- 等保測評之主機測評詳解(二級)
- 服務器——Windows
身份鑒別:
測評項a):
a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
整改方法:
控制面板——小圖標——管理工具——本地安全策略——賬戶策略——密碼策略;
1、密碼必須符合復雜性要求; 已啟用
2、密碼長度最小值; 12個字符
3、密碼最長使用期限; 42天
4、密碼最短使用期限; 2天
5、強制密碼歷史; 5個記住密碼
6、密碼永不過期屬性。 未勾選“密碼永不過期”
測評項b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
控制面板——小圖標——管理工具——本地安全策略——賬戶策略——賬戶鎖定策略
測評項c)當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
主機的遠程登錄只能通過阿里雲、騰訊雲登陸,且登錄只能為https協議
訪問控制:
測評項a)應對登錄的用戶分配賬戶和權限;
要求點 1:登錄用戶分配賬戶
要求點 2:登錄用戶賬戶分配權限
計算機管理——用戶和組——添加賬戶且分配權限——設置密碼(密碼符合上面要求)
測評項b) 應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
刪除默認賬戶admin、user,或者修改admin賬戶名字
測評項c)應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
字面意思
測評項d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離。
每一個管理員用戶設定一個權限,且管理員權限分離
安全審計:
測評項a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
控制面板——管理工具——本地安全策略——本地策略——審核策略——策略的安全設置全部改為成功失敗
測評項b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息
測評項c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等。
windows中的日志一般我們比較關注應用程序日志、安全日志、系統日志(其中最重要的是安全日志),其存儲文件分別是:
這三個文件的權限,在windows2008 r2中默認為:
三個文件的所有者均為:LOCAL SERVICE
eventlog應該是Windows里的一個內置安全體。
也就是從默認情況來看,只有隸屬於administrators組的用戶才擁有直接對文件進行刪除的權限。
事件查看器權限:
在對於隸屬於user的普通用戶無權查看安全日志,其余日志可看但無法操作。
入侵防范:
測評項a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序
測評項b)應關閉不需要的系統服務、默認共享和高危端口;
測評項c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制;
測評項d)應提供數據有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求;
測評項e)應能發現可能存在的已知漏洞,並在經過充分測試評估后,及時修補漏洞。
整改方法:
驗證檢查:
1、詢問是否安裝了主機入侵檢測系統,並進行適當的配置;
2、查看是否對入侵檢測系統的特征庫進行定期升級;
3、查看是否在檢測到嚴重入侵事件時提供報警。
4、詢問是否對關鍵程序的完整性進行校驗;
5、管理工具—服務—查看可以使用的服務
6、監聽端口,命令行輸入“netstat -an”
7、“控制面板”—“管理工具”—“計算機管理”—“共享文件夾”
建議整改:
策略修改:
1、僅開啟需要的服務端口(135 137 139 445等端口建議不開啟,若業務需要,應做好系統相應補丁)
2、關閉不需要的組件和應用程序,僅啟用必須的功能
3、關閉默認共享文件
設備和服務部署:
1、物理機房:部署IDS、IPS
2、上雲服務器(如阿里雲):部署安騎士或態勢感知、web應用防火牆、抗DDoS
惡意代碼防范:
測評項a)應安裝防惡意代碼軟件或配置具有相應功能的軟件,並定期進行升級和更新防惡意代碼庫。
- 查看操作系統中安裝的防病毒軟件,查看病毒庫的最新版本更新日期是否超過一個月。
- 詢問系統管理員是否有統一的病毒更新策略和查殺策略。
- 詢問系統管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫。
- 詢問系統管理員當發現病毒入侵行為時,如何發現,如何有效阻斷等,報警機制等。
- 查看系統中采取何種可信驗證機制,訪談管理員實現原理等。
可信驗證:
測評項a)可基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證,並在檢測到其可信性受到破壞后進行報警,並將驗證結果形成審計記錄送至安全管理中心。
數據完整性:
a)應采用校驗技術保證重要數據在傳輸過程中的完整性。
1.服務器在阿里雲上使用https協議進行通信,可保證重要數據在傳輸過程中的完整性。
2.服務器不在阿里雲上采用rdp協議遠程登錄,並且禁用telnet。
數據備份恢復:
測評項a)應提供重要數據的本地數據備份與恢復功能;
測評項b)應提供異地數據備份功能,利用通信網絡將重要數據定時批量傳送至備用場地。
剩余信息保護:
測評項a)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除
測評方法:
- 打開“控制面板”->“管理工具”->“本地安全策略”->“安全設置”->“賬戶策略”->“密碼策略”,查看“用可還原的加密來存儲密碼”是否禁用。
- 打開“控制面板”->“管理工具”->“本地安全策略”->“安全設置”->“本地策略”中的[安全選項]查看是否啟用“關機:清除虛擬內存頁面文件”。
Linux服務器
身份鑒別:
測評項a) 應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
測評要求:
1) 應核查用戶在登錄時是否采用了身份鑒別措施;
2) 應核查用戶列表,核查用戶身份標識是否具有唯一性;
3) 應核查用戶配置信息或訪談系統管理員,核查是否不存在空口令用戶;
4) 應核查用戶鑒別信息是否具有復雜度要求並定期更換。
測評方法:
身份鑒別- a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
1)在root權限下,使用命令cat查看/etc/shadow文件中的用戶名狀態,要刪除或停用多余的、過期的賬戶,不能存在空口令賬戶。
2)以 root 身份登錄進入Linux, 查看文件內容:#cat /etc/login.defs,查看密碼長度、密碼有效期相關參數。
PASS_MAX_DAYS 90 #登錄密碼有效期應設置為90天以內;
PASS_MIN_LEN 8#登錄密碼最小長度應設置為8位以上
3)使用# cat /etc/pam.d/system-auth命令,查看密碼復雜度命令。
身份鑒別- b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
1) 以 root 身份登錄進入Linux, 查看文件內容:# cat /etc/pam.d/system-auth
deny參數的值不要大於5次;unlock-time參數不要小於15分鍾
2) 查看/etc/profile中的TIMEOUT環境變量,要配置超時鎖定參數
export TMOUT參數的值不要大於30分鍾
訪問控制- b)應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
要修改root賬戶的口令,並禁止root用戶遠程登錄,使用cat查看/etc/ssh/sshd_config文件中的“PermitRootLogin”參數設置為“no”,即:PermitRootLogin no,即不許可root遠程登錄。
訪問控制- d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離;
要設置三權分立的賬戶,分別為管理員賬戶、審計員賬戶和安全員賬戶。
管理員對系統的資源和運行進行配置、控制和管理,包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
審計員對審計記錄應進行分析,並根據分析結果進行處理,包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。
安全員對系統中的安全策略進行配置,包括安全參數的設置,主體、客體進行統一安全標記,對主體進行授權,配置可信驗證策略等。
安全審計- c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
審計日志應定期進行了場外備份,如部署日志服務器,定期將審計日志存入日志服務器。
入侵防范- a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
使用命令“yum list installed”查看操作系統中已安裝的程序包,刪除目前不需要的組件和應用程序,應用系統和數據庫最好不要放在一台服務器里。
入侵防范- b)應關閉不需要的系統服務、默認共享和高危端口;
以有相應權限的身份登錄進入Linux,使用命令“netstat -ntlp(展示當前開放的全部端口)”查看並確認是否開放的端口都為業務需要端口,關閉非必需的端口。
惡意代碼防范- a)應安裝防惡意代碼軟件或配置具有相應功能的軟件,並定期進行升級和更新防惡意代碼庫。
建議在服務器上安裝殺毒軟件,如:clamav殺毒軟件,做到定期殺毒,並定期更新軟件版本和病毒庫版本,或是購買阿里雲雲安全中心企業版,進行定期查殺,並解決下圖的風險值。
數據備份恢復- a)應提供重要數據的本地數據備份與恢復功能;
要對本地數據進行備份,提供本地數據的備份策略,並要對備份的數據進行恢復測試,保證備份數據可用性。
數據備份恢復- b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
要能夠提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
數據備份恢復- c)應提供重要數據處理系統的熱冗余,保證系統的高可用性。
建議對服務器進行熱備部署,保證系統的高可用性,或是在阿里雲上進行快照備份,建立自動快照策略,備份方式為全備,在發生問題,能夠及時進行恢復。
運維終端(Windows)
身份鑒別- a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
控制面板-管理工具-本地安全策略-賬戶策略-密碼策略
要求:密碼必須符合復雜性要求 已啟用
密碼長度最小值 8個字符
密碼最短使用期限 1天
密碼最長使用期限 不高於90天
身份鑒別- b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
1) 控制面板-管理工具-本地安全策略-賬戶策略-賬戶鎖定策略
2) 登錄連接超時
右鍵點擊桌面->“個性化” ->“屏幕保護程序”
訪問控制- a)應對登錄的用戶分配賬戶和權限;
要對登錄的用戶進行權限划分,
訪問控制- b)應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
重命名或禁用administrator賬戶,禁用guest賬戶,並刪除多余的、過期的賬戶。
訪問控制- d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離;
要設置三權分立的賬戶,分別為管理員賬戶、審計員賬戶和安全員賬戶
安全審計- a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
控制面板-管理工具-本地安全策略-本地策略-審核策略
全部審核策略改為成功、失敗
安全審計- b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
控制面板-管理工具-事件查看器-Windows日志
查看是否有相應的審計日志。
入侵防范- a)應遵循最小安裝的原則,僅安裝需要的組件和應用程序;
控制面板-管理工具-組件服務-服務(本地)
1) 刪除目前不需要的組件和應用程序。
2)控制面板-程序與功能-查看已安裝的更新,要升級到最新版本
入侵防范- b)應關閉不需要的系統服務、默認共享和高危端口;
在命令行輸入“netstat –an”,查看列表中的監聽端口,是否包括高危端口,如TCP 135、139、445、593、1025端口,UDP 135、137、138、445端口,一些流行病毒的后門端口,如TCP 2745、3127、6129端口,關閉這些端口。
入侵防范-e)應能發現可能存在的已知漏洞,並在經過充分測試評估后,及時修補漏洞。
要在運維終端上安裝殺毒軟件,定期進行殺毒,並將殺毒軟件升級到最新的版本
惡意代碼防范- a)應安裝防惡意代碼軟件或配置具有相應功能的軟件,並定期進行升級和更新防惡意代碼庫。
要在運維終端上安裝殺毒軟件,定期進行殺毒,並將殺毒軟件升級到最新的版本。
數據庫:
身份鑒別- a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
要對登錄的用戶進行身份鑒別,用戶登錄密碼要具有復雜度要求,密碼長度不少於8位,密碼組成為大小寫字母、數字和特殊字符,密碼定期更換時間不長於90天。
身份鑒別- b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
要具有登錄失敗處理能力,如:登錄失敗3次后,鎖定賬戶10分鍾;設置登錄連接超時時間為30分鍾。
訪問控制- a)應對登錄的用戶分配賬戶和權限;
要對登錄的用戶進行權限划分,
訪問控制- b)應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
要重命名默認賬戶,並修改默認口令,或是刪除或禁用默認賬戶。
訪問控制- d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離;
要設置三權分立的賬戶,分別為管理員賬戶、審計員賬戶和安全員賬戶。
安全審計- a)應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;
審計范圍要覆蓋到每個用戶,並能對用戶的登錄、刪除和修改等用戶行為和重要安全事件進行審計
安全審計- b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
數據庫要有審計記錄產生,審計日志要包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;
安全審計- c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
審計日志應定期進行了場外備份,如部署日志服務器,定期將審計日志存入日志服務器。
數據完整性- b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限於鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
數據保密性- b)應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限於鑒別數據、重要業務數據和重要個人信息等。
建議采用密碼技術保證重要數據在存儲過程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限於鑒別數據、重要業務數據和重要個人信息等。用戶個人信息不能是以明文的形式進行存儲的。
數據備份恢復- a)應提供重要數據的本地數據備份與恢復功能;
要對本地數據進行備份,提供本地數據的備份策略,並要對備份的數據進行恢復測試,保證備份數據可用性。
數據備份恢復- b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
要能夠提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
個人信息保護- b)應禁止未授權訪問和非法使用用戶個人信息。
要對采集的用戶個人信息進行加密存儲或是對存儲用戶個人信息文件進行權限設置,只允許管理員進行訪問。
應用系統:
身份鑒別- a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換;
要對登錄的用戶進行身份鑒別,用戶登錄密碼要具有復雜度要求,密碼長度不少於8位,密碼組成為大小寫字母、數字和特殊字符,密碼定期更換時間不長於90天。
身份鑒別- b)應具有登錄失敗處理功能,應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施;
要限制用戶的非法登錄次數,如:登錄失敗3次后,鎖定賬戶10分鍾。
訪問控制- b)應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
要重命名默認賬戶並修改默認口令,或是刪除或禁用默認賬戶。
訪問控制- d)應授予管理用戶所需的最小權限,實現管理用戶的權限分離;
要設置三權分立的賬戶,分別為管理員賬戶、審計員賬戶和安全員賬戶。
安全審計- c)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;
審計日志是否定期進行了場外備份,如部署日志服務器,定期將審計日志存入日志服務器。
數據完整性- b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限於鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
數據保密性- b)應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限於鑒別數據、重要業務數據和重要個人信息等。
建議采用密碼技術保證重要數據在存儲過程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限於鑒別數據、重要業務數據和重要個人信息等。用戶個人信息不能是以明文的形式進行存儲的。
數據備份恢復- a)應提供重要數據的本地數據備份與恢復功能;
要對本地數據進行備份,提供本地數據的備份策略,並要對備份的數據進行恢復測試,保證備份數據可用性。
數據備份恢復- b)應提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
要能夠提供異地實時備份功能,利用通信網絡將重要數據實時備份至備份場地;
個人信息保護- b)應禁止未授權訪問和非法使用用戶個人信息。
要對采集的用戶個人信息進行加密存儲或是對存儲用戶個人信息文件進行權限設置,只允許管理員進行訪問。