安全计算环境之windows操作系统
1. 身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换
“1)用户需要输入用户名和密码才能登录
2)windows默认用户名具有唯一性
3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本地用户机组”检查有哪些用户,并尝试空口令登录
4)打开“控制面板”-》“管理工具”-》 “本地安全策略”一》“账户策略”“密码策略””
“1)用户登录需输入用户名和密码
2)用户具备唯一性:
3)尝试使用空口令登录,未成功
4)结果如下:
a)复杂性要求:已启用:
b)密码长度最小值:长度最小值至少为8位
c)密码长度最长使用期限。不为0
d)密码最短使用期限:不为0
e)强制密码历史:至少记住5个密码以上”
b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施
“1)打开“控制面板”-》 “管理工具”-》“本地安全策略”一》 “账户策略”一》“密码锁定策略”
2)右键点击桌面->“个性化”->“屏幕保护程序”,查看“等待时间”的长短以及“在恢复时显示登录屏幕”选项是否打钩
需要说明的是,如果系统按上面的方法合理的设置了密码策略,此项要求就不是很重要了,因为任何攻击者都不能在一段合理的时间内猜出密码。在仅使用大小写字母与数字,用户不使用词典单词并仅附加一个数字的情况下,如果每次猜测需要半秒钟时间,猜到密码要花3,461,760年。由于密码会定期更改,攻击者猜到密码的可能性非常小。事实上,如果每隔70天更改密码,攻击者将需要相当于52,000条T3传入被攻击系统的线路,才能在密码过期前猜到一个随机的密码(当然,需要假定该容码不是词典单词)换句话说,如果密码很弱,攻击者能在十次尝话内猜到,那么何题并不是在照户锁定策略,而是弱到极点的密码”
“1)结果如下:
a)账户锁定时间:不为不适用
b)账户锁定阈值:不为不适用
2)启用了远程登录连接超时并自动退出功能”
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
“1)如果是本地管理成KVM等硬件管理方式,此要求默认满足,
2)如果采用远程管理,则需采用带加密管理的远程管理方式。在命令行输入”pgedit.msc“弹出“本地组策略编辑器”窗口,查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目”
“1)本地或VM,默认符合
2)远程运维,采取加密的RDP协议”
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现
“查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术
记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的鉴别方法”
除口令之外,采用了另外一种鉴别机制,此机制采用了密码技术,如调用了密码机或采取SM1-SM4等算法
2. 访问控制
“访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。
选择%systemdrive%\w indows \system、%systemroot %\system32\config等相应的文件夹,右键选择“属性”>“安全”,查看everyone组、users组和administrators组的权限设置”
在命令行输入"lusrmgr.msc"弹出“本地用户和组”窗口,查看“本地用户和组->用户”中的相关项目
“1)查看右侧列表中Window系统的认账Administrato,是否枝被禁用或重命名
2)询问是否已修改默认账户口令
3)查看是否已经禁用guest账户”
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
在命令行输入“lusmrgr.msc",弹出“本地用户和组”窗口,查看“本地用户和组一>用户”中的相关项目,查看右侧用户列表中的用户,询问各账户的用途,确认账户是否属于多余的、 过期的账户或共享账户名
在命令行输入"secpol.msc" ,弹出“本地安全策略”窗口,查看“安全设置->本地策略>用户权限分配”中的相关项目。右侧的详细信息窗口即显示可配署的用户权限策略设置
"
设置系统管理员、安全员、审计员角色,根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限,角色的权限之间相互制约"
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
“1) 访谈系统管理员,能够配置访问控制策略的用户
2)查看重点目录的权限配置,是否依据安全策略配置访问规则”
“1)由安全管理员授权设置规则
2)配置主体对客体的访问控制规则,并统一管理”
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
选择%systemdrive%\program files 、%systemdrive% \system32等重要的文件夹,以及%systemdrive%\Windows \system32 conf ig 、%systemdrive%\Windows\system32\secpol等重要的文件,右键选择“属性”>“安全”,查看访问权限设置
users权限设置合理,用户依据访问控制策略,对各类文件和数据库表级进行访问
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问;
“1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感
2)询问管理员是否对重要信息资源设置敏感标记
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等”
"1)系统中有敏感数据,不同层面人员设置强制访问控制策略,若无敏感数据,本条N/A
2)3)在主客体层面分别设置不同的敏感标记,并在基于这些标记上,由管理员设置访问控制路径,是否采取第三方主机加固系统或对操作系统内核进行二次开发加固,并实际查看系统可视化界面。部署第三方主机加固系统,可设置对主客体安全标记,并控制主体对客体的访问路径
"
3. 安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
“1)查看系统是否开启了安全审计功能
在命令行输入“”“secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况。
2)询问并查看是否有第三方审计工具或系统”
“1)结果如下:
a)审核策略更改:成功,失败
b)审核登录事件:成功,失败
c)审核对象访问:成功,失败
d)审核进程跟踪:成功,失败
e)以审核目录服务访问:失败
f)审核特权使用:失败
g)审核系统事件:成功,失败
h)审核账户登录事件:成功,失败
i)审核账户管理:成功,失败
2)部署第三方审计工具,实现对用户的全覆盖,主要针对用户操作行为的审计”
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
“查看审计记录是否包含要求的信息
1)在命令行输入”“eventvwr.msc”",弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志"“下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求
2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果”
“1) Windows操作系统事件查看器中的审计记录默认满足
2)第三方审计工具中,查看审计记录,审计信息包含日期、主客体、类型等信息”
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。在命令行输入“eventvwr. msc”,弹出“事件查看器”窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合"
“1)日志本地存储,可查看存储目录,周期和相关策略等
2)若部署有日志服务器,可查看存储路径等”
d)应对审计进程进行保护,防止未经授权的中断;
“1)访谈是否有第三方方审计进程监控和保护的措施
2)在命令行输入”“secpol.msc”",弹出“本地安全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组"
“1)默认符合
2)其他非审计人员不可登录和操作日志,有专人负责审计日志的管理”
4. 入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
“1)访谈安装系统时是否遵循最小化安装原则,查看安装操作手册
2)使用命令查看操作系统中已安装的程序包,询问是否有目前不需要的组件和应用程序”
“1)系统安装遵循最小化安装原则
2)不存在业务所不需要的组件和应用程序”
“1)查看系统服务。
在命令行输入”“services. msc“,打开系统服务管理界面,查看右侧的服务详细列表中多余的服务, 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。
2)查看监听端口。
在命令行输入”“netstat -an”,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、45、 593、1025端口,UDP 135、137、 138、445端口,-些流行病毒的后门端口,如TCP 2745、3127、6129端口。
3)查看默认共享。
在命令行输入”“net share”",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C
、
D
、D
、D
4)查看主机防火墙策略
在命令行输入"“firewal1. cpl”打开Windows防火墙界面,查看Windows防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口。点击左侧列表中的”入站规则”,右侧显示Windows防火墙的入站规则,查看入站规则中是否阻止访问多余的服务,或高危端口”
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
“1)询间系统管理员管理终端的接入方式。
查看主机防火墙对登录终端的接入地址限制
在命令行输入”“firewall.cpl”,打开Windows防火墙界面,查看Windowsd防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口,点击左侧列表中的“入站规则”,双击右侧入站规则中的“远程桌面一用户模式(TCP-In)”",打开“远程桌面用户模式(TCP-In)属性"" 窗口,选择“作用城”查看相关项目。
查看IP筛选器对登录终端的接入地址限制
在命令行输入“gpedit.msc"“打开本地组策路编辑器界面,点击左侧列表中的“本地计算机策略->计算机配置Windows设置->安全设置->IP安全策略”,在本地计算机双击右侧限制登录终端地址的相关策略”,查看 “IP 筛选器列表”和“IP筛选器属性“
2)网络方面对登录终端的接入方式和地址范围的限制
询问并查看是否通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限”
“1)通过主机防火墙设置访问控制规则
2)通过网络防火墙、堡垒主机限制、ip段进行接入地址限制”
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
不适用
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
“访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新,更新的方法。
在命令行输入”“appwiz.cp1"” ,打开程序和功能界面,点击左侧列表中的“查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况"
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
"
1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能
2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS"
“1)暂无安装主机入侵检测系统
2)网络上有IDS、IPS软件
4)若主机未部署主机IDS设备。可在网络链路上查香是否是IDS、 IPS. 发生入侵事件时,记录报警措施等”
5. 恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;
“1)查看系统中安装的防病毒软件。询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期
2)查看系统中采取何种可信验证机制,访谈管理员实现原理等
3)询间系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库
4)询问系统管理员是否果有统一的病毒更新策略和查杀策略
5)当发现病毒入侵行为时,如何发现,如何有效阻断等,报警机制等”
“)安装有网络版杀毒软件,病毒库最新
2)查看系统中采取何种可信验证机制,实现原理为基于可信根TPM技术等
3)网络版防病毒和主机防病毒均具备不同的病毒库,异构特点
4)防病毒为网络版,统一更新病毒库
5)发现病毒入侵,有邮件报警机制”
6. 可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和 应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检 测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心;
"
1)核查服务器的启动,是否实现可信验证的检测过程,查看对那些系统引导程序、系统程序或重要配置参数进行可信验证
2)修改其中的重要系统程序之一和应用程序之一,核查是否能够检测到并进行报警
3)是否将验证结果形成审计记录送至安全管理中心"
“l)服务器具有可信根芯片或硬件
2)启动过程基于可信根对系统引导程序、系统程序,重要配置参数和关键应用程序等进行可信验证度量
3)在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心
4)安全管理中心可以接收设备的验证结果记录”
7. 数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
8. 数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
9. 数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c)应提供重要数据处理系统的热冗余,保证系统的高可用性;
“1)访谈系统管理员哪些是重要数据处理系统,重要数据处理系统是否有备份机制,是否采用本地热备份站点备份或异地活动互援备份。
2)核查设备列表,重要数据处理系统是否采用热备服务器”
“1)对重要数据,如用户数据,鉴别数据等定期进行备份,通过磁带备份到本地
2)对于重要设备,采取热备、集群、负载均衡等高可用方式”
10. 剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除;