等保测评-Windows服务器

安全计算环境

身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

win+r		//运行
secpol.msc		//本地安全策略，点击账户策略中的密码策略
注意修改的时候确保当前密码是满足条件的

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

secpol.msc		//本地安全策略，点击账户策略中的密码锁定策略
控制面板→所有控制面板项→显示→更改屏幕保护程序		//将查看方式改为小图标即可查看所有控制面板项

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

gpedit.msc 		//本地计算机策略→计算机配置→管理模板→windows组件→远程桌面服务→远程桌面会话主机→安全→远程（RDP）连接要求使用指定的安全层

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

登录服务器使用用户名密码方式以外是否需要另一种验证方式，一般默认不符合

访问控制

a)应对登录的用户分配账户和权限

lusrmgr.msc		//查看服务器用户

b)应重命名或删除默认账户，修改默认账户的默认口令

同上，administrator管理员需要重命名，否则部分符合

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在

本地用户和组中不用的账户需要禁用或者删除，此处guest账户为已禁用状态

d)应授予管理用户所需的最小权限，实现管理用户的权限分离

需创建安全员、审计员账户，进行三权分立

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则

默认符合

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问

Windows服务器做不到安全标记，默认不符合

安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

secpol.msc		//本地策略→审核策略，将安全设置全部设置为成功、失败

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

eventvwr.msc		//打开事件查看器→Windows日志→应用程序、安全、设置、系统

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

需要在日志审计中添加资产，或配置日志服务器定期上传

d)应对审计进程进行保护，防止未经授权的中断

secpol.msc		//本地安全策略→本地策略→用户权限分配，此处若前面实现了三权分立，这里应该是审计员，否则就是administrator

入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序

dcomcnfg		//组件服务，不能有多余的组件
appwiz.cpl		//程序和功能，不能多余的应用程序

b)应关闭不需要的系统服务、默认共享和高危端口

services.msc		//服务，server、Remote Registry、Messenger等服务应该都禁用
netstat -an		//查看端口，windows的135、445、139等高危端口应关闭
net share		//查看共享，应关闭默认共享

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

firewall.cpl		//安全设置→高级安全Windows防火墙→入站规则→远程桌面-用户模式(TCP-In)属性→远程用户
首先是需要开启防火墙，若未开启则不符合，然后需要设置白名单

d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求

该项测评对象为应用系统，不适用

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞

通过漏扫软件或设备进行扫描

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警

是否安装可识别入侵的杀毒软件，火绒、360安全卫士等

恶意代码防范

a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断

是否安装可防恶意代码的杀毒软件，火绒、360安全卫士等

可信验证

a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

可信验证需要从芯片等硬件层面进行，在金融行业少数能实现，默认不符合

数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

gpedit.msc		//本地计算机策略→计算机配置→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→安全→启用远程连接要求使用指定的安全层

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

Windows服务器操作系统鉴别数据采用 NT LAN Manager（NTLM）哈希算法对用户口令进行加密存储。

数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

同数据完整性的a

b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

Windows服务器操作系统鉴别数据采用 NT LAN Manager（NTLM）哈希算法对用户口令进行加密存储。

微信公众号

扫一扫关注CatalyzeSec公众号

我们一起来从零开始学习网络安全

加入我们的星球，我们能提供：

Fofa永久高级会员

常态化更新最新的漏洞POC/EXP

常态化更新未公开、半公开漏洞POC

常态化更新优质外网打点、内网渗透工具

常态化更新安全资讯

开放交流环境，解决成员问题

https://t.zsxq.com/18Fq7QNgv