1.身份鉴别

A.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。

1)核查用户是否需要输入用户名和密码才能登录

2)核查Windows默认用户名是否具有唯一性

3)选择 控制面板 ==> 管理工具 ==> 计算机管理 ==> 本地用户和组 ,核查有哪些用户,并尝试使用空口令登录。

4) 选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码策略;核查密码策略是否合理。

B.应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施(登录一定时间自动退出登录)。

1)选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码锁定策略;查看账户锁定时间和账户锁定阈值。

2)在桌面单机右键,在弹出的快捷菜单中选择 “个性化”  ==> “屏幕保护程序”,查看 “等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。(如果密码策略合理,此项就不是很重要)

C.当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

1)如果采用本地管理或者KVM等硬件管理方式,此项默认满足。

2)如果采用远程管理,在命令行输入“gpedit.msc”,在弹出的“本地组策略编辑器” ==> “本地计算机策略” ==> 计算机配置 ==> 管理模板 ==> windows组件 ==> 远程桌面服务 ==> 远程桌面会话主机 ==> 安全中的相关项目

D.应采用口令、密码技术、生物技术等两种或两种以上组合鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少使用密码技术来实现。

查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术 记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的鉴别方法

2.访问控制

A.应对登录用户分配账户和权限

访谈系统管理员,了解能够登录Windows操作系统的账户及它们拥有的权限,选择%systemdrive%\windows\system、%systemroot%\system32\config等文件夹,单机右键选择 属性 ==> 安全 ==> 查看everyone组user组和administrators组权限的设置。

各用户均具有最小用户权限且分别登录

不存在匿名用户,默认用户账号只能由管理员登录。

B.应重命名或删除默认账户,修改默认账户的默认口令。

在命令行输入“lusrmgr.msc” 本地用户和组 ==> 用户 下的相关项目

Windows操作系统的默认账户administrator已被禁用或重命名

已修改默认账户默认口令

已禁用guest用户

C.应及时删除或停用多余的、过期的账户,避免共享账户的存在

在命令行输入“lusrmgr.msc” 本地用户和组 ==> 用户 下的相关项目。访谈管理员了解各用户的用途,检查账户是否存在多余的、过期或共享账户名的。

D.应授予管理用户最小权限,实现用户的权限分离。

在命令窗口输入secpol.msc命令, “本地安全策略” ==> “安全设置” ==>“本地策略” ==> “用户权限分配”下的相关项目

设置了系统管理员、安全员、审计员角色,并根据用户的角色分配权限,实现了管理用户的权限分离

仅授予管理用户的最小权限,角色之间相互制约。

E.应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

1)询问管理员,了解哪些用户能够配置访问控制策略。

2)查看重要目录的权限配置,了解是否依据安全策略配置访问规则。

由安全管理员授权设置访问控制策略

配置了主体对客体的访问控制策略并统一管理

F.访问控制粒度应达到主体为用户级或进程级,客体为文件、数据库表级

选择%systemdrive%\program files、%systemdrive%\system32等重要文件夹,以及%systemdrive%\windows\system32\config、%systemdrive%\windows\system32\secpol等重要文件, 单击右键 ==> 属性 ==> 安全,查看访问权限设置。

G.应对重要主体设置安全标记,并控制 主体对有安全标记信息资源的访问

1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感
2)询问管理员是否对重要信息资源设置敏感标记
3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等

安全审计

a.应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

1.命令行输入“"secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目

2.询问并查看是否有第三方审计工具或系统

b.审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息

1)在命令行输入"eventvwr.msc",弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志"下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果

c. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等

1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。在命令行输入“eventvwr. msc”,弹出“事件查看器”窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合

d.应对审计进程进行保护,防止未经授权的中断

1)访谈是否有第三方方审计进程监控和保护的措施
2)在命令行输入"secpol.msc",弹出“本地安全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组

入侵防范

a.应遵循最小安装的原则仅安装需要的组件和应用程序

通过 控制面板 ==> 程序和功能

b.应关闭不需要的系统服务、默认共享和高危端口

1)查看系统服务。
在命令行输入"services. msc“ ==> 查看右侧的服务详细列表中多余的服务(如Alerter、Remote Registry Servicce Messsenger,Task Scheduler)是否已启动。
2)查看监听端口。
在命令行输入"netstat -an”,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、45、 593、1025端口,UDP 135、137、 138、445端口,-些流行病毒的后门端口,如TCP 2745、3127、6129端口。


3)查看默认共享。
在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$

c.应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

1)询间系统管理员管理终端的接入方式。
查看主机防火墙对登录终端的接入地址限制 ==> 在命令行输入"firewall.cpl”,打开Windows防火墙界面 ==> 查看Windowsd防火墙是否启用 ==> 点击左侧列表中的“高级设置” ==> 打开“高级安全Windows防火墙”窗口 ==> 点击左侧列表中的“入站规则” ==> 双击右侧入站规则中的“远程桌面一用户模式(TCP-In)" ==> 打开“远程桌面用户模式(TCP-In)属性" 窗口 ==> 选择“作用城”查看相关项目。
查看IP筛输入“gpedit.msc"打开本地组策路编辑器界面,==> “本地计算机策略==>计算机配置Windows设置==>安全设置==>IP安全策略”,在本地计算机双击右侧限制登录终端地址的相关策略”,查看 “IP 筛选器列表”和“IP筛选器属性"
2)网络方面对登录终端的接入方式和地址范围的限制
询问并查看是否通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限制。

d.应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞

访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新,更新的方法。
在命令行输入"appwiz.cpl" ,打开程序和功能界面,==> “查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况

​​

e.应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警

1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能
2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS

恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断

查看杀毒软件版本、病毒库

可信验证

默认不符合

未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心

数据完整性

a.应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

使用RDP协议进行数据传输,未采用校验技术保证重要数据在传输过程中的完整性。

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

重要数据为身份鉴别数据,采用LM-Hash与NT-Hash技术保证身份鉴别信息在存储过程中的完整性;

数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

使用RDP协议进行数据传输,未采用密码技术保证重要数据在传输过程中的保密性。

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

重要数据为身份鉴别数据,采用LM-Hash与NT-Hash技术保证身份鉴别信息在存储过程中的保密性;

数据备份与恢复

a)应提供重要数据的本地数据备份与恢复功能;

b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

剩余信息保护

a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;

服务器中策略交互式登录:不显示最后的用户名:已启用;用可还原的加密来存储密码:已禁用;

b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

服务器中策略关机前:清除虚拟内存:已启用。

个人信息保护

a)应仅采集和保存业务必需的用户个人信息;
b)应禁止未授权访问和非法使用用户个人信息。

等保2.0 安全计算环境 ——Windows服务器(三级系统)相关推荐

  1. 等保2.0 安全计算环境-服务器-Linux(三级系统)

    目录 1.身份鉴别 A.应对登录用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换. 1)询问管理员,了解系统是否已设置密码,核查登录过程中系统账户是否使用密码进行验证登 ...

  2. win系列服务器,windows服务器系列系统

    windows服务器系列系统 内容精选 换一换 本文以云服务器的操作系统为"Windows Server 2008 R2 Standard 64bit".磁盘容量为3 TB举例,提 ...

  3. 为什么服务器系统会异常,windows服务器查看系统异常

    windows服务器查看系统异常 内容精选 换一换 云服务器网络异常.防火墙未放行本地远程桌面端口.云服务器CPU负载过高等问题均可能导致云服务器无法正常登录.本节操作介绍无法登录Windows弹性云 ...

  4. windows服务器查看系统异常,Windows服务器异常---查看系统日志--以蓝屏为例分析...

    现象场景: 客户报障,Windows 服务器出现异常,无法连接.首先查看硬件状态,设备是否为正常登录状态,硬件指示灯是否正常,可以查看一下Windows系统日志.以Windows Server 201 ...

  5. iis无法启动计算机上的服务器,Win7系统iis无法启动怎么解决?

    可能对于很多用户来说,这个IIS服务器在自己的操作中是很少使用到的,但是对于一些专业的人士来说,却经常都需要与其打交道.Win7系统电脑都有IIS服务器,默认是关闭的.但是,有用户遇到iis无法启动, ...

  6. 阿里云官方推出操作系统“等保合规”镜像 -- Alibaba Cloud Linux 等保2.0三级版

    前言 Alibaba Cloud Linux 2(原Aliyun Linux 2)是阿里云操作系统团队为云应用场景打造的一款云操作系统.随其发展,使用该系统的用户对安全的需求也不断增加.另一方面,根据 ...

  7. 【等保小知识】等保3.0就是等保三级吗?

    我国正在严格执行等保政策,但对于等保政策大家还存在很多疑问,例如等保3.0就是等保三级吗?今天我们小编就给大家详细回答一下这个问题. 等保3.0就是等保三级吗? [回答]:不是.目前只有等保1.0和等 ...

  8. 阿里云国际版无法远程连接Windows服务器的解决方法

    免责声明:本文档可能包含第三方产品信息,该信息仅供参考.阿里云对第三方产品的性能.可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺. 概述 下面来和87cloud一起了解阿里云国际版无法 ...

  9. 等保2.0测评手册之安全计算环境

    可以将本文安全计算环境等保2测评手册直接用于工作中,整改工作内容:控制点,安全要求,要求解读,测评方法,预期结果或主要证据 往期等保文章: 等保工作的定级指南文件 等保工作流程和明细 等保定级报告模版 ...

  10. 通过等保2.0分析系统脆弱性:安全区域边界篇与安全计算环境篇

    安全区域边界篇 安全区域边界在近几年变得越来越精细越来越模糊,因为攻击的形式.病毒传播的途径层出不穷,我以攻击者的角度去看,任何一个漏洞都可以成为勒索病毒传播和利用的方式,我们要做到全面补丁压力重重, ...

最新文章

  1. 如何制止OpenSSH漏洞?
  2. java判断字符串中是否包含中文 过滤中文
  3. 日报 18/07/22 您的设计模式!终于有时间开写~ ~
  4. golang flag包使用示例:接收命令行参数
  5. openquery基本运用实例
  6. ggplot2 theme相关设置—文本调整
  7. WINDOWS 如何关闭3306端口
  8. 对比损失的PyTorch实现详解
  9. Cocos2dx 下对sqlite3 的简单封装
  10. inceptor手册
  11. Visual Foxpro 6.0教程
  12. nanomsg的协议
  13. Android 微信高性能日志存储库Xlog的使用
  14. 搭建sql-libs的环境
  15. bing搜索php,必应bing网页搜索小偷php程序 v1.0PHP小偷采集源码下载-华软网
  16. 如何安装Eclipse WTP插件
  17. 视频教程-Python开发全教程-Python
  18. centos7 安装 Firefox
  19. 解决Chaquopy在AS中pip安装过慢的问题
  20. 后浪的Java追随者们是什么样的?

热门文章

  1. Unity2019版本打包一直停留在 detecting current sdk tools version的解决方案
  2. IDEA前进后退快捷键设置
  3. 【转载】printf打印是字体和背景带颜色的输出的方法
  4. 4个方法:提升用户活跃度
  5. 《吊打分析师》实战—深圳链家租房数据分析 | 附源码
  6. MATLAB必看书籍推荐
  7. 如何设置背景图片的大小?
  8. pdo连接mysql_php PDO连接mysql
  9. XCode6如何创建Category
  10. 【汇正财经】两市缩量下跌