等保测评2.0:Windows⾝份鉴别
⼀、说明
本篇⽂章主要说⼀说windows系统中⾝份鉴别控制点中相关测评项的相关内容和理解,a、b测评项都⽐较基础和简单(但很繁琐),⽽c、d测评项则涉及到⼀点点密码⽅⾯的知识。
⼆、测评项
a)应对登录的⽤户进⾏⾝份标识和鉴别,⾝份标识具有唯⼀性,⾝份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施;
c)当进⾏远程管理时,应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听;
d)应采⽤⼝令、密码技术、⽣物技术等两种或两种以上组合的鉴别技术对⽤户进⾏⾝份鉴别,且其中⼀种鉴别技术⾄
少应使⽤密码技术来实现。
三、测评项a
a)应对登录的⽤户进⾏⾝份标识和鉴别,⾝份标识具有唯⼀性,⾝份鉴别信息具有复杂度要求并定期更换;
3.1. 测评项a要求1
应对登录的⽤户进⾏⾝份标识和鉴别
⾝份标识功能(⽤户名)就不⽤说了,属于windows⾃带功能。⽽对⽤户进⾏鉴别也就是登录时需要你输⼊⽤户名、⼝令的⾏为,不是强制开启的,可以在某种程度上取消掉。
针对本地登录,使⽤Win+R组合键打开运⾏框,在⾥⾯内输⼊netplwiz,则会出现⽤户账户页⾯,如下所⽰:
当我们在本机⽤户列表中,选择其中某⼀个⽤户,⽐如Administrator后,再去掉“要使⽤本计算机,⽤户必须输⼊⽤户名和密码“选项的选择后。则表⽰,下次开机登录时,将会跳过对⽤户进⾏鉴别的过程,直接以我们所选择的⽤户Administrator的⾝份登⼊电脑。
但有⼀点,并不是所有情况下对⽤户进⾏鉴别的过程都被跳过了,如切换账号、睡眠、锁定、注销这
⼏种情况后重新登录的,仍然要输⼊⽤户⼝令。所以这⾥的选项仅仅能跳过开机时对⽤户的⾝份鉴别过程(⾄少我知道的是这样)。
另外,如果某⽤户是空⼝令,那么⾃然也没法达到该要求,这就不⽤多说了。
针对“远程登录”(⽐如远程桌⾯或其他第三⽅远程管理软件),则⼀般是要看对⽅是否勾选了“记住密码”此类选项。
3.2. 测评项a要求2
⾝份标识具有唯⼀性
即⽤户名或⽤户ID不能重复,这个不⽤多说,windows⾃动实现,默认符合。
3.3. 测评项a要求3
⾝份鉴别信息具有复杂度要求
这个要从两个⽅⾯看,我个⼈觉得两个⽅⾯都符合才能算达到要求。
第⼀个⽅⾯即实际的⼝令是否具有⼀定的复杂度,也即⼝令⾄少8位,且包含⼤写字母、⼩写字母、
数字、特殊字符这四类字符种的三种,且⼝令不包含简单排列规律,如admin!@#123此类弱⼝令。
第⼆个⽅⾯即windows是否进⾏了⼝令复杂度策略的设置,强制要求⼝令具有⼀定的复杂度,也即在windows的密码策略中进⾏了设置:
我们主要关⼼的是“密码必须符合复杂性要求”、“密码长度最⼩值”、“强制密码历史”这三个选项。
“密码必须符合复杂性要求”,其具体内容如下:
从上图可以看出,启⽤了这个选项,⼝令就快要达到要求了(⼝令长度要求未达标)。
⾄于“密码长度最⼩值”,就不⽤多说了,设置为8或者8以上即可符合⼝令长度要求。
⽽“强制密码历史”这个选项,其数值代表windows会记忆n(0
五一劳动节标语简短3.4. 测评项a要求4
要求并定期更换
和⼝令复杂度⼀样,⼀个⽅⾯是看实际的⼝令更换周期。
这⾥可以通过访谈相关⼈员或者直接核查配置,我推荐第⼆种⽅法。对于简单的、不复杂的问题还是⾃⼰查配置较好,你去访谈相关⼈员,对⽅基本也不会有什么证据,或者压根就不清楚,这种情况下,访谈的结果可靠性很难有保证。
当然,访谈、核查都⽤也是可以的,对于⼝令更换周期,在cmd中使⽤如下命令即可得知上⼀次⼝令更换时间:
也就是上图中的“上次设置密码”的值,⼀般90天内有过更换即可。
另⼀⽅⾯就是查看windows的密码策略:
即上图的“密码最长使⽤期限”,⼀般设置值⼩于等于90天即可。
⾄于“密码最短使⽤期限”,指的是多少天内不能更改密码,与测评要求基本没啥关系,不⽤管。
不过对于⼝令更换策略⽽⾔,还有个地⽅需要先去看看,也就是在计算机管理-本地⽤户和组-⽤户中:
右键点击某⽤户,在弹出的右键菜单中点击属性:
如果这⾥勾选了“密码永不过期”,那么windows的密码策略中的“密码最长使⽤期限”也就失效了。
这⾥也可以通过cmd中输⼊命令的⽅式查看:
“密码到期”为“永不”,要么就是windows的密码策略中的“密码最长使⽤期限”为0,要么就是在这个⽤户的属性中勾选
了“密码永不过期”,总⽽⾔之,就是不符合要求。
如果设置了“密码最长使⽤期限”,且该⽤户未勾选“密码永不过期”,则“密码到期”就是⼀个具体的⽇期,也就是“上次设置密码”的值加上“密码最长使⽤期限”的值,得出来的⼀个时间。
3.5. 测评项a的另外⼀种情况
⼀般情况下,运维⼈员要么是通过远程桌⾯登录windows服务器,要么就是在本地登录,这两种使⽤的都是windows⾃带的验证功能,所以测评项中的“⽤户名、⼝令”指的就是windows系统中的“⽤户名、⼝令”。
如果运维⼈员通过第三⽅软件远程管理windows服务器,⽐如向⽇葵、TeamViewer等,并没有使⽤windows的验证功能,这种情况下,测评项中的“⽤户名、⼝令”可能就不仅仅是指windows服务器中的“⽤户名、⼝令”了,或许对第三⽅软件的“⽤户名、⼝令”也需要有⼀定的要求。
四、测评项b
b)应具有登录失败处理功能,应配置并启⽤结束会话、限制⾮法登录次数和当登录连接超时⾃动退出等相关措施;
4.1. 测评项b要求1
应具有登录失败处理功能,应配置并启⽤结束会话、限制⾮法登录次数(等相关措施)
这个要求⽐较好理解,即连续登录达到N次的时候,将登录账户锁定,在windows的账户锁定策略中进⾏设置:
⼀般账户锁定阈值设置⼩于等于5,锁定时间和重置时间⼤于等于30分钟即可符合要求。
注意,这个地⽅只针对本地登录或者使⽤远程桌⾯进⾏登录的情况,如果对⽅使⽤第三⽅软件进⾏远程登录,那就要那个软件上查看相关配置。
4.2. 测评项b要求2
另有变动打一字当登录连接超时⾃动退出
第十二秒故事大概⼀般设置时间限制⼩于等于30分钟即可。
4.2.1. 本地登录
对于本地登录,可以通过查看“屏幕保护程序”:
这⾥选择了“在恢复时显⽰登录屏幕”,再设置“等待”时间,即可实现超过时间限制⾃动退出的功能(不过这⾥是锁定退出,类似的还有睡眠、注销退出)。
注意,这⾥选不选择“屏幕保护程序”都不影响⾃动退出功能,“屏幕保护程序”设置为⽆的话,也只是锁定后显⽰屏上不会运⾏相关动画⽽已。
也可以查看“更改电源设置”,⽐如
也就是上⾯的多少时间后进⼊睡眠状态,进⼊睡眠状态后激活是需要输⼊⽤户名、⼝令的。
不过⼀般应该没⼈在服务器上设置这东西吧?进⼊睡眠模式后服务器⾥的进程什么的应该会停⽌运⾏的。
所以⼀般的,本地登录超时,仅查看“屏幕保护程序”就可以了。
注意,如果在“屏幕保护程序”处设置了超时,那么对于远程登录⽽⾔(⽆论使⽤远程桌⾯还是其他远程管理软件),应该也会具备效果。
即,你在设置了“屏幕保护程序”后(如15分钟),当你通过远程桌⾯登录到服务器时,在你没有设置远程登录超时的情
即,你在设置了“屏幕保护程序”后(如15分钟),当你通过远程桌⾯登录到服务器时,在你没有设置远程登录超时的情况下,超过15分钟没有动作,服务器就会开始运⾏“屏幕保护程序”了,也就是超时退出了(虽然你的⽹络连接并没有断开)。
4.2.2. 远程登录
对于“远程登录”,如果⽤的是windows⾃带的远程桌⾯,有4个地⽅可以进⾏超时设置(我也没搞明⽩windows弄这么复杂⼲嘛):
⼀、计算机配置–管理模板–window组件–远程桌⾯服务–远程桌⾯会话主机–会话时间限制
⼆、⽤户配置–管理模板–window组件–远程桌⾯服务–远程桌⾯会话主机–会话时间限制
这两个设置项基本⼀样,区别在于⼀个在计算机配置⾥,⼀个在⽤户配置中,设置项如下:
三、运⾏tsconfig.msc,右键RDP-TCP的属性
四、运⾏compmgmt.msc,或运⾏servermanager.msc,打来计算机管理或服务器管理,在⽤户的⽤户属性中,会话选项卡:
先来解释下和要求相关的两个选项:
活动会话限制(在安全策略中叫设置活动的远程桌⾯服务会话的时间限制):即,远程登录成功后,⽆论你是否操作,达到限定时间后就会断开连接。
空闲会话限制(在安全策略中叫设置活动但空闲的远程桌⾯服务会话的时间限制):即,远程登录成功后,如果你不进⾏操作的时间达到限定值,即断开连接。
⾄于“结束已断开的会话”、“达到会话限制,或者连接被中断时”这两个项,和测评项⽆关,具体含义⼤家百度下就知道了。
⼀共有四个地⽅可以设置,其优先级和适⽤范围如下:
优先级⽅⾯,⽅法⼀>⽅法⼆>⽅法三>⽅法四
适⽤范围⽅⾯,⽅法⼀、⽅法三针对所有⽤户,⽅法⼆、⽅法四针对单个⽤户
优先级⽅⾯的证据如下:
查违章对于“活动会话限制”、“空闲会话限制”这两个配置项,在计算机配置和⽤户配置中,未配置和禁⽤是⼀回事,即对这两个配置项没有进⾏任何设置,即不会覆盖⽅法三、⽅法四中的设置。
如果在计算机配置中对“活动会话限制”或“空闲会话限制”启⽤了,进⾏配置,则⽅法三处⽆法进⾏配置,直接显⽰计算机配置中的值:
但是这⾥要注意,如果这⾥不能进⾏配置,不代表就⼀定是在计算机配置中进⾏了设置,可能有其它原因。
不过在⽤户配置(⽅法⼆)中对“活动会话限制”或“空闲会话限制”启⽤并进⾏设置后,虽然仍然会覆盖⽅法三的设置,却不会造成⽅法三处⽆法进⾏配置(因为⽅法⼆是对单个⽤户,⽅法三是全局配置)。
不会造成⽅法三处⽆法进⾏配置(因为⽅法⼆是对单个⽤户,⽅法三是全局配置)。
虽然有这么多地⽅可以设置,实际测评的时候咱们要追求⼤概率事件,如果对⽅做了设置,⼀般主要是通过⽅法三,其次是通过⽅法⼀,应该没有⼈闲得蛋疼通过⽅法⼆、四单独对某个⽤户设置超时配置。
所以实际测评时,我们通过⽅法三去查看配置就可以了,⾄于⽅法⼀,主要⽤在windows2012上,因
为windows2012我不到“远程桌⾯会话主机配置”(⽅法三),那就只有去组策略⾥查看配置了。
除了使⽤远程桌⾯,被测评⽅完全可能使⽤第三⽅远程管理软件,如TeamViewer,这个时候要判断是否设置了超时,只有去第三⽅软件上⾯了(不过TeamViewer好像没这个设置功能)。
五. 测评项c
c)当进⾏远程管理时,应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听
该测评项⽐较容易理解,进⾏远程管理时,要保证数据的保密性。
所以如果被测评服务器没有连接外部⽹络,仅处于内⽹之中(也没有wifi),管理服务器的⽅式就是跑去机房进⾏本地操作的话,也就不存在什么“远程管理”,不存在什么“数据保密性”,⾃然就符合了。
如果采⽤远程管理的⽅式,则分为使⽤远程桌⾯还是第三⽅软件。
5.1. 远程桌⾯
对于使⽤远程桌⾯进⾏管理的,与测评项相关的安全性,有两个地⽅可以设置:开车转弯技巧图解
⼀、计算机配置–管理模板–window组件–远程桌⾯服务–远程桌⾯会话主机–安全
⼆、运⾏tsconfig.msc,打开远程桌⾯会话主机配置,右键RDP-TCP的属性
⾸先说⼀下,⽅法⼀的优先级⾼于⽅法⼆:
晓组织成员⽅法⼀的优先级⾼于⽅法⼆,在组策略中,对于安全层和加密级别,如果未配置或者选择禁⽤,则代表没做任何设置,也不会覆盖“远程桌⾯会话主机配置”中的设置。
如果进⾏了配置,则“远程桌⾯会话主机配置”中⽆法进⾏设置,直接显⽰组策略中的值:
然后说说安全层中的可选项,有三个,如下图所⽰:
看上去都不难理解,选择SSL即会使⽤SSL协议进⾏加密;选择协商的话则看客户端是否⽀持SSL,不⽀持就使⽤RDP 协议;选择RDP安全层,则使⽤本机RDP加密。
不过仅仅看这些,还是不好判断选择哪个选项才符合应采取必要措施防⽌鉴别信息在⽹络传输过程中被窃听的要求。
选SSL,毫⽆疑问是符合的,那么就在于RDP加密是否⾜够安全呢?
答案是否定的,因为RDP协议的连接和协商过程中,客户端没有认证服务器端,这就使得基于ARP欺
骗的中间⼈攻击成为可能,所以存在风险(但是要注意,RDP本⾝还是⽤了密码技术进⾏加密了的,⽐telnet还是要好很多)。
所以这⾥要选择SSL才能符合要求,其余两个选项均不符合。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论