1.身份鉴别
A.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。
1)核查用户是否需要输入用户名和密码才能登录
2)核查Windows默认用户名是否具有唯一性
3)选择 控制面板 ==> 管理工具 ==> 计算机管理 ==> 本地用户和组 ,核查有哪些用户,并尝试使用空口令登录。
4) 选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码策略;核查密码策略是否合理。
B.应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施(登录一定时间自动退出登录)。
1)选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码锁定策略;查看账户锁定时间和账户锁定阈值。
2)在桌面单机右键,在弹出的快捷菜单中选择 “个性化” ==> “屏幕保护程序”,查看 “等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。(如果密码策略合理,此项就不是很重要)
C.当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
1)如果采用本地管理或者KVM等硬件管理方式,此项默认满足。
2)如果采用远程管理,在命令行输入“gpedit.msc”,在弹出的“本地组策略编辑器” ==> “本地计算机策略” ==> 计算机配置 ==> 管理模板 ==> windows组件 ==> 远程桌面服务 ==> 远程桌面会话主机 ==> 安全中的相关项目
D.应采用口令、密码技术、生物技术等两种或两种以上组合鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少使用密码技术来实现。
查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术 记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的鉴别方法
2.访问控制
A.应对登录用户分配账户和权限
访谈系统管理员,了解能够登录Windows操作系统的账户及它们拥有的权限,选择%systemdrive%\windows\system、%systemroot%\system32\config等文件夹,单机右键选择 属性 ==> 安全 ==> 查看everyone组user组和administrators组权限的设置。
各用户均具有最小用户权限且分别登录
不存在匿名用户,默认用户账号只能由管理员登录。
B.应重命名或删除默认账户,修改默认账户的默认口令。
在命令行输入“lusrmgr.msc” 本地用户和组 ==> 用户 下的相关项目
Windows操作系统的默认账户administrator已被禁用或重命名
已修改默认账户默认口令
已禁用guest用户
C.应及时删除或停用多余的、过期的账户,避免共享账户的存在
在命令行输入“lusrmgr.msc” 本地用户和组 ==> 用户 下的相关项目。访谈管理员了解各用户的用途,检查账户是否存在多余的、过期或共享账户名的。
D.应授予管理用户最小权限,实现用户的权限分离。
在命令窗口输入secpol.msc命令, “本地安全策略” ==> “安全设置” ==>“本地策略” ==> “用户权限分配”下的相关项目
设置了系统管理员、安全员、审计员角色,并根据用户的角色分配权限,实现了管理用户的权限分离
仅授予管理用户的最小权限,角色之间相互制约。
E.应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则
1)询问管理员,了解哪些用户能够配置访问控制策略。
2)查看重要目录的权限配置,了解是否依据安全策略配置访问规则。
由安全管理员授权设置访问控制策略
配置了主体对客体的访问控制策略并统一管理
F.访问控制粒度应达到主体为用户级或进程级,客体为文件、数据库表级
选择%systemdrive%\program files、%systemdrive%\system32等重要文件夹,以及%systemdrive%\windows\system32\config、%systemdrive%\windows\system32\secpol等重要文件, 单击右键 ==> 属性 ==> 安全,查看访问权限设置。
G.应对重要主体设置安全标记,并控制 主体对有安全标记信息资源的访问
1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感
2)询问管理员是否对重要信息资源设置敏感标记
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等
安全审计
a.应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
1.命令行输入“"secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目
2.询问并查看是否有第三方审计工具或系统
b.审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息
1)在命令行输入"eventvwr.msc",弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志"下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求
2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果
c. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。在命令行输入“eventvwr. msc”,弹出“事件查看器”窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合
d.应对审计进程进行保护,防止未经授权的中断
1)访谈是否有第三方方审计进程监控和保护的措施
2)在命令行输入"secpol.msc",弹出“本地安全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组
入侵防范
a.应遵循最小安装的原则仅安装需要的组件和应用程序
通过 控制面板 ==> 程序和功能
b.应关闭不需要的系统服务、默认共享和高危端口
1)查看系统服务。
在命令行输入"services. msc“ ==> 查看右侧的服务详细列表中多余的服务(如Alerter、Remote Registry Servicce Messsenger,Task Scheduler)是否已启动。
2)查看监听端口。
在命令行输入"netstat -an”,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、45、 593、1025端口,UDP 135、137、 138、445端口,-些流行病毒的后门端口,如TCP 2745、3127、6129端口。
3)查看默认共享。
在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$
c.应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
1)询间系统管理员管理终端的接入方式。
查看主机防火墙对登录终端的接入地址限制 ==> 在命令行输入"firewall.cpl”,打开Windows防火墙界面 ==> 查看Windowsd防火墙是否启用 ==> 点击左侧列表中的“高级设置” ==> 打开“高级安全Windows防火墙”窗口 ==> 点击左侧列表中的“入站规则” ==> 双击右侧入站规则中的“远程桌面一用户模式(TCP-In)" ==> 打开“远程桌面用户模式(TCP-In)属性" 窗口 ==> 选择“作用城”查看相关项目。
查看IP筛输入“gpedit.msc"打开本地组策路编辑器界面,==> “本地计算机策略==>计算机配置Windows设置==>安全设置==>IP安全策略”,在本地计算机双击右侧限制登录终端地址的相关策略”,查看 “IP 筛选器列表”和“IP筛选器属性"
2)网络方面对登录终端的接入方式和地址范围的限制
询问并查看是否通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限制。
d.应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新,更新的方法。
在命令行输入"appwiz.cpl" ,打开程序和功能界面,==> “查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况
e.应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能
2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS
恶意代码防范
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断
查看杀毒软件版本、病毒库
可信验证
默认不符合
未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
数据完整性
a.应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
使用RDP协议进行数据传输,未采用校验技术保证重要数据在传输过程中的完整性。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
重要数据为身份鉴别数据,采用LM-Hash与NT-Hash技术保证身份鉴别信息在存储过程中的完整性;
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
使用RDP协议进行数据传输,未采用密码技术保证重要数据在传输过程中的保密性。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
重要数据为身份鉴别数据,采用LM-Hash与NT-Hash技术保证身份鉴别信息在存储过程中的保密性;
数据备份与恢复
a)应提供重要数据的本地数据备份与恢复功能;
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
服务器中策略交互式登录:不显示最后的用户名:已启用;用可还原的加密来存储密码:已禁用;
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
服务器中策略关机前:清除虚拟内存:已启用。
个人信息保护
a)应仅采集和保存业务必需的用户个人信息;
b)应禁止未授权访问和非法使用用户个人信息。
