墙、堡垒机、主机防火墙来进行限制。 下面查看主机防火墙对接入地址限制：

运行->firewall.cpl->高级设置->入站规则->远程桌面-用户模式(TCP-In)->作用域

Windows操作系统也可在IP筛选器里对接入地址进行限制(如图所示，这两项默认都未进行任何配置)：

控制面板->管理工具->本地安全策略->IP安全策略，在 本地计算机

d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

主机不涉及人机接口输入或通信接口输入控制，该项不适用。

e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

访谈管理员是否定期对操作系统进行漏洞扫面，检查系统补丁更新情况：

控制面板->程序->程序和功能->查看已安装更新

f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

检查操作系统是否安装入侵检测软件，EDR、卡巴斯基等杀毒软件具备入侵检测和报警功能(通过邮箱、短信等)。查看网络拓补图，在网络层面是否部署有入侵检测系统(IDS浅析)。

五、恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

恶意代码防范需在网络层面和主机层面同时进行，访谈管理员网络防恶意代码产品和主机防恶意代码软件病毒库是否相同(不同厂家病毒库不同)，检查防恶意代码软件相关功能是否开启，病毒库是否及时更新，发现病毒入侵是否有邮件、短信报警机制。

六、可信验证 可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。 该项目前基本没有遇到符合的情况 ，因为需在硬件层面用到可信根芯片或硬件，如果在访谈时管理员有说确实用到，则检查是否能实现测评项中要求的功能。 七、数据备份恢复 应提供重要数据处理系统的热冗余，保证系统的高可用性。 检查拓补图和资产表，涉及重要数据处理的主机是否有热备机器或集群。 八、剩余信息保护 a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除； 查看是否启用“不显示最后的用户名”策略：

控制面板->管理工具->本地安全策略->本地策略->安全选项->交互式登录：不显示最后的用户名

b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 查看是否启用“关机：清除虚拟内存页面文件”策略：

控制面板->管理工具->本地安全策略->本地策略->安全选项->关机：清除虚拟内存页面文件

---

本文重点演示Windows主机测评中需核查的配置项，但并不是查看一个配置就足以给出一个测评项评判结果，比如在本地安全策略里设置了密码策略，也要检查在账户属性里是否勾选“密码永不过期”。虽然等保整体涉及的技术层面没有那么深入，但要对一个系统安全性做出专业、客观的评价，需要我们对系统的各组成部分有非常充分的了解。