等保测评之主机测评详解

• 等保测评之主机测评详解


• 服务器——Windows

身份鉴别:

测评项a）：

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

整改方法：

控制面板——小图标——管理工具——本地安全策略——账户策略——密码策略；

1、密码必须符合复杂性要求；   已启用  
2、密码长度最小值；    12个字符  
3、密码最长使用期限；   42天  
4、密码最短使用期限；  2天  
5、强制密码历史；   5个记住密码  
6、密码永不过期属性。  未勾选“密码永不过期” 

测评项b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

控制面板——小图标——管理工具——本地安全策略——账户策略——账户锁定策略

测评项c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

主机的远程登录只能通过阿里云、腾讯云登陆，且登录只能为https协议

访问控制：

测评项a）应对登录的用户分配账户和权限；

要求点 1：登录用户分配账户

要求点 2：登录用户账户分配权限

计算机管理——用户和组——添加账户且分配权限——设置密码（密码符合上面要求）

测评项b） 应重命名或删除默认账户，修改默认账户的默认口令；

删除默认账户admin、user，或者修改admin账户名字

测评项c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

字面意思

测评项d）应授予管理用户所需的最小权限，实现管理用户的权限分离。

 每一个管理员用户设定一个权限，且管理员权限分离

安全审计：

测评项a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

控制面板——管理工具——本地安全策略——本地策略——审核策略——策略的安全设置全部改为成功失败

测评项b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

测评项c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志（其中最重要的是安全日志），其存储文件分别是：

这三个文件的权限，在windows2008 r2中默认为：

三个文件的所有者均为：LOCAL SERVICE

eventlog应该是Windows里的一个内置安全体。

也就是从默认情况来看，只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

事件查看器权限：

在对于隶属于user的普通用户无权查看安全日志，其余日志可看但无法操作。

入侵防范：

测评项a）应遵循最小安装的原则，仅安装需要的组件和应用程序

测评项b）应关闭不需要的系统服务、默认共享和高危端口；

测评项c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

测评项d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

测评项e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

整改方法：

验证检查：  

1、询问是否安装了主机入侵检测系统，并进行适当的配置；  

2、查看是否对入侵检测系统的特征库进行定期升级；  

3、查看是否在检测到严重入侵事件时提供报警。 

4、询问是否对关键程序的完整性进行校验； 

5、管理工具—服务—查看可以使用的服务  

6、监听端口，命令行输入“netstat -an”  

7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”

建议整改：