Windows等级保护笔记

身份鉴别(S3)

a)应对登录操作系统的用户和数据库用户进行身份标识和鉴别;

自动登陆检查(win2000、03、xp):

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\ Winlogon\AutoAdminLogon,将AutoAdminLogon 的值设置为0

b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;

本地安全策略:

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→密码策略,密码必须符合复杂性要求应设置为已启用;密码长度最小值应设置为8位,密码最长使用期限应设置为90天。

1
2
3
4
5
6
密码必须符合复杂性要求:已禁用
密码长度最小值:0个字符
密码最短使用期限:0天
密码最长使用期限:42天
强制密码历史:0个记住的密码
用可还原的加密来储存密码:已禁用

当前用户口令

要求:

  • 8及位以上,由数字、字母或特殊符号中的两种。
  • 是否定期更换。

c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;

帐号锁定策略:

开始→程序→管理工具→本地安全策略→安全设置→帐号策略→账户锁定策略,帐户锁定时间应设置为30 分钟;帐户锁定阀值应设置为5次。

1
2
3
账户锁定时间:不适用
账户锁定阈值:0次无效登陆
重置账户锁定计数器:不适用

d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;

远程管理方式

建议不要使用FTP、Telnet 等明文校验协议的远程管理方式,而应该采用加密的远程管理方式。
sftp,https,ssh

远程桌面

远程RDP协议默认不符合

e)应为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;

仅单一账户的,询问是否多人使用,是否存在账户共享。

f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。

身份鉴别

采用用户名/口令、挑战应答、生物识别技术、数字证书等身份鉴别技术中的任意两种。


访问控制(S3)

a)应启用访问控制功能,依据安全策略控制用户对资源的访问;

默认共享:

1
2
3
4
5
6
7
8
9
10
C:\Documents and Settings\Administrator>net share

共享名 资源 注释

----------------------------------------------------------
IPC$ 远程 IPC
ADMIN$ C:\WINDOWS 远程管理
D$ D:\ 默认共享
C$ C:\ 默认共享
命令成功完成。

1)关闭共享服务:开始→程序→管理工具→服务中,停止并禁用或者改为手动server项服务。
2)关闭共享服务的网络连接:开始→控制面板→网络连接→本地连接,右键属性,不勾选Microsoft 网络客户端
一种方法即可

共享文件的访问控制:

打开开始→所有程序→管理工具→计算机管理→系统工具→共享文件夹→共享窗口,关闭不必要的共享,对需要共享的文件,设置访问权限。

重要数据的访问控制:

进入到提供应用服务的文件、目录,对该文件、目录点击右键\属性,打开属性页的安全选项卡,对用户“Users、EveryOne”的权限进行设置。

b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;

用户权限检查:

开始→所有程序→管理工具→计算机管理→系统工具→本地用户和组→用户(组)窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。

c)应实现操作系统和数据库系统特权用户的权限分离;

数据库用户检查:

修改数据库帐户的权限,数据库帐户仅能登录数据库使用。

d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;

修改Administrator账户名、密码

禁用guest账号:net user guest

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
PS C:\Users\zxw> net user guest
用户名 Guest
全名
注释 供来宾访问计算机或访问域的内置帐户
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 No
帐户到期 从不

上次设置密码 2018/6/20 9:41:33
密码到期 从不
密码可更改 2018/6/20 9:41:33
需要密码 No
用户可以更改密码 No

允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 从不

可允许的登录小时数 All

本地组成员 Guests
全局组成员 None
命令成功完成。

e)应及时删除多余的、过期的帐户,避免共享帐户的存在;

删除多余账号

系统不应该存在不经常使用的帐号, 另外系统中也不应该保留例如IUSR_FAIRY-TAIL、IUSR_SJDD、IWAM_SJDD、IWAM_FAIRY-TAIL这样的安装应用软件默认的帐号。

f)应对重要信息资源设置敏感标记;

g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。


安全审计(G3)

a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;

window2008默认开启审核功能。

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

系统日志审核策略

进入控制面板→管理工具→本地安全策略,在本地策略→审核策略
设置相应的审核,推荐的审核是:

1
2
3
4
5
6
7
8
9
审核策略更改:成功
审核登录事件:成功, 失败
审核对象访问:无审核
审核过程追踪:无审核
审核目录服务访问:无审核
审核特权使用:无审核
审核系统事件:无审核
审核帐户登录事件:成功, 失败
审核帐户管理:成功, 失败

c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;

审计记录列名。

d)应能够根据记录数据进行分析,并生成审计报表;

e)应保护审计进程,避免受到未预期的中断;

f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。

系统日志存储

开始→运行→eventvwr→或管理工具→事件察看器→系统→右键'属性',最大日志文件大小:512KB;当达到最大的日志大小时:按需要改写事件。

最早的日志时间。


剩余信息保护(S3)

a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;

鉴别信息保护

开始→控制面板→管理工具→本地安全策略→安全设置→本地策略→安全选项→交互式登录:不显示上次的用户名,右键点击属性,设置为已禁用

b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。

存储文件剩余信息保护

为建立剩余信息保护制度,保证系统内的文件、目录和数据库记录等资源所在存储空间的安全,在被释放或再分配给其他用户前得到完全清除,应对硬盘进行低格三遍。


入侵防范(G3)

a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;

攻击事件的记录情况

安装入侵防范系统,对信息系统状态进行监控,设置报警阀值。

b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;

系统完整性及恢复

安装入侵防范系统和备份恢复系统,对信息系统状态进行监控,定期对系统进行备份,并能够提供恢复功能。

c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。

操作系统补丁升级情况

1)下载补丁程序并在实验机上充分测试
2)安装补丁文件

检查系统开启服务

1)与管理员逐一确认开启服务的必要性,并在实验机上进行充分测试。
2)将不需要的服务禁用或设置为手动
控制面板→管理工具→服务→选择需要更改的服务属性→启动类型
下面列举了容易造成安全隐患的服务,应根据实际的应用情况,如果不需
要可以设置为已禁止或是手动:

1
2
3
4
5
Alerter,Clipbook,Computer Browser,Fax Service,Internet Connection
Sharing,Indexing Service,Messenger,NetMeeting Remote Desktop Sharing,
Network DDE,Network DDE DSDM,Remote Access Connection Manager,
Routing and Remote Access,Simple Mail Transport Protocol(SMTP),Task
Scheduler,Telnet,TCP/IP NetBIOS Helper

检查系统开放的端口

1)与管理员逐一确定端口开启的必要性,并在实验机上进行充分测试
2)可以利用TCP/IP 筛选功能限制服务器的端口(win2000、03、xp)。具体设置如下:
打开网络连接,然后双击本地连接,弹出本地连接状态对话框。
点击属性按钮,弹出本地连接属性,选择此连接使用下列项目中的Internet 协议(TCP/IP),然后点击属性按钮。
在弹出的Internet 协议(TCP/IP)对话框中点击高级按钮。在弹出的高级TCP/IP 设置中,选择选项标签,选中TCP/IP 筛选,然后点击属性按钮。
在弹出的TCP/IP 筛选对话框里选择启用TCP/IP 筛选的复选框,然后选择TCP 端口上的只允许
添加或删除TCP 或UDP 或IP 的端口,添加或者删除完毕,重启计算机。

检查系统安装的软件情况

不安装与业务无关的软件

检查多余Windows组件

卸载无关的插件


恶意代码防范(G3)

a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;

防恶意代码软件名称,版本,病毒库版本,更新时间。

b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;

c)应支持防恶意代码的统一管理。

病毒服务器,需要企业版防恶意代码软件。


资源控制(A3)

a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;

拒绝网络访问的用户

打开开始→所有程序→管理工具→本地安全设置→本地策略→用户权利指派(用户权限分配)窗口,对右侧窗口中的拒绝从网络访问这台计算机安全项进行检查,并记录该安全项设置的用户。

拒绝本地登录的用户

打开开始→所有程序→管理工具→本地安全设置→本地策略→用户权利指派(用户权限分配)窗口,对右侧窗口中的拒绝本地登录安全项进行检查,并记录该安全项设置的用户

b)应根据安全策略设置登录终端的操作超时锁定;

屏幕保护程序

系统应开启屏幕保护程序,时间应设置10分钟,再恢复时应该使用密码。

检查系统是否自动注销用户

开始→控制面板→管理工具→本地安全策略→安全设置→本地策略→安全选项→Microsoft 网络服务器:当登录时间用完时自动注销用户,右键点击属性,设置为“已启用”
在 Windows Vista 及更高版本操作系统上的默认设置: 启用。
在 Windows XP 上的默认设置: 已禁用

c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;

性能监事情况检查

删除多余的帐号或降低用户权限

d)应限制单个用户对系统资源的最大或最小使用限度;

查看用户资源使用限度

e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。

服务器记录CPU、内存、硬盘使用率。


其他项

系统时间

系统时钟与实际时钟相差很大,不利于入侵检测和故障检查

系统硬件冗余检查

服务器应配置负载均衡、磁盘冗余阵列RAID 或双机热备机制等。

检查系统是否允许未登录前关机

打开开始→控制面板→管理工具→本地安全策略→安全设置→本地策略→安全选项→关机:允许在未登录前关机,右键点击属性,设置为已禁用

注册表关键值

执行以下命令:Regedit,打开注册表,查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中设置启动键值。

系统备份

对重要的数据应进行定期备份。

文件系统安全性

打开开始→所有程序→管理工具→计算机管理→存储→磁盘管理窗口,对窗口右侧的磁盘信息栏目进行查看,对系统的分区及各个分区的文件系统格式进行记录