windows主机检查判断
- 格式:doc
- 大小:56.50 KB
- 文档页数:5
类别 测评项 核查方法 判断方法 身份鉴别
a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; 检查登录是否需要密码; 检查登陆服务器是否需要用户名/口令;检查用户数量、设置密码的用户数量、密码为空的用户数量;一般都符合。
b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 本地安全策略->账户策略->密码策略中的相关项目。 检查密码策略的设置情况,是否支持密码复杂度,含长度、大小写、特殊字符、数字混用,使用期限等(密码最短使用期限非0值)。
c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; 本地安全策略->账户策略->账户锁定策略
检查账户锁定阈值,非
0值即为符合。
d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听; 在远程管理操作中是否使用了SSL协议(RDP协议5.1以后默认为安全的连接协议)。
e) 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;
“管理工具”->“计算机管理”->“本地用户和组”中的“用户”,检查其中的用户名是否出现重复。 如果多个人共用一个账户或数据库管理账户身份为主机管理员(Administrator)则为不符合;主机与数据库都具有同样的用户名但密码不同应为符合。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 访谈系统管理员,访谈系统除密码外有无其他身份鉴别方法,如令牌、智能卡等。 是否采用除用户名/口令之外的其他鉴别方式,如生物信息或用户拥有的某项物品,Key或数字证书。 类别 测评项 核查方法 判断方法 访问控制 a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; windows依据默认策略启用访问控制功能;默认符合。 b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; 访谈并检查管理用户及角色的分配情况。 系统存在多用户时应有权限划分,最低限度应有审计员分散管理权限,则为符合;若一项操作必须2人以上完成即为符合。 c) 应实现操作系统和数据库系统特权用户的权限分离; 如果安装了数据库系统,访谈操作系统管理员是否同时担任数据库管理员职责,且数据库管理账户是否付给专门的数据库管理员; 检查是否存在一个账户同时管理操作系统和数据库系统的情况,是否存在数据库与操作系统管理员同一人的情况。 d)应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令; 访谈管理员当前系统用户状况; Windows用户只要设定了密码,即为符合;
e)应及时删除多余的、过期的账户,避免共享账户的存在; 检查系统账户列表,访谈管理员是否存在多余的、过期的、共享的账户; 检查是否存在多余、过期、共享的账户。
f)应对重要信息资源设置敏感标记; 访谈系统管理员,检查系统中是否存在如POST技术等系统加固组件;对重要信息资源设置了敏感标记; 询问或查看目前的敏感标记策略的相关设置,如:如何划 分敏感标记分类,如何设定访问权限等Windows默认不符合;
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
访谈系统管理员,检查系统中是否存在如POST技术等系统加固组件;对重要信息资源设置了敏感标记; 是否对重要信息资源设置敏感标记。
安全审计 a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 检查“本地安全策略”检查审计功能是否启用; Windows操作系统默认开启审计功能,默认符合;数据库需要检查其是否存在审计功能; 类别 测评项 核查方法 判断方法 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 记录Windows审计功能中开启的项目;
检查审核策略中是否
开启对系统的审核,如有即为符合。
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; 检查事件检查器相关记录是否包括时间、主客体标识和事件结果等信息; windows默认符合。
d)应能够根据记录数据进行分析,并生成审计报表; 检查Windows“事件检查器”。访谈系统管理员是否还有其他第三方日志分析工具。 Windows默认不符合。
e)应保护审计进程,避免受到未预期的中断; Windows系统自身满足。 windows默认符合。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1.检查“权限指派”中管理审计日志的权限,看是否只有系统管理员组能删除。 2.检查“事件检查器”中“安全”和“系统”日志的存储大小和覆盖策略。 3.访谈审计记录的存储、备份和保护的措施,如配置日志服务器等 检查是否配置日志服务器,日志是否远端保存;检查审计记录的存储、备份和保护措施。
剩余信息保护 a)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; “安全策略”中“不显示上次登录用户名”。 检查本地策略的安全选项是否选中不显示上次用户名,选中则为符合。 类别 测评项 核查方法 判断方法 b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 清除虚拟内存页面: “本地安全策略”->本地策略中的安全选项,检查“关机前清除虚拟内存页面”,和“用可还原的加密来存储密码”是否开启。 检查“关机前清除虚拟内存页面”和“用可还原的加密来存储密码”前者应为启用,后者应为不启用。
入侵防范
a) 应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警; 访谈系统管理员有那些系统安全性监控措施。 检查是否具有入侵检测措施并能够报警,如无则不符合。
b)应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施; Windows系统自身满足。 检查是否对重要程序启用DEP等功能,Windows系统自身满足。 c) 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
检查系统安装程序情况,是否遵循了最小安装的原则: 检查系统补丁升级情况; 检查是否开启不需要的服务和监听端口;检查补丁升级方式和最近的补丁更新时间。
恶意代码防范 a) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 检查系统中安装的防病毒软件与版本升级情况。访谈管理员病毒库更新策略。检查病毒库的最新版本更新日期是否超过一个星期。 检查是否安装防恶意代码软件,版本更新情况和病毒库更新周期是否超过一个星期,是即不符合。 b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库; 访谈系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
访谈系统管理员网络防病毒产品和主机防病毒产品分别采用什么病毒库,是否相同,是即不符合。
c) 应支持恶意代码防范的统一管理。 访谈防恶意代码的管理方式,例如升级方式。 访谈系统管理员是否采有统一的病毒更新和查杀策略,查杀频率多少。 类别 测评项 核查方法 判断方法 资源 控制
a) 应通过设定终端接入方式、网络地址范围等条件限制终端登录; 1、检查系统对登录终端的接入方式进行限制的措施; 2、检查网络属性中“Internet属性”中“高级”->“选项”->“TCP/IP筛选”中有没有对端口做限制。如果安装有主机防火墙则检查有无登录地址限制。
检查防火墙相关配置或TCP/IP筛选,检查是否通过网络设备或硬件防火墙设置了ACL,实现限制终端登录。
b) 应根据安全策略设置登录终端的操作超时锁定;
Windows检查是否设置了屏幕锁定; 检查是否开启了带密码的屏幕保护功能;在组策略中检查“空闲会
话限制”中是否配置了空闲的会话继续留在服务器上的最长时间。
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况; 访谈系统管理员是否采用系统性能监控措施。 windows自身有系统资源管理器对系统资源进行手动监控,如有人工监控,记录监控的内容和周期,如使用监控软件,记录软件的内容和监控的内容。
d) 应限制单个用户对系统资源的最大或最小使用限度; 访谈管理员针对系统资源控制的管理措施; 访谈管理员针对系统资源控制的管理措施,Windows可以了解用户磁盘配额的设置Windows默认符合。
e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。 Windows系统自身不符合,访谈系统管理员有无第三方主机监控程序。 访谈管理员日常如何监控系统服务水平,能否在服务水平降低到一定值时进行检测和报警。如果有第三方监控程序,检查相关功能,Windows默认不符合。