Windows服务器-记录表
此次记录表按照服务器等保三级通用要求而编写,适用于Windows Server 2008 R2 Enterprise。
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
结果记录:经核查,在某某服务器上通过win+R(运行)输入netplwiz命令,显示已勾选“要使用本计算机,用户必须输入用户名和密码”;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Administrator、caozuo、Guest、shenji等账户,且每个账户身份标识具有唯一性,Guest账户默认禁用;右键点击Adminstrator查看属性,仅勾选“用户下次登录时须更改密码(M )”;通过win+R(运行)输入secpol.msc命令,点击密码策略,显示:密码必须符合复杂性要求:已禁用;密码长度最小值:0个字符;密码最短使用期限:0天;密码最长使用期限:42天;强制密码历史:0个记住的密码;用可还原的加密来存储密码:已禁用。
符合情况:部分符合(0.5分)
整改建议:建议通过win+R(运行)输入secpol.msc命令,点击密码策略,配置:密码必须符合复杂性要求:已启用;密码长度最小值:8个字符;密码最短使用期限:1天;密码最长使用期限:90天;强制密码历史:5个记住的密码;用可还原的加密来存储密码:已禁用。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc命令,点击账户锁定策略,显示:账户锁定时间:不适用;账户锁定阈值:0次无效登录;重置账户锁定计数器:不适用;通过控制面板--》外观--》显示--》屏幕保护程序设置,显示为无。
符合情况:不符合(0分)
整改建议:建议通过控制面板--》外观--》显示--》屏幕保护程序设置,勾选“在恢复时显示登录屏幕”,并设置相应等待时间;通过win+R(运行)输入secpol.msc命令,点击账户锁定策略,配置:账户锁定时间:30分钟;账户锁定阈值:6次无效登录;重置账户锁定计数器:30分钟之后。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
结果记录:经核查,在某某服务器上通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全,显示远程(RDP)连接要求使用指定的安全层:未配置;通过输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接,显示设置活动但空闲的远程桌面服务会话的时间限制:未配置。
符合情况:不符合(0分)
整改建议:建议通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全, 启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层;通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》连接, 启用“显示设置活动但空闲的远程桌面服务会话的时间限制”,并配置相应空闲会话限制时间。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
结果记录:经核查,某某服务器仅采用用户名+口令方式对登录用户进行身份鉴别,未采用两种或两种以上组合的鉴别技术对用户进行身份鉴别。
符合情况:不符合(0分)
整改建议:建议采用两种或两种以上组合的鉴别技术对登录用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现,实现增强身份鉴别的安全力度。
访问控制
a)应对登录的用户分配账户和权限;
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配 ,显示已对用户组权限进行合理分配;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示已为登录用户分配:Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户);访问C盘的Program文件夹,右键属性--》安全,显示已对不同的组或用户名进行合理授权。
符合情况:符合(1分)
整改建议:无。
b)应重命名或删除默认账户,修改默认账户的默认口令;
结果记录:经核查,在某某服务器上通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示默认用户Adminstrator和Guest,Guest默认禁用,且其默认口令已修改。
符合情况:部分符合(0.5分)
整改建议:建议重命名Administrator默认账户名,防止爆破攻击及用户名枚举攻击。
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
结果记录:经核查,在某某服务器上通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户),且不同账户对应不同的管理用户,不存在多余的、过期的以及共享的账户。
符合情况:符合(1分)
整改建议:无。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离;
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配 ,显示已对用户组权限进行合理分配;通过win+R(运行)输入lusrmgr.msc命令,点击用户,显示存在Adminstrator(系统管理账户)、caozuo(操作员账户)、shenji(审计员账户),且不同账户对应不同的管理用户,实现管理用户的权限分离。
符合情况:符合(1分)
整改建议:无。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
结果记录:经核查,某某服务器由授权主体Adminstrator(系统管理账户)配置访问控制策略,规定主体(如:caozuo、shenji等管理账户)对客体(如:系统文件及管理审核和安全日志等功能等)的访问规则。
符合情况:符合(1分)
整改建议:无。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
结果记录:经核查,某某服务器访问控制粒度达到主体为用户级或进程级(如caozuo、shenji等管理账户和一些软件进程等),客体为文件或功能级(如每个磁盘的一些文件资料和一些功能权限等)。
符合情况:符合(1分)
整改建议:无。
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。
结果记录:经核查,某某服务器仅基于访问控制规则对重要信息资源进行访问控制,未基于安全标记对重要信息资源进行访问控制。
符合情况:不符合(0分)
整改建议:建议基于安全标记对一些非常重要的信息资源进行访问控制,实现对重要信息资源的强制访问控制策略。
安全审计
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc命令--》本地策略--》审核策略,显示:审核策略更改:无审核;审核登录事件:无审核;审核对象访问:无审核;审核进程跟踪:无审核;审核目录服务访问:无审核;审核特权使用:无审核;审核系统事件:无审核;审核账户登录事件:无审核;审核账户管理:无审核;审计功能配置不完善,未能保证对重要的用户行为和重要安全事件等进行审计。
符合情况:部分符合(0.5分)
整改建议:建议通过win+R(运行)输入secpol.msc命令--》本地策略--》审核策略,配置:审核策略更改:成功,失败;审核登录事件:成功,失败;审核对象访问:成功,失败;审核进程跟踪:成功,失败;审核目录服务访问:成功,失败;审核特权使用:成功,失败;审核系统事件:成功,失败;审核账户登录事件:成功,失败;审核账户管理:成功,失败。
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
结果记录:经核查,在某某服务器上通过win+R(运行)输入eventvwr.msc--》Windows日志,显示应用程序日志包括:级别、日期和时间、来源、事件ID、任务类型;安全日志包括:关键字、日期和时间、来源、事件ID、任务类型;系统日志包括:级别、日期和时间、来源、事件ID、任务类型。
符合情况:符合(1分)
整改建议:无。
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
结果记录:经核查,在某某服务器上通过win+R(运行)输入eventvwr.msc--》Windows日志--》应用程序--安全--系统--》属性,显示应用程序--安全--系统日志均存储于%SystemRoot\%System32\Winevt\Logs\目录,日志最大大小值为20480KB,已勾选“按需要覆盖事件(旧事件优先)”;通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配,显示“管理审核和安全日志”安全设置仅为Administrators组;审计时间大于180天;但未对审计数据进行备份。
符合情况:部分符合(0.5分)
整改建议:建议定期对审计数据进行备份,防止审计数据丢失。
d)应对审计进程进行保护,防止未经授权的中断。
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》用户权限分配,显示“管理审核和安全日志”安全设置仅为Administrators组。
符合情况:符合(1分)
整改建议:无。
入侵防范
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
结果记录:经核查,在某某服务器上通过win+R(运行)输入dcomcnfg命令-》组件服务-》计算机-》我的电脑-》COM+应用程序,显示仅安装COM+Explorer、COM+Utilities、SystemApplication等必要组件;通过win+R(运行)输入appwiz.cpl命令,显示安装的应用程序,包括:某某卫士、火绒安全软件、驱动精灵等。
符合情况:部分符合(0.5分)
整改建议:建议卸载驱动精灵等第三方存在安全风险的应用程序。
b)应关闭不需要的系统服务、默认共享和高危端口;
结果记录:经核查,在某某服务器上通过win+R(运行)输入services.msc,查看系统服务,未发现开启例如lerter、Remote Registry Servicce Messsenger、Task Scheduler、telnet等多余服务;通过运行--》cmd--》输入net share,查看共享开启情况,显示开启C$、D$、E$、IPC$、ADMIN$等共享服务;通过运行--》cmd--》netstat -an,查看高危端口开启情况,显示开启135、445、3389等高危端口。
符合情况:不符合(0分)
整改建议:建议关闭C$、D$、E$、IPC$、ADMIN$等共享服务,禁用135、445、3389等高危端口。
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
结果记录:经核查,在某某服务器上通过win+R(运行)输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-In)-》作用域,显示未对接入IP地址进行限制,且未开启本地防火墙。
符合情况:不符合(0分)
整改建议:建议开启本地防火墙功能,并通过win+R(运行)输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-In)-》作用域,配置:对接入IP地址进行限制,配置白名单策略。
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
结果记录:依据GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》,此测评项针对的测评对象不包括服务器,因此该测评项不适用。
符合情况:不适用
整改建议:无。
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
结果记录:经核查,未定期对某某服务器进行漏洞扫描、渗透测试等测试评估。
符合情况:不符合(0分)
整改建议:建议定期进行漏洞扫描、渗透测试等技术检测,对可能存在的已知漏洞、逻辑漏洞,在重复测试评估后及时进行修补,降低安全隐患。
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
结果记录:经核查,某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件,对发生的入侵行为进行检测,但未能实现实时报警功能。
符合情况:部分符合(0.5分)
整改建议:建议在发生入侵事件时,通过短信或者邮寄等方式提供报警,实现实时报警功能。
恶意代码防范
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
结果记录:经核查,某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件,对恶意代码攻击进行防护;火绒安全软件版本号为5.0.22.0,病毒库为:2019-09-02,不是最新版本;某某卫士版本号为:企业版2.0.1.499,授权模块为进程保护,USB外设保护。
符合情况:部分符合(0.5分)
整改建议:建议将火绒安全软件等防护软件的版本及病毒库更新至最新版本。
可信验证
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
结果记录:经核查,某某服务器未实现基于可信根的可信验证。
符合情况:不符合(0分)
整改建议:建议基于可信根对服务器的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。
数据完整性
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
结果记录:经核查,在某某服务器上通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全,显示远程(RDP)连接要求使用指定的安全层:未配置,未能保证重要数据在传输过程中的完整性。
符合情况:不符合(0分)
整改建议:建议通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全, 启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层,保证重要数据在传输过程中的完整性。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
结果记录:经核查,某某服务器鉴别数据存储于Windows\System32\config\SAM文件中,使用NTLM Hash算法加密存储,但未能保证鉴别数据存储过程中的完整性。
符合情况:不符合(0分)
整改建议:建议采用能保证鉴别数据在存储过程中完整性的加密方式对鉴别数据进行加密存储。
数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
结果记录:经核查,在某某服务器上通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全,显示远程(RDP)连接要求使用指定的安全层:未配置,未能保证重要数据在传输过程中的保密性。
符合情况:不符合(0分)
整改建议:建议通过win+R(运行)输入gpedit.msc--》管理模板--》Windows组件--》远程桌面服务--》远程桌面会话主机--》安全, 启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层,保证重要数据在传输过程中的保密性。
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
结果记录:经核查,某某服务器鉴别信息存储于Windows\System32\config\SAM文件中,已使用NTLM Hash算法加密存储。
符合情况:符合(1分)
整改建议:无。
数据备份恢复
a)应提供重要数据的本地数据备份与恢复功能;
结果记录:经核查,未定期对某某服务器重要数据进行本地备份。
符合情况:不符合(0分)
整改建议:建议定期对重要数据进行本地备份。
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
结果记录:经核查,未对某某服务器重要数据进行异地实时备份。
符合情况:不符合(0分)
整改建议:建议对重要数据进行异地实时备份。
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
结果记录:经核查,某某服务器未采用冗余部署,不能保证的高可用性。
符合情况:不符合(0分)
整改建议:建议采用冗余方式进行部署,保证系统的高可用性。
剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》安全选项,显示“交互式登录:不显示最后的用户名”策略为已启用状态,能保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
符合情况:符合(1分)
整改建议:无。
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
结果记录:经核查,在某某服务器上通过win+R(运行)输入secpol.msc--》本地策略--》安全选项,显示“关机:清除虚拟内存页面文件”策略为已禁用状态,未能保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
符合情况:不符合(0分)
整改建议:建议通过win+R(运行)输入secpol.msc--》本地策略--》安全选项,显示“关机:清除虚拟内存页面文件”配置为已启用状态,保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。