声明
本文是学习政务计算机终端核心配置规范.而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
核心配置自动化部署及监测技术要求
自动化部署及监测平台基本架构
对于有一定规模的政务终端核心配置应用,需要配备自动化部署及监测平台,进行核心配置编辑、验证、部署和监测。自动化部署及监测平台由四个基本功能模块构成,分别是配置编辑模块、配置验证模块、配置部署模块和配置监测模块,如图3所示。其中,配置编辑模块主要用于将核心配置清单自动转换生成核心配置基线包,配置验证模块用于对核心配置基线包进行验证和测试,生成可部署的配置基线包;配置部署模块用于对核心配置基线包进行自动化部署;配置监测模块用于对核心配置状态进行自动监测。
- 自动化部署及监测平台
配置编辑模块
配置编辑模块用来生成核心配置基线包,安全管理员依照核心配置基本要求制定配置清单,并对其进行转换和处理,生成可以编辑、可以解析、可以分发和可以部署的核心配置基线包。配置编辑模块应包括基线包生成器和基线包编辑器两个部件:
a) 基线包生成器主要用于生成原始的核心配置基线包,可根据清单内容逐项录入或由清单模版自动录入;
{=html}
z) 基线包编辑器主要用于修改核心配置基线包中的配置项的基值,并可进行添加、修改、合并、删除等编辑操作。
配置验证模块
配置验证模块用于验证核心配置基线包的有效性、适用性和兼容性,保证所要部署的配置基线包的实施效果和安全。
有效性测试可采用人工测试与工具测试相结合的方法,验证核心配置基线包是否生效。具体要求包括:
a) 核心配置部署前,自动收集测试终端的脆弱性情况;
{=html}
a) 核心配置部署后,检测核心配置项的实际赋值是否与基值相一致;
b) 对测试终端进行渗透测试,检验核心配置项是否发挥安全作用。
兼容性测试用于测试核心配置项之间的兼容性,解决终端核心配置项之间的冲突问题。具体要求包括:
{=html}
a) 支持核心配置项的分析对比,找出有冲突的核心配置项;
b) 可修改存在兼容性问题的核心配置项。
适用性测试用于评估核心配置基线对终端应用环境的影响,包括功能影响、性能影响、系统异常风险等。具体要求包括:
a) 能够收集测试终端软硬件环境信息,识别操作系统版本,以及已安装的应用程序;
b) 能够针对具体的配置项,检查其影响范围,识别出受其影响的软件清单及其原因;
c) 能够识别异常现象,追溯其产生的原因,定位相关配置项;
d) 支持多用户环境下的适用性测试,支持常用软件和业务应用软件的适用性测试。
配置部署模块
配置部署模块可进行核心配置基线包管理、分发和部署执行,由基线包管理工具、基线包分发工具和配置执行工具三个部分组成。
a) 基线包管理工具具备核心配置基线包上载、内容查看、网络分发,以及基线包更新和删除等功能;
{=html}
c) 基线包分发工具将基线包按照IP或部门区域定向分发到客户端,可采用服务器推送和客户端相结合的分发模式;
d) 配置执行工具自动解析配置基线包赋值方法和路径,并对配置项进行参数赋值,赋值前应对注册表及相关配置文件进行备份,然后在系统(System)权限下执行赋值过程。
状态监测模块
状态监测模块是安全管理员掌握全网终端核心配置状况的一个重要手段,主要由安装在终端上的配置状态收集器、配置状态上报工具和部署在服务器上的配置状态分析器、配置状态图展示平台组成。
a) 配置状态收集器定时收集终端的核心配置项参数设置情况;
{=html}
e) 配置状态上报系统用于将收集的配置状态上传至服务器;
f) 配置状态分析器用于对上报的配置状态与核心配置基线进行比对和统计分析;
g) 配置状态图展示平台通过图、表等展示手段输出配置状态分析结果。
实施流程
实施流程框架
政务计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个阶段,如图4所示。
- 实施流程
实施准备
概要
本环节重点从技术和管理两个方面做好实施前准备,主要步骤包括:
a) 需求分析和调研;
{=html}
h) 制定总体实施方案;
i) 建立组织管理架构,制定相关管理制度,提供组织保障。
需求调研
通过调研网络终端的分布、软硬件资产配备及应用情况,分析政务部门安全目标和安全需求,从而确定实施终端核心配置的目标、范围和基本要求,并评估核心配置实施可能带来的风险。
制定方案
制定政务部门实施终端核心配置总体工作计划,指导后续开展的工作,方案的主要内容包括:
a) 工作计划:各阶段的具体工作计划,包括工作内容、工作形式、工作成果等内容;
{=html}
j) 进度计划:核心配置实施的时间进度安排;
k) 平台搭建技术方案:规模应用条件下,应搭建核心配置自动化部署及监测平台。应制定平台建设技术方案,并在实施前完成平台搭建工作。
组织保障
组建由领导层、管理层、相关业务骨干和安全技术人员构成的实施团队。必要时,可聘请相关专业的技术专家和技术骨干组成专家小组,指导实施过程。
组织核心配置技术培训和保密教育,制定核心配置管理制度,明确工作职责和任务,得到政务部门最高管理者的支持和批准,必要时签署个人保密协议。
基线制定
概要
本环节主要根据政务部门确定的核心配置基本要求,制定核心配置清单,并利用核心配置自动化部署及监测平台生成核心配置基线包。
制定配置清单
在本标准第7章提出的核心配置基本要求的基础上,制定符合政务部门安全目标和安全要求的核心配置清单,其格式应符合本标准第8章的规定。
附录B列举了身份鉴别配置要求对应的核心基线配置清单示例。
生成配置基线包
将配置清单内容逐项录入基线包生成器或者利用清单模板自动录入,可生成原始的核心配置基线包,然后在此基础上进一步筛选配置项或者调节配置项基值,生成用于部署的核心配置基线包。
验证测试
概要
本环节主要目标是验证测试核心配置基线包的有效性、适用性和兼容性,尽量避免首次部署核心配置基线所可能引发新的安全风险。本阶段的主要工作包括:
a) 搭建验证测试环境;
{=html}
l) 对核心配置基线包进行有效性、适用性和兼容性测试;
m) 对存在问题的核心配置项参数进行重新设置。
搭建测试环境
从验证核心配置基线包的有效性、适用性及兼容性的需求出发,搭建验证测试环境。主要部署必要的硬件设备和测试工具软件,模拟终端的实际运行环境。
验证测试过程
利用核心配置自动化部署及监测平台的配置验证模块分别进行核心配置有效性、适用性和兼容性验证测试,记录测试结果,定位存在问题的核心配置项。
配置调整
对存在有效性、适用性或兼容性问题的核心配置项参数进行修改和调整,重新生成用于部署的核心配置基线包。原则上配置项的赋值不应低于基值。
配置部署
概要
本环节主要完成核心配置基线包的分发和本地执行过程。可采用自动部署方式和手动部署方式。
配置分发
通过核心配置自动化部署及监测平台在一定的网络范围内,自动分发核心配置基线包。可以面向不同安全域,不同IP地址段,或者不同部门进行定向分发。
配置执行
利用配置部署模块的客户端,或以手工方式,或镜像方式在本地计算机终端执行核心配置项赋值过程。一般部署核心配置基线包前,应备份当前计算机终端的配置状态,以便部署过程中出现问题时可以及时恢复。
配置检查
概要
核心配置部署完成后定期进行配置状态检查是保证终端始终处于安全状态的重要手段。本环节的工作重点是进行核心配置合规性检查,并及时纠正存在偏差的配置项参数值。
合规性检查
合规性检查主要检查终端核心配置状态是否达到核心配置基线要求,可以定期(如每月或每周一次)进行检查,或者通过部署核心配置状态监测模块进行实时监测,以保证终端核心配置状态达标。
纠正配置偏差
核心配置部署完成后,在实际运行过程中配置项值可能会由于软硬件环境变化、系统调试需要,或人为原因等发生改变,与配置项基值存在偏差,一般是低于配置项基值。此情况下,应及时重新部署核心配置基线,纠正配置偏差。
例外处理
概要
政务部门首次部署核心配置基线时,应充分考虑到不同终端在软硬件资产配备方面的差异性。如:个别终端的操作系统版本过低,不适用于部署核心配置基线,或者发生软硬件不兼容的情况,均应作为例外处理。关键步骤包括审批备案和制定整改计划。
审批备案
例外主要分如下三种情况:
a) 无法部署核心配置基线;
{=html}
n) 可以部分部署;
o) 需调低某些核心配置项值后进行部署。
安全管理员应及时将例外终端软硬件环境信息、例外原因、处理方法等报告领导层进行审批备案。经过审批的例外终端可以暂时不部署或部分部署核心配置基线,或者允许某些核心配置项值暂时低于核心配置项基值进行部署。
整改计划
例外处理是一种临时性处理措施,应制定针对例外终端的有效整改计划,包括整改期限,整改措施,相关责任人等。整改计划经领导层审批后由管理层负责监督执行。
A. (资料性附录)\
身份鉴别配置要求示例
身份鉴别配置要求
依据GB/T 22239-2008
7.1.3对于第三级主机安全要求,身份鉴别配置要求分为账户登录和口令管理两部分。
账户登录
账户登录具体配置要求如下:
a) 用户连续登录失败5次后锁定用户账户至少60min。
{=html}
p) 不显示上次登录到计算机的用户名。
q) 用户登录时应按CTRL+ALT+DEL进入安全登录界面。
r) 应设置用户登录安全警告提示。
s) 可使用智能卡登录本地,但智能卡移除时,应锁定计算机。
t) 禁止无口令账户登录。
u) 限制批处理账户登录。
口令管理
口令管理具体配置要求如下:
a) 账户口令至少包含8个字符。
{=html}
v) 口令最长有效期不能超过90day,最短有效期不低于1day。
w) 口令过期前7day提示用户修改口令。
x) 更换口令时,新口令必须与先前历史记载的8个口令不匹配。
y) 口令复杂度必须符合下列最低要求:
-
不能包含用户账户名中超过两个连续字符的部分;
-
必须包含以下四类字符中的三类字符:
-
英文大写字母(A到Z);
-
英文小写字母(a到z);
-
10个基本数字(0到9);
-
非字母字符(例如!、$、#、%)。
z) 使用不可还原的NT加密方式来储存口令。
{=html}
B. (资料性附录)\
核心配置清单
概要
本附录给出了Windows桌面操作系统关于身份鉴别配置要求核心配置部分清单。
配置清单
【产品名称】Windows7操作系统专业版
【配置项标识】:CGDCC-Win7-0001
【配置项名称】:账户锁定
【配置项描述】:此配置项指定锁定用户账户之前所允许的失败登陆尝试次数。在管理员重置锁定账户或账户锁定时间期满之前,无法使用该锁定账户。登录尝试失败次数设置范围介于0和999之间,0代表永远不会锁定账户。
【配置项组别】:账户登录
【安全级别】:严重
【取值范围】:0---999次
【配置项基值】:5次
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\
AccountLockoutPolicy
【检查规则】:等于配置项基值
【配置编号】:CGDCC-Win7-0002
【配置项名称】:账户锁定时间
【配置项描述】:此安全设置指定到达"账户锁定阈值"后锁定账户在自动解锁之前保持锁定的分钟数。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。取值范围从0到99,999min,取值0代表账户将一直被锁定直到管理员明确解除对它的锁定。
【配置项组别】:账户登录
【安全级别】:严重
【取值范围】:0-99999min
【配置项基值】:15min
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\
AccountLockoutPolicy
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0003
【配置项名称】:复位账户锁定计数器
【配置项描述】:此安全设置指定到达"账户锁定阈值"后锁定账户在自动解锁之前保持锁定的分钟数。如果定义了账户锁定阈值,则账户锁定时间必须大于或等于重置时间。取值范围从0到99,999min,取值0代表账户将一直被锁定直到管理员明确解除对它的锁定。
【配置项组别】:账户登录
【安全级别】:严重
【取值范围】:1---99,999min
【配置项基值】:15min
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\
AccountLockoutPolicy
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0004
【配置项名称】:交互式登录:不显示最后的用户名
【配置项描述】:该安全设置确定是否在Windows登录屏幕中显示最后登录到计算机的用户的名称。如果启用该配置,则不会在"登录到Windows"对话框中显示最后成功登录的用户的名称。如果禁用该配置,则会显示最后登录的用户的名称。
【配置项组别】:账户登录
【安全级别】:严重
【取值范围】:启用、禁用、未配置
【配置项基值】:启用
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0005
【配置项名称】:交互式登录:无须按Ctrl+Alt+Del
【配置项描述】:配置是否用户需要按Ctrl+Alt+Del才能登陆。禁用可以保用户输入口令时通过信任路径通信,可以防止截获用户口令攻击。
【配置项组别】:账户登录
【安全级别】:严重
【取值范围】:启用、禁用、未配置
【配置项基值】:禁用
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0006
【配置项名称】:交互式登录:试图登录的用户的消息标题
【配置项描述】:该安全设置允许在包含"交互式登录:试图登录的用户的消息文本"的窗口的标题栏中显示标题的说明。
【配置项组别】:账户登录
【安全级别】:警告
【配置项基值】:警告
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于
【配置项标识】:CGDCC-Win7-0007
【配置项名称】:交互式登录:试图登录的用户的消息文本
【配置项描述】:该安全设置指定用户登录时向其显示的文本消息。该文本通常用于法律原因,例如,警告用户滥用公司信息的后果或其操作可能要经过审核。
【配置项组别】:账户登录
【安全级别】:警告
【配置项基值】:"本系统仅供政务授权用户使用。未经授权或者越权使用的用户所有行为将被系统监督管理程序监控并记录。任何使用本系统的用户将会受到监控,一经发现有违法行为将其监控证据上交法律相关部门。"
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0008
【配置项名称】:交互式登录:智能卡移除行为
【配置项描述】:配置当移除登录用户的智能卡时发生情况:①无操作②锁定工作站③强制注销④如果发生远程终端服务会话,则断开连接。
【配置项组别】:账户登录
【安全级别】:重要
【配置项基值】:锁定工作站
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0009
【配置项名称】:账户:限制使用空白口令的本地账户只允许进行控制台登录
【配置项描述】:配置无口令保护的账户是否仅允许在本地登录。
【配置项组别】:账户登录
【安全级别】:重要
【配置项基值】:启用
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0010
【配置项名称】:账户:限制使用空白口令的本地账户只允许进行控制台登录
【配置项描述】:配置无口令保护的账户是否仅允许在本地登录。
【配置项组别】:账户登录
【安全级别】:重要
【配置项基值】:启用
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies
\SecurityOptions
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0011
【配置项名称】:口令长度最小值
【配置项描述】:此配置确定账户口令包含的最少字符数。0代表无口令设置。
【配置类型】:WMI配置
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:0---24位字符
【配置项基值】:8位字符
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies
\PasswordPolicy
【检查规则】:大于等于配置项基值
【配置项标识】:CGDCC-Win7-0012
【配置项名称】:强制口令历史
【配置项描述】:配置最近历史口令存储个数,新设口令与存储历史口令不匹配时才能使用。防止口令重复出现频率过大造成不安定因素。取值范围在0-24之间,0代表口令可以立即重复使用。
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:0---24位字符
【配置项基值】:12位字符
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies
\PasswordPolicy
【检查规则】:大于等于配置项基值
【配置项标识】:CGDCC-Win7-0013
【配置项名称】:口令复杂性要求
【配置项描述】:此配置用于对口令的复杂性进行规定要求。如启用该项配置则口令必须满足以下要求:1、不能包含用户名中超过两个连续字符部分。2、口令中需要包含以下字符中的四种:1)英文大写字母;2)英文小写字母;3)0-9;4)非字母字符(如!、#、%)。
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:启用、禁用和未配置
【配置项基值】:启用
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies
\PasswordPolicy
【检查规则】:等于配置项基值
【配置项标识】:CGDCC-Win7-0014
【配置项名称】:口令最长使用期限
【配置项描述】:该配置指定了口令过期之前的有效期天数,用来强制用户定期修改口令。该取值必须大于口令最短使用期限取值。取值范围在0-999day之间,0代表永远不过期。
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:0-999day
【配置项基值】:90day
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies
\PasswordPolicy
【检查规则】:小于等于配置项基值
【配置项标识】:CGDCC-Win7-0015
【配置项名称】:口令最短使用期限
【配置项描述】:该配置指定用户口令保持有效的最短天数,可用来防止用户通过更改口令然后又将口令改回,从而绕过"口令最长使用期限"。其取值必须小于口令最长使用期限值,取值范围在1-998day之间,0代表口令可以立即更改。
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:0-998day
【配置项基值】:1day
【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies
\PasswordPolicy
【检查规则】:大于等于配置项基值
【配置项标识】:CGDCC-Win7-0016
【配置项名称】:更改口令时不存储LAN管理器哈希值
【配置项描述】:此配置确定在更改口令时是否为新口令存储LAN管理器(LM)哈希值。LM哈希的加密性相对较弱的DES密钥和算法,易于受攻击。由于LM哈希存储在本地计算机上的安全数据库中,因此,一旦安全数据库受到攻击,口令便会泄漏。
【配置项组别】:口令管理
【安全级别】:严重
【取值范围】:启用、禁用和未配置
【配置项基值】:启用
【赋值路径】:HKLM\System\CurrentControlSet\Control\Lsa\NoLMHashComputerConfiguration
\WindowsSettings\SecuritySettings\LocalPolicies\SecurityOptions
【检查规则】:等于配置项基值
延伸阅读
更多内容 可以政务计算机终端核心配置规范.进一步学习