序号 | 控制点 | 测评项 | 测评要求 |
1 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并 定期更换; | 十月再见1)用户需要输入用户名和密码才能登录 2)windows默认用户名具有唯一性 3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本地用户机组”检查有哪些用户,并尝试空口令登录 4)打开“控制面板”-》“管理工具”-》 “本地安全策略”一》“账户策略”“密码策略” |
2 | b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动 退出等相关措施; | 进口儿童奶粉1)打开“控制面板”-》 “管理工具”-》“本地安全策略”一》 “账户策略”一》“密码锁定策略” 2)右键点击桌面->“个性化”->“屏幕保护程序”,查看“等待时间”的长短以及“在恢复时显示登录屏幕”选项是否打钩 需要说明的是,如果系统按上面的方法合理的设置了密码策略,此项要求就不是很重要了,因为任何攻击者都不能在一段合理的时间内猜出密码。在仅使用大小写字母与数字,用户不使用词典单词并仅附加一个数字的情况下,如果每次猜测需要半秒钟时间,猜到密码要花3,461,760年。由于密码会定期更改,攻击者猜到密码的可能性非常小。事实上,如果每隔70天更改密码,攻击者将需要相当于52,000条T3传入被攻击系统的线路,才能在密码过期前猜到一个随机的密码(当然,需要假定该容码不是词典单词)换句话说,如果密码很弱,攻击者能在十次尝话内猜到,那么何题并不是在照户锁定策略,而是弱到极点的密码 | |
3 | c)当进行远程管理时 ,应采取必要措施防止鉴别信息在网络传输过程中被窃听; 六级地震有多大威力 | 1)如果是本地管理成KVM等硬件管理方式,此要求默认满足, 2)如果采用远程管理,则需采用带加密管理的远程管理方式。在命令行输入”pgedit.msc“弹出“本地组策略编辑器”窗口,查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目 | |
4 | d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 | 查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法,是否采用了两种或两种以上组合的鉴别技术,如口令、教字证书Ukey、令牌、指纹等,是否有一种鉴别方法在鉴别过程中使用了密码技术 记录系统管理员在登录操作系统使用的身份鉴别方法,同时记录使用密码的鉴别方法 | |
5 | 访问控制 | a) 应对登录的用户分配账户和权限; | 访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。 选择%systemdrive%\w indows \system、%systemroot %\system32\config等相应的文件夹,右键选择“属性”>“安全”,查看everyone组、users组和administrators组的权限设置 |
6 | b)应重命名或删除默认账户,修改默认账户的默认口令; | 在命令行输入"lusrmgr.msc"弹出“本地用户和组”窗口,查看“本地用户和组->用户”中的相关项目 | |
7 | c)应及时删除或停用多余的、过期的账户.避免共享账户的存在; | 在命令行输入“lusmrgr.msc",弹出“本地用户和组”窗口,查看“本地用户和组一>用户”中的相关项目,查看右侧用户列表中的用户,询问各账户的用途,确认账户是否属于多余的、 过期的账户或共享账户名 | |
8 | d)应授予管理用户所需的最小权限,实现管理用户的权限分离; 清明节放几天 | 在命令行输入"secpol.msc" ,弹出“本地安全策略”窗口,查看“安全设置->本地策略>用户权限分配”中的相关项目。右侧的详细信息窗口即显示可配署的用户权限策略设置 | |
| 工商银行实习报告 9 | e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访间规则; | 1) 访谈系统管理员,能够配置访问控制策略的用户 2)查看重点目录的权限配置,是否依据安全策略配置访问规则 | |
10 | f)访间控制的粒度应达到主体为用户级或进程级, 客体为文件 、数据库表级; | 选择%systemdrive%\program files 、%systemdrive% \system32等重要的文件夹,以及%systemdrive%\Windows \system32 conf ig 、%systemdrive%\Windows\system32\secpol等重要的文件,右键选择“属性”>“安全”,查看访问权限设置 | |
11 | g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访间 。 | 1)查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资源设置敏感 2)询问管理员是否对重要信息资源设置敏感标记 3)询问或查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等 | |
12 | 安全审计 | a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | 1)查看系统是否开启了安全审计功能 在命令行输入“"secpol.msc”,弹出“本地安全策略”窗口,查看“安全设置->本地策略->审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况。 2)询问并查看是否有第三方审计工具或系统 |
13 | b)审计记录应包括事件的日期和时间 、用户、事件类型 、事件是否成功及其他与审计相关的信息; | 查看审计记录是否包含要求的信息 1)在命令行输入"eventvwr.msc",弹出“事件查看器”窗口,“事件查看器(本地)->Windows日志"下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,点击任意类型事件,查看日志文件是否满足此项要求 2) 如果安装了第三方审计工具,则:查看审计记录是否包括日期、时间,类型、主体标识、客体标识和结果 | |
14 | c)应对审计记录进行保护,定期备份 ,避免受到未预期的删除 、修改或覆盖等; | 1)如果日志数据本地保存,则询问审计记录备份周期,有无异地备份。在命令行输入“eventvwr. msc”,弹出“事件查看器”窗口,“事件查看器(本地)->Windows 日志”下包括“应用程序” 、” 安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略 2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合 | |
15 | 如何做牛扒d)应对审计进程进行保护,防止未经授权的中断。 | 1)访谈是否有第三方方审计进程监控和保护的措施 2)在命令行输入"secpol.msc",弹出“本地安全策略”窗口,点击“安全设置->本地策略->用户权限分配”,右键点击策略中的“管理审核和安全日志”,查看是否只有系统审计员或系统审计员所在的用户组 | |
16 | 入侵防范 | a) 应遵循最小安装的原则,仅安装需耍的组件和应用程序; | 1)访谈安装系统时是否遵循最小化安装原则,查看安装操作手册 2)使用命令“yum list installed" 查看操作系统中已安装的程序包,询问是否有目前不需要的组件和应用程序 |
17 | b) 应关闭不需要的系统服务 、默认共享和高危端口; | 1)查看系统服务。 在命令行输入"services. msc“,打开系统服务管理界面,查看右侧的服务详细列表中多余的服务, 如Alerter、Remote Registry Servicce Messsenger,Task Scheduler是否已启动。 2)查看监听端口。 在命令行输入"netstat -an”,查看列表中的监听端口,是否包括高危端口,如 TCP 135、139 、45、 593、1025端口,UDP 135、137、 138、445端口,-些流行病毒的后门端口,如TCP 2745、3127、6129端口。 3)查看默认共享。 在命令行输入"net share",查看本地计算机上所有共享资源的信息,是否打开了默认共享,例如C$、D$ 4)查看主机防火墙策略 在命令行输入"firewal1. cpl”打开Windows防火墙界面,查看Windows防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口。点击左侧列表中的”入站规则”,右侧显示Windows防火墙的入站规则,查看入站规则中是否阻止访问多余的服务,或高危端口 | |
18 | c)应通过设定终端接入方式或网络地址范即对通过网络进行管理的管理终端进行限制; | 1)询间系统管理员管理终端的接入方式。 查看主机防火墙对登录终端的接入地址限制 在命令行输入"firewall.cpl”,打开Windows防火墙界面,查看Windowsd防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口,点击左侧列表中的“入站规则”,双击右侧入站规则中的“远程桌面一用户模式(TCP-In)",打开“远程桌面用户模式(TCP-In)属性" 窗口,选择“作用城”查看相关项目。 查看IP筛选器对登录终端的接入地址限制 在命令行输入“gpedit.msc"打开本地组策路编辑器界面,点击左侧列表中的“本地计算机策略->计算机配置Windows设置->安全设置->IP安全策略”,在本地计算机双击右侧限制登录终端地址的相关策略”,查看 “IP 筛选器列表”和“IP筛选器属性“ 2)网络方面对登录终端的接入方式和地址范围的限制 询问并查看是否通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限 | |
19 | d)应提供数据有效性检验功能,保证通过人机接口输人或通过通信接口输入的内容符合系统设 定要求; | 该测评对象为服务器,故此项不适用。 | |
20 | e)应能发现可能存在的已知湍洞,并在经过充分测试评估后,及时修补漏洞; | 访谈系统管理员是否定期对操作系统进行漏洞扫描,是否对扫描发现的漏洞进行评估和补丁更新测试,是否及时进行补丁更新,更新的方法。 在命令行输入"appwiz.cp1" ,打开程序和功能界面,点击左侧列表中的“查看已安装的更新”,打开“已安装更新”界面,查看右侧列表中的补丁更新情况 | |
21 | f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 | 1)访谈系统管理员是否安装了主机入侵检测软件,查看已安装的主机入侵检查系统的配置情况,是否具备报警功能 2)查看网络拓扑图,查看网络上是否部署了网络入侵检测系统,如IDS | |
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论