Windows服務器
控制點
4.
入侵防范
由於基於網絡的入侵檢測只是在被監測的網段內對網絡非授權的訪問、使用等情況進行防范,所以其無法防范網絡內單台服務器等被攻擊的情況。基於服務器的入侵檢測可以說是對基於網絡的入侵檢測的補充——補充檢測那些出現在“授權”的數據流或其他遺漏的數據流中的入侵行為。
a)
安全要求:應遵循最小安裝的原則,僅安裝需要的組件和應用程序。
要求解讀:在安裝Windows操作系統時,會默認安裝許多非必要的組件和應用程序。為了避免多余的組件和應用程序帶來的安全風險,通常應遵循最小安裝的原則,僅安裝需要的組件和應用程序等。例如,一台只提供下載服務的FTP服務器啟用了郵件服務,該郵件服務對於此ftp服務器來說就屬於多余的服務。再如,一台文件服務器上安裝了游戲軟件,該游戲軟件就屬於多余的應用程序。
檢查方法
查看和詢問安裝的組件情況。
1.詢問系統管理員,了解安裝的各組件的用途及有無多余的組件。在命令行窗口輸入dcomcnfg命令,打開“組件服務”界面,選擇“控制台根節點”——>“組件服務”——>“計算機”——>“我的電腦”選項,查看右側組件列表中的內容。
2.詢問系統管理員,了解安裝的應用程序的用途及有無多余的應用程序。在命令行窗口輸入appwiz.cpl命令,打開程序和功能界面,查看右側程序列表中的安裝的應用程序。
期望結果
1.未安裝非必要的組件。
2.未安裝非必要的應用程序。
b)
安全要求:應關閉不需要的系統服務、默認共享和高危端口。
要求解讀:在安裝Windows操作系統時,默認會開啟許多非必要的系統服務。為了避免由於多余的系統服務帶來安全風險,通常可以將其禁用或卸載。Windows會開啟默認共享(例如C$、D$),為了避免默認共享帶來的安全風險,應關閉Windows硬盤默認共享。查看監聽端口,可以直觀地發現並對比系統所運行的服務和程序。關閉高危端口是操作系統中常用的安全加固方式。
檢查方法
1.查看系統服務。在命令行窗口輸入services.msc命令,打開系統服務管理界面。查看右側的服務詳細列表中是否存在多余的服務(應為不存在),例如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已啟動(應為否)。
2.查看監聽端口。在命令行窗口輸入netstat-an命令,查看列表中的監聽端口是否包括高危端口(應為否),例如TCP135、139、445、593、1025端口,UDP135、137、138、445端口,一些流行病毒的后門端口,如TCP2745、3127、6129端口。
3.查看默認共享。在命令行窗口輸入net share命令,查看本地計算機上所有共享資源的信息,核查是否打開了默認共享(應為否),例如C$、D$。
4.查看主機防火牆策略。在命令行窗口輸入firewall.cpl命令,打開Windows防火牆界面,查看Windows防火牆是否已啟用。單擊左側列表中的“高級設置”選項,打開“高級安全Windows防火牆”窗口。單擊左側列表中的“入站規則”選項,將顯示Windows防火牆的入站規則。查看入站規則中是否已阻止訪問多余的服務或高危端口。
期望結果
1.不存在多余的服務,如下圖所示。
2.未開啟非必要端口,如下圖所示。
3.未開啟默認共享,如下圖所示。
4.防火牆規則已阻止訪問多余的服務或高危端口。
c)
安全要求:應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。
要求解讀:通過設定終端接入方式、網絡地址范圍等條件限制終端登錄,可以大大節省系統資源,保證系統的可用性,同時提高系統的安全性。對於Windows操作系統,可以通過主機防火牆或TCP/IP篩選實現以上功能。
檢查方法
1.詢問系統管理員,了解管理終端的接入方式。
2.查看主機防火牆對登錄終端接入地址的限制。在命令行窗口輸入firewall.cpl命令,打開Windows防火牆界面,查看Windows防火牆是否已啟用。單擊左側列表中的“高級設置”選項,打開“高級安全Windows防火牆”窗口,然后單擊左側列表中的“入站規則”選項,雙擊右側入站規則中的“遠程桌面-用戶模式(TCP-In)”選項,打開“遠程桌面-用戶模式(TCP-In)屬性”窗口,選擇“作用域”選項,查看相關項目。
3.查看IP篩選器對登錄終端接入地址的限制。在命令行窗口輸入gpedit.msc命令,打開本地組策略編輯器界面。單擊左側列表中的“本地計算機策略——>計算機配置>windows 設置——>安全設置——>IP安全策略”選項,雙擊本地計算機限制登錄終端地址的相關策略,查看“IP篩選器列表”和“IP篩選器屬性”的內容。
4.詢問系統管理員,並查看是否已通過網絡設備或硬件防火牆對終端接入方式、網絡地址范圍等條件進行限制。
期望結果
1.已通過主機防火牆設置訪問控制規則。
2.已通過網絡防火牆、堡壘機、IP地址段進行接入地址限制。
d)
安全要求:應能發現可能存在的已知漏洞,並在經過充分測試評估后,及時修補漏洞。
要求解讀:攻擊者可能利用系統中的安全漏洞對操作系統進行攻擊。因此,應對操作系統進行漏洞掃描,及時發現操作系統中的已知漏洞,並在經過充分的測試和評估后更新系統補丁,避免由系統漏洞帶來的風險。
檢查方法
訪談系統管理員,了解是否定期對操作系統進行漏洞掃描,是否已對掃描發現的漏洞進行評估和補丁更新測試,是否能及時進行補丁更新,並了解更新的方法。在命令行窗口輸入appwiz.cpl命令,打開“程序和功能”界面,單擊左側列表中的“查看已安裝的更新”選項,打開“已安裝更新”界面,查看右側列表中的補丁更新情況。
期望結果
已對操作系統補丁進行測試和安裝,安裝的補丁為較新的穩定版本。
e)
安全要求:應能夠檢測到對重要節點進行入侵的行為,並在發生嚴重入侵事件時提供報警。
要求解讀:要想維護真正安全的環境,只有安全的系統是遠遠不夠的。假設系統自身不會受到攻擊,或者認為防護措施足以保護系統自身,都是非常危險的。維護系統安全,必須進行主動監視,以檢查系統中是否發生了入侵和攻擊。
在一般意義上,入侵威脅分為外部滲透、內部滲透、不法行為三種,入侵行為分為物理入侵、系統入侵、遠程入侵三種。此項關注的操作系統所面對的入侵威脅包含以上三種,造成入侵威脅的入侵行為主要是系統入侵和遠程入侵兩種。
系統入侵是指入侵者在擁有系統低級別權限賬號的情況下進行的破壞活動。在通常情況下,如果沒有及時更新系統補丁,擁有低級別權限的用戶就可能利用系統漏洞獲取更高的管理特權。
遠程入侵是指入侵者通過網絡來滲透系統。在這種情況下,入侵者通常不具備特殊權限,需要先通過漏洞掃描或端口掃描等技術發現攻擊目標,再利用相關技術進行破壞活動。
檢查方法
1.訪談系統管理員,核查是否安裝了主機入侵檢測軟件。查看已安裝的主機入侵檢測軟件的配置(例如是否具備報警功能)。
2.查看網絡拓撲圖,核查網絡中是否部署了網絡入侵檢測系統。
期望結果
1.已安裝主機入侵檢測軟件,並配置了報警功能。
2.網絡中部署了IDS、IPS軟件。