ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【等保测评】服务器——Windows server 2012 R2 [打印本页]

---

作者: 梦见你的名字    时间: 2024-9-10 16:37
标题: 【等保测评】服务器——Windows server 2012 R2

---

Windows服务器安全盘算环境测评
测评对象：Windows server 2012 R2
身份辨别

（高风险）应对登录的用户进行身份标识和辨别，身份标识具有唯一性，身份辨别信息具有复杂度要求并定期更换。
核查用户是否需要输入用户名和暗码才能登录。
通过win+R（运行）输入netplwiz命令，查看是否勾选“要利用本盘算机，用户必须输入用户名和暗码”。

用户登录时需要输入用户名和暗码。
核查Windows的默认用户名是否具有唯一性。
运行中输入lusrmgr.msc，查看有哪些用户，体系默认用户adminstrator和Guest，Guest默认禁用，administrator不存在默认口令。

Windows用户名具有唯一性。
实验利用空口令登录。
无法利用空口令登录。
核查暗码策略设置是否公道。
通过在运行中输入secpol.msc命令–》账户策略中的暗码策略，查看暗码复杂度是否开启，暗码复杂度策略等信息，不适用就是未启用。

不符合，效果应为：

（高风险）应具有登录失败处置惩罚功能，应配置并启用结束会话、限制非法登录次数和当登录毗连超时主动退出等相关步伐。
查看账户锁定时间和账户锁定阈值
通过在运行中输入secpol.msc命令–》账户策略中的账户锁定策略，查看登录失败处置惩罚功能是否开启，登录失败策略等信息，不适用就是未启用。

不符合，效果应设置为：

核查登录毗连超时是否主动退出，通过控制面板–》表面–》显示–》屏幕保护步伐设置 查看是否启用了屏保。

不符合，未启用长途登录毗连超时主动退出的功能。
（高风险）当进行长途管理时，应采取须要步伐防止辨别信息在网络传输过程中被窃听。
假如是当地管理成KVM等硬件管理方式，此要求默认满足。
假如采取长途管理，则需采取带有加密管理的长途管理方式。
通过输入gpedit.msc–》管理模板–》Windows组件–》长途桌面服务–》长途桌面会话主机–》安全

不符合，长途运维需采取加密的RDP协议。
（高风险）应采取口令、暗码技能、生物技能等两种或两种以上组合的辨别技能对用户进行身份辨别， 且此中一种辨别技能至少应利用暗码技能来实现。
一般此项经访谈即可，大部分主机此项不符合。
访问控制

应对登录的用户分配账户和权限。
访问紧张文件例如体系盘的Program文件夹，右键属性–》安全查看各个用户的权限分配是否公道，一般默认公道。

各用户具有最小脚色权限且分别登录。
不存在匿名用户，默认用户账号只能由管理员登录。
ps：测评效果和测评方式是书上提供的。
（高风险）应重定名或删除默认账户，修改默认账户的默认口令。
通过运行输入lusrmgr.msc命令，查看有哪些用户，是否存在默认用户，默认账户是否禁用。

已修改账户的默认口令，已禁用guest账户。
不符合，Windows操纵体系的默认账户Administrator应该被禁用或重定名。
应及时删除或停用多余的、过期的账户，避免共享账户的存在。
了解各个账户用途，核查账户是否属于多余的、过期的或共享账户名的。
通过运行输入lusrmgr.msc命令，查看当地用户和组。

不存在多余的账户和测试时利用的过期账户。
不存在多部分、多人共享账户的情况。
应授予管理用户所需的最小权限，实现管理用户的权限分离。
通过输入secpol.msc–》当地策略–》用户权限分配 ：查看用户权限是否分配公道，一般都是默认。重要留意管理审核和安整日志是否只有特定的人员有权限。

不符合，未设置了体系管理员、安全员、审计员脚色，并根据管理用户的脚色分配权限，实现了管理用户的权限分离。未仅授予管理用户需要的最小权限，脚色的权限之间相互制约。
（高风险）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。
询问体系管理员，了解哪些用户能够配置访问控制策略。
在windows主机中，授权主体一般是管理员。
查看重点目次的权限配置，了解是否依据安全策略配置访问规则。
验证平凡用户是否对访问控制策略具有操纵权限。
访问控制的粒度应达到主体为用户级或进程级，客体为文件或数据库表级。
查看紧张文件或目次的访问控制权限设置。
Windows体系此项默认符合。
应对紧张主体和客体设置安全标记，并控制主体对有安全标记的信息资源的访问。
查看操纵体系功能手册或相关文档，询问管理员是否采取敏感标记，是如何配置的。
Windows体系此项根本不符合，Windows自己的访问控制功能无法满足本项要求，需要借助第三方软件实现。
安全审计

（高风险）应启用安全审计功能，审计覆盖到每个用户，对紧张的用户行为和紧张安全事件进行审计。
查看体系是否开启了安全审计功能。
通过输入secpol.msc命令–》当地策略–》审核策略，查看其安全设置是否有成功、失败，如没有即未开启相关功能的审计功能。

不符合，效果应为

询问体系管理员并查看是否利用了第三方审计工具或体系。
摆设了第三方审计工具，能够实现对用户的全覆盖(重要针用户操纵行为进行审计)。
审计纪录应包罗事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
查看审计纪录是否包含要求的信息。
通过输入eventvwr.msc–》Windows日志查看

Windows审计纪录默认满足要求，若利用第三方审计工具，则查抄审计工具的纪录是否满足。
（高风险）应对审计纪录进行保护，定期备份（异地备份），避免受到未预期的删除、修改或覆盖等。
假如日志数据是在当地保存的，则核查审计纪录备份周期、有无异地备份。
输入eventvwr.msc–》Windows日志–》应用步伐–》属性

访谈管理员是否对于体系日志备份，备份策略，查看备份纪录。
存储目次、周期和相关策略等设置公道即符合。
假如摆设了日志服务器，且审计策略设置公道，则符合。
应对审计进程进行保护，防止未经授权的中断。
访谈体系管理员，了解是否有第三方对审计进程采取监控和保护步伐。
查看是否只有体系审计员或体系审计员地点的用户组具有“管理审核和安整日志”权限。
通过输入secpol.msc–》当地策略–》用户权限分配，查看“管理审核和安整日志”策略项是否包含了与审计无关的用户组（默认符合）

不符合，非审计人员不能登录和操纵日志。由专人负责审计日志的管理。
入侵防范

应遵照最小安装的原则，仅安装需要的组件和应用步伐。
核查并访谈管理员是否存在多余的组件
通过在运行中输入dcomcnfg-》组件服务-》盘算机-》我的电脑

核查并访谈是否装有多余的服务
运行-》appwiz.cpl

未安装非须要的组件。未安装非须要的应用步伐。
（高风险）应关闭不需要的体系服务、默认共享和高危端口。
查看体系服务。
通过运行–》services.msc，查看体系服务，查看多余服务例如lerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。

查看监听端口。
通过运行–》cmd–》netstat -an，查看高危端口开启情况（例如135,137,138,139,445,3389等）

查看默认共享
通过运行–》cmd–》输入net share，查看共享开启情况

查看主机防火墙策略
通过运行–》cmd–》输入firewall.cpl，查看主机防火墙策略

点击高级设置，查看收支站规则，是否克制高危端口高危服务。

不符合，开启了135高危端口和默认共享
（高风险）应通过设定终端接入方式或网络地点范围对通过网络进行管理的管理终端进行限制。
查看主机防火墙对登录终端接入地点的限制。
运行-》firewall.cpl-》高级设置-》入站规则-》长途桌面-》用户模式（Tcp-In）-》作用域。

查看IP筛选器对登录终端接入地点的限制
通过运行-》gpeditmsc-》当地盘算机策略-》盘算机配置-》Windows设置-》安全设置-》IP安全策略

预期效果：
已通过主机防火墙设置访问控制规则。
已通过网络防火墙、堡垒机、IP地点段进行接入地点限制。
应提供数据有效性查验功能，保证通过人机接口输入或通过通讯接口输入的内容符合体系设定要求。
此项不适用主机，用于应用测评中。
（高风险）应能发现可能存在的已知漏洞，并在颠末充实测试评估后，及时修补漏洞。
通过访谈管理员是否有做过漏洞扫描，是否定期，查看漏扫陈诉。
通过运行–》appwiz.cpl–》查看已安装更新，查看补丁是否有更新，是否为最新。

不符合，应对操纵体系补丁进行测试和安装，安装的补丁为较新的稳固版本。
应能够检测到对紧张节点进行入侵的行为，并在发生严重入侵事件时提供报警。
访谈体系管理员，查看拓扑图。
恶意代码防范

（高风险）应采取免受恶意代码攻击的技能步伐或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。
询问管理员。
可信验证

可基于可信根对边界设备的体系引导步伐、体系步伐、紧张配置参数和边界防护应用步伐等进行可信验证，并在应用步伐的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证效果形成审计纪录送至安全管理中心。
运行输入tpm.msc查看是否开启tpm可信验证。

设备支持可信验证，但是要满足相关要求需要配合相关设备。
测评常用命令

• netplwiz：这是“网络暗码”的缩写，它是一个Windows实用步伐，用于管理用户账户的暗码属性，例如，您可以利用它来要求在登录时输入用户名和暗码。
  
• lusrmgr.msc：这是“当地用户和组管理器”的缩写，它是一个Microsoft Management Console (MMC) 管理单元，用于管理当地用户账户和组。
  
• secpol.msc：这是“安全策略”的缩写，它答应管理员查看和修改当地或长途体系的安全策略。
  
• eventvwr.msc：这是“事件查看器”的缩写，它是一个用于查看、搜索和分析事件日志（如应用步伐日志、安整日志和体系日志）的工具。
  
• gpedit.msc：这是“组策略编辑器”的缩写，它是一个用于管理组策略设置的工具，这些设置可以应用于当地盘算机或Active Directory中的用户和盘算机。
  
• services.msc：这是“服务”的缩写，它答应管理员查看和管理体系服务的状态，包罗启动、克制、停息和规复服务。
  
• cmd：这是命令提示符，一个用于执行命令行指令的步伐。
  
  
  
  • netstat -an：这个命令用于显示活动的TCP毗连、盘算机监听的端口、以太网统计等网络相关信息。
    
  • net share：这个命令用于显示或删除网络共享，也可以添加新的网络共享。
    
  • firewall.cpl：这是控制面板中的“Windows防火墙”的快捷方式，用于配置防火墙规则。
    
  • appwiz.cpl：这是控制面板中的“步伐和功能”的快捷方式，用于安装、卸载和管理已安装的步伐。
    
  • netplwiz：这与第一个条目重复，用于管理用户账户的登录属性。
    
  
  

---

免费的馈赠往往标明了无形的价格。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4