等保安全计算环境之Windows(安全审计+入侵防范)(二级)
目录
前言
一、安全审计
二、入侵防范
前言
上篇文章写了关于Windows身份鉴别和访问控制的核查项和核查方法,接下来讲的是安全审计、入侵防范的核查项和核查方法。
一、安全审计
1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
a、查看是否启用安全审计功能?是否全面启用?
b、或者安装第三方审计工具。
输入命令secpol.msc,选择本地策略——>审核策略。
//预期结果如下:
审核策略更改:成功,失败
审核登录事件: 成功,失败
审核对象访问: 成功,失败
审核进程跟踪: 成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件: 成功,失败
审核账户管理:成功,失败
如果安装第三方审计工具,重点查看审计是否覆盖用户的操作行为。
2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息
输入“eventvwr.msc”,选择事件查看器(本地)——>Windows日志下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求。
Windows操作系统事件查看器中的审计记录默认满足。
3、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等
输入“eventvwr.msc”,选择事件查看器(本地)——>Windows日志下选择其中“应用程序”、“安全”、“设置”、“系统”任意一项参看属性。(默认按需要覆盖事件)
//勾选日志满是将其存档,不覆盖事件
4、应对审计进程进行保护,防止未经授权的中断
输入secpol.msc,选择安全设置-——>本地策略——>用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组
二、入侵防范
1、应遵循最小安装的原则,仅安装需要的组件和应用程序;
a、未安装非必要组件
b、未安装非必要的应用程序
输appwiz.cp,打开程序和功能界面,查看右侧程序列表中的安装的应用程序。//预期结果:
没有安装不必要的应用程序,如QQ输入dcomcnfg,打开组件服务界面,选择控制台根节点——>组件服务——>计算机——>我的电脑,查看右侧组件列表中的组件内容.//预期结果:
访谈系统管理员,核查有无多余的组件2、应关闭不需要的系统服务、默认共享和高危端口;
a、未安装不必要的服务;
b、未打开不必要的端口;
c、不存在默认共享;
1、输入services.msc,查看是否有多余的服务//预期结果:
Alerter、Remote Registry Service、Messenger、Task Scheduler未启动。2、输入cmd进入命令行,输入netstat -an,查看开启的端口//高危端口:135、137、138、139、445等3、输入cmd进入命令行,输入net share,查看开启的默认共享//关闭多余的共享文件夹
3、应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制
a、查看主机防火墙对登录终端的接入地址限制
b、查看IP筛选器对登录终端的接入地址限制
4、应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求
//不适用
5、应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞
a、系统是否定期进行漏洞扫描,并及时修补漏洞
b、系统补丁是否及时更新
输入appwiz.cpl,打开程序和功能界面,点击左侧列表中的“查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况。等保安全计算环境之Windows(安全审计+入侵防范)(二级)相关推荐
- 等保安全计算环境之Windows(身份鉴别+访问控制)(二级)
提示:你来了?来了就往下看呗. 文章目录 前言 一.安全计算环境之Windows操作系统(身份鉴别+访问控制)(二级) 1.桌面版: 2.服务器版: 二.现场核查内容 1.身份鉴别 2.访问控制 3. ...
- 网络安全等级测评师培训教材(初级)-2021版-第四章安全计算环境
文章目录 第4章 安全计算环境 4.1网络设备 4.1.1路由器 1.身份鉴别 2.访问控制 3.安全审计 4.入侵防范 5.可信验证 4.1.2交换机 1.身份鉴别 2.访问控制 3.安全宙计 4. ...
- 昆明等保合规怎么建设,企业等保安全解决方案,等保建设测评流程
一.等保建设政策法规 中华人民共和国网络安全法 1.第二十一条 国家实行网络安全等级保护制度.网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰.破坏或者未经授权的访 ...
- 等保测评 安全计算环境之应用系统
安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 "1)询问系统管理员,用户在登录时是否采用了身份鉴别措 ...
- 等保测评--计算环境安全测评
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国.美国等很多国家都存在的一种信息安全领域的工作.在中国,信息安全等级保护广义上为涉及到该工作的标准.产品.系统.信息等 ...
- 等保测评高风险判定——安全计算环境(网络、安全、主机设备)篇
提示:文章如有错误,欢迎指出. 文章目录 前言 **等保测评高风险判定--第四章 安全计算环境(网络.安全.主机设备)** 安全计算环境(网络.安全.主机设备) 二级及以上系统高风险判定 1.1设备存 ...
- 通过等保2.0分析系统脆弱性:安全区域边界篇与安全计算环境篇
安全区域边界篇 安全区域边界在近几年变得越来越精细越来越模糊,因为攻击的形式.病毒传播的途径层出不穷,我以攻击者的角度去看,任何一个漏洞都可以成为勒索病毒传播和利用的方式,我们要做到全面补丁压力重重, ...
- 如何在单台计算机上配置 Windows XP SP2 网络保护技术
简介 连接至 Internet 的计算机可能会出现安全漏洞并遭受***. ***是指绕过计算机安全保护或导致您无法使用计算机的故意行为. 在 Microsoft Windows XP Service ...
- 初学者计算机_初学者极客:如何在计算机上重新安装Windows
初学者计算机 Reinstalling Windows is one of the easiest ways to fix software problems on your computer, wh ...
最新文章
- HBase眼高手低从Shell到IDEA编程、心路笔记、踩坑过程
- 迁移到云:渐进但不可逆转
- 内存分配的几个函数的简单对比分析
- js prototype
- layui表格弹窗修改_layUI 实现自定义弹窗
- 打开MSN提示Windows Live Communication Platform遇到问题需要关闭错误的解决方法
- RedisTemplate和StringRedisTemplate使用
- linux多线程学习(四)——互斥锁线程控制
- error: failed to push some refs to ‘github.com:English.git‘ hint: Updates w
- fedora学习笔记 6:浅谈linux文件系统
- linux8如何开启多个桌面,CentOS8安装GNOME3桌面并设置开机启动图形界面
- register_globals
- 自定义snmp oid
- 端口扫描工具是什么?端口扫描工具有什么用
- android 免 root修改位置打卡
- edp协议 netty_大牛轻松带你玩转Arduino智能硬件:EDP协议连接onenet平台
- Excel 获取工龄公式
- 【C#上位机】chart动态更新数据
- Apex Lightning Salesforce 学习笔记及报错问题(持续更新)
- 电磁兼容入门篇之辐射发射(辐射骚扰)试验