等保測評終端加固

控制點	安全要求	要求解讀	測評方法	預期結果或主要證據
身份鑒別	a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求並定期更換	用戶的身份標識和鑒別，就是用戶向操作系統以一種安全的方式提交自己的身份證實，然后由操作系統確認用戶的身份是否屬實的過程，身份標識要求具有唯一性。在用戶進入Windows桌面前，如果彈出一個用戶登錄界面，要求用戶輸入用戶名和密碼，Windows 操作系統對用戶的用戶名和密碼進行驗證通過后，用戶可以登錄操作系統。 猜測密碼是操作系統最常遇到的攻擊方法之-，因此對操作系統的密碼策略提出要求，在Windows操作系統中，要求密碼歷史記錄、密碼最短長度、密碼復雜度等，並要求定期更換	1)用戶需要輸入用戶名和密碼才能登錄 2)windows默認用戶名具有唯一性 3)打開“控制面板”-》“管理工具”-》“計算機管理”一“本地用戶機組”檢查有哪些用戶，並嘗試空口令登錄 4)打開“控制面板”-》“管理工具”-》 “本地安全策略”一》“賬戶策略”“密碼策略”	1)用戶登錄需輸入用戶名和密碼 2)用戶具備唯一性: 3)嘗試使用空口令登錄，未成功 4)結果如下: a)復雜性要求:已啟用: b)密碼長度最小值:長度最小值至少為8位 c)密碼長度最長使用期限。不為0 d)密碼最短使用期限:不為0  e)強制密碼歷史:至少記住5個密碼以上
	b)應具有登錄失敗處理功能，應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施	非法用戶能夠通過反復輸入密碼，達到猜測用戶密碼的目的，因此應該限制用戶登錄過程中連續輸入錯誤密碼的次數。 當用戶多次輸入錯誤密碼后，操作系統應自動鎖定該用戶或一段時間內禁止該用戶登錄，從而增加猜測密碼難度的目的。 Windows操作系統具備登錄失敗處理功能，可以通過適當的配置“賬戶鎖定策略”來對用戶的登錄進行限制	1)打開“控制面板”-》 “管理工具”-》“本地安全策略”一》 “賬戶策略”一》“密碼鎖定策略” 2)右鍵點擊桌面->“個性化”->“屏幕保護程序”，查看“等待時間”的長短以及“在恢復時顯示登錄屏幕”選項是否打鈎	1)結果如下:  a)賬戶鎖定時間:不為不適用 b)賬戶鎖定閾值:不為不適用 2)啟用了遠程登錄連接超時並自動退出功能
	c)當進行遠程管理時，應采取必要措施、防止鑒別信息在網絡傳輸過程中被竊聽	為方便管理員進行管理操作，眾多服務器采用網絡登錄的方式進行遠程管理操作，Windows一般使用“遠程桌面 (Remote Desktop)”進行遠程管理，《基本要求》中規定了這些傳輸的數據需要進行加密處理，目的是為了保障賬戶和口令的安全	1)如果是本地管理成KVM等硬件管理方式，此要求默認滿足 2)如果采用遠程管理，則需采用帶加密管理的遠程管理方式。在命令行輸入”pgedit.msc“彈出“本地組策略編輯器”窗口，查着“本地計算機策略一》計算機配置一>管理模板一>Windows組件一選程桌面服務>遠程桌面會話主機-安全”中的相關項目	1)本地或VM，默認符合 2)遠程運維，采取加密的RDP協議
訪問控制	a)應對登錄的用戶分配賬戶和權限	訪問控制是安全防范和保護的主要策略，操作系統訪問控制的主要任務是保證操作系統資源不該非法使用和訪向，使用訪問控制的目的在於通過限制用戶對特定資源的訪問來保護系統資源。在操作系統中的每一個文件或目錄都包含有訪問權限， 這些訪可權限決定了誰能訪問和如何訪問這些文件和目錄。對於操作系統中一些重要的文件，則需要嚴格控制其訪問權限，從而加強系統的安全性。因此，為了確保系統的安全，需要對登錄的用戶分配賬戶，並合理配置賬戶權限。 在Windows系統中，重要目錄不能對“everyone".賬戶開放，因為這樣會帶來很大的安全問題，在權限控制方面，尤其要注意當文件權限更改后對於應用系統的影響	訪談系統管理員，操作系統能夠登錄的賬戶，以及它們擁有的權限。 選擇%systemdrive%\w indows \system、%systemroot %\system32\config等相應的文件夾，右鍵選擇“屬性”>“安全”，查看everyone組、users組和administrators組的權限設置	各用戶具備最小角色，分別登錄；不存在匿名用戶，默認用戶只許可管理員可以登錄
	b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令	對於操作系統的默認賬戶， 由於它們的某些權限與實際系統的要求可能存在差異，從而造成安全隱患，因此這些默認賬戶應重命名或被刪除，並修改默認賬戶的默認口令。Windows 的系統管理員賬戶名稱就是Administrator,在一定環境下，黑客可以省略猜測用戶名這個步驟，直接破解密碼。因此，允許默認賬訪問的危害性是顯而易見的	在命令行輸入"lusrmgr.msc"彈出“本地用戶和組”窗口，查看“本地用戶和組->用戶”中的相關項目	1查看右側列表中Window系統的認賬Administrato,是否枝被禁用或重命名 2)詢問是否已修改默認賬戶口令 3)查看是否已經禁用guest賬戶
	c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在	根據管理用戶的角色對權限進行細致的划分，有利於各崗位細致協調工作，同時僅授予管理用戶所需的最小權限，避免出現權限的漏洞使得一些高級用戶擁有過大的權限	在命令行輸入“lusmrgr.msc",彈出“本地用戶和組”窗口，查看“本地用戶和組一>用戶”中的相關項目，查看右側用戶列表中的用戶,詢問各賬戶的用途，確認賬戶是否屬於多余的、 過期的賬戶或共享賬戶名	不存在多余賬戶、測試過期賬戶。不存在多部門、多人共享賬戶情況
入侵防范	a)應遵循最小安裝的原則僅安裝需要的組件和應用程序	Windows默認安裝時會開啟許多不必要的系統服務，為了避免由於多余的系統服務帶來安全風險，通常遵循最小安裝原則，僅安裝需要的組件和應用程序等。有些操作系統中運行的多余服務和應用程序，如:存在某台終端作為共享打印機使用	1)查看和詢問安裝的組件情況 在命令行輸入"dcomcnfg" ,打開組件服務界面,打開“控制台根節點”->“組件服務”一>“計算機”->“我的電腦”.查看右側組件列表中的組件內容。詢問系統管理員，安裝的各組件的用途，有無多余的組件 2)查看和詢問安裝的應用程序情況 在命令行輸入"appwiz.cpl,打開程序和功能界面，查看右側程序列表中的安裝的應用程序 詢問系統管理員，安裝的應用程序的用途，有無多余的應用程序	1)系統安裝遵循最小化安裝原則 2)不存在業務所不需要的組件和應用程序
	b)應關閉不需要的系統服務、默認共享和高危端口	Windows默認安裝時會開啟許多不必要的系統服務，為了避免由於多余的系統服務帶來安全風險，通常可以將其禁用或卸載。Windows 會開啟默認共享，例如C$、D$,為了避免默認共享帶來的安全風險，應關閉Windows硬盤默認共享。通過查看監聽端口，能夠直觀地發現並對比系統所運行的服務和程序，關閉高危端口，是操作系統常用的安全加固方式	1)查看系統服務。 在命令行輸入"services. msc“，打開系統服務管理界面，查看右側的服務詳細列表中多余的服務， 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已啟動。 2)查看監聽端口。 在命令行輸入"netstat -an”，查看列表中的監聽端口，是否包括高危端口，如 TCP 135、139 、45、 593、1025端口，UDP 135、137、 138、445端口，-些流行病毒的后門端口，如TCP 2745、3127、6129端口。 3)查看默認共享。 在命令行輸入"net share"，查看本地計算機上所有共享資源的信息，是否打開了默認共享，例如C$、D$ 4)查看主機防火牆策略 在命令行輸入"firewal1. cpl”打開Windows防火牆界面，查看Windows防火牆是否啟用。點擊左側列表中的“高級設置”，打開“高級安全Windows防火牆”窗口。點擊左側列表中的”入站規則”，右側顯示Windows防火牆的入站規則，查看入站規則中是否阻止訪問多余的服務，或高危端口	1)不存在多余的服務 2)未啟用 不必要的端口 3)未開啟默認共享 4）防火牆規則中阻止訪問多余的服務，或高危端口
	c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制	通過設定終端接入方式、 網絡地址范圍等條件限制終端登錄，可以極大的節省系統資源，保證了系統的可用性，同時也提高了系統的安全性。對Windows自身來說， 可以通過主機防火牆或TCP/IP篩選來實現以 上功能	1)詢間系統管理員管理終端的接入方式。 查看主機防火牆對登錄終端的接入地址限制 在命令行輸入"firewall.cpl”,打開Windows防火牆界面，查看Windowsd防火牆是否啟用。點擊左側列表中的“高級設置”，打開“高級安全Windows防火牆”窗口，點擊左側列表中的“入站規則”，雙擊右側入站規則中的“遠程桌面一用戶模式(TCP-In)"，打開“遠程桌面用戶模式(TCP-In)屬性" 窗口，選擇“作用城”查看相關項目。 查看IP篩選器對登錄終端的接入地址限制 在命令行輸入“gpedit.msc"打開本地組策路編輯器界面，點擊左側列表中的“本地計算機策略->計算機配置Windows設置->安全設置->IP安全策略”，在本地計算機雙擊右側限制登錄終端地址的相關策略”，查看 “IP 篩選器列表”和“IP篩選器屬性“ 2)網絡方面對登錄終端的接入方式和地址范圍的限制 詢問並查看是否通過網絡設備或硬件防火牆對終端接入方式、網絡地址范圍等條件進行限	1)通過主機防火牆設置訪問控制規則 2)通過網絡防火牆、堡壘主機限制、ip段進行接入地址限制
	d) 應能發現可能存在的已知漏洞，並在經過充分測試評估后，及時修補漏洞	攻擊者可能利用操作系統存在的安全漏洞對系統進行攻擊，應對系統進行漏洞掃描，及時發現系統中存在的已知漏洞，並在經過充分測試評估后更新系統補丁，.避免遭受由系統漏洞帶的風險	訪談系統管理員是否定期對操作系統進行漏洞掃描，是否對掃描發現的漏洞進行評估和補丁更新測試，是否及時進行補丁更新，更新的方法。 在命令行輸入"appwiz.cp1" ,打開程序和功能界面，點擊左側列表中的“查看已安裝的更新”，打開“已安裝更新”界面，查看右側列表中的補丁更新情況	對操作系統補丁進行測試和安裝，補丁情況為較新穩定版本
惡意代碼防范	應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，並將其有效阻斷	作為Windows系統，木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重一要，因此應采取避免惡意代碼攻擊的技術措施或采取可信驗證技術，如在主機上部署防病毒軟件或其他可信驗證技術。基於網絡和基於主機的防病毒軟件在系統上應構成立體的防護結構，屬於深層防御的一部分。因此基於網絡的防病毒軟件的病毒庫應與基於主機的防病毒軟件的病毒庫不同。只有當所有主機都及時更新了病毒庫才能夠做到防止病毒的入侵。因此應有統一的病毒管理策略，統一更新病毒庫，定時查殺，及時發現入侵行為有效阻斷等	1)查看系統中安裝的防病毒軟件。詢問管理員病毒庫更新策略。查看病毒庫的最新版本更新日期是否超過一個星期 2)查看系統中采取何種可信驗證機制，訪談管理員實現原理等 3)詢間系統管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫 4)詢問系統管理員是否果有統一的病毒更新策略和查殺策略 5)當發現病毒入侵行為時，如何發現，如何有效阻斷等，報警機制等	)安裝有網絡版殺毒軟件，病毒庫最新 2)查看系統中采取何種可信驗證機制，實現原理為基於可信根TPM技術等 3)網絡版防病毒和主機防病毒均具備不同的病毒庫，異構特點4)防病毒為網絡版，統一更新病毒庫 5)發現病毒入侵，有郵件報警機制
可信驗證	可基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心	針對終端設備，需要終端在啟動過程對預裝軟件(包括系統引導程序、系統程序、相關應用程序和重要配置參數)進行完整性驗證或檢測，確保對系統引導程序、系統程序、重要配置參數和關鍵應用程序的篡改行為能被發現，並報警便於后續的處置動作	1）核査終端的啟動,是否實現可信驗證的過程，査看對那些系統引導程序、系統程序或重要配置參數數進行可信驗證 2 修改其中的重要系統程序之-和應用程序之-，核査是否能夠檢測到並進行報警 3）是否將驗證結果形成審計記錄送至安全管理中心	1）終端具有可信根芯片或硬件 2）啟動過程基於可信根對引導程序、系統程序、重要配置參數和應用程序等進行可信驗證 3)在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心 4)安全管理中心可以接收設備的驗證結果記錄