等保测评之主机测评详解(二级)

  • 等保测评之主机测评详解(二级)
  • 服务器——Windows

身份鉴别:

测评项a):

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

整改方法:

控制面板——小图标——管理工具——本地安全策略——账户策略——密码策略;

1、密码必须符合复杂性要求;   已启用  
2、密码长度最小值;    12个字符  
3、密码最长使用期限;   42天  
4、密码最短使用期限;  2天  
5、强制密码历史;   5个记住密码  
6、密码永不过期属性。  未勾选“密码永不过期” 

测评项b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

控制面板——小图标——管理工具——本地安全策略——账户策略——账户锁定策略

测评项c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。

主机的远程登录只能通过阿里云、腾讯云登陆,且登录只能为https协议

访问控制:

测评项a)应对登录的用户分配账户和权限;

要求点 1:登录用户分配账户

要求点 2:登录用户账户分配权限

计算机管理——用户和组——添加账户且分配权限——设置密码(密码符合上面要求)

测评项b) 应重命名或删除默认账户,修改默认账户的默认口令;

删除默认账户admin、user,或者修改admin账户名字

测评项c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;

字面意思

测评项d)应授予管理用户所需的最小权限,实现管理用户的权限分离。

 每一个管理员用户设定一个权限,且管理员权限分离

安全审计:

测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

控制面板——管理工具——本地安全策略——本地策略——审核策略——策略的安全设置全部改为成功失败

测评项b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

测评项c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

这三个文件的权限,在windows2008 r2中默认为:

三个文件的所有者均为:LOCAL SERVICE

eventlog应该是Windows里的一个内置安全体。

也就是从默认情况来看,只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

事件查看器权限:

在对于隶属于user的普通用户无权查看安全日志,其余日志可看但无法操作。

入侵防范:

测评项a)应遵循最小安装的原则,仅安装需要的组件和应用程序

测评项b)应关闭不需要的系统服务、默认共享和高危端口;

测评项c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

测评项d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

测评项e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

整改方法:

验证检查:  

1、询问是否安装了主机入侵检测系统,并进行适当的配置;  

2、查看是否对入侵检测系统的特征库进行定期升级;  

3、查看是否在检测到严重入侵事件时提供报警。 

4、询问是否对关键程序的完整性进行校验; 

5、管理工具—服务—查看可以使用的服务  

6、监听端口,命令行输入“netstat -an”  

7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”

建议整改:

策略修改:

1、仅开启需要的服务端口(135 137 139 445等端口建议不开启,若业务需要,应做好系统相应补丁)  
2、关闭不需要的组件和应用程序,仅启用必须的功能  
3、关闭默认共享文件 

设备和服务部署:

1、物理机房:部署IDS、IPS  
2、上云服务器(如阿里云):部署安骑士或态势感知、web应用防火墙、抗DDoS

恶意代码防范:

测评项a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

  1. 查看操作系统中安装的防病毒软件,查看病毒库的最新版本更新日期是否超过一个月。
  2. 询问系统管理员是否有统一的病毒更新策略和查杀策略。
  3. 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
  4. 询问系统管理员当发现病毒入侵行为时,如何发现,如何有效阻断等,报警机制等。
  5. 查看系统中采取何种可信验证机制,访谈管理员实现原理等。

可信验证:

测评项a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。

数据完整性:

a)应采用校验技术保证重要数据在传输过程中的完整性。

1.服务器在阿里云上使用https协议进行通信,可保证重要数据在传输过程中的完整性。

2.服务器不在阿里云上采用rdp协议远程登录,并且禁用telnet。

数据备份恢复:

测评项a)应提供重要数据的本地数据备份与恢复功能;

测评项b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。

剩余信息保护:

测评项a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

测评方法:

  1. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“账户策略”->“密码策略”,查看“用可还原的加密来存储密码”是否禁用。
  2. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的[安全选项]查看是否启用“关机:清除虚拟内存页面文件”。

Linux服务器

身份鉴别:

测评项a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

测评要求:

1) 应核查用户在登录时是否采用了身份鉴别措施;
2) 应核查用户列表,核查用户身份标识是否具有唯一性;
3) 应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户;
4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

测评方法:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

1)在root权限下,使用命令cat查看/etc/shadow文件中的用户名状态,要删除或停用多余的、过期的账户,不能存在空口令账户。

2)以 root 身份登录进入Linux, 查看文件内容:#cat /etc/login.defs,查看密码长度、密码有效期相关参数。

PASS_MAX_DAYS 90  #登录密码有效期应设置为90天以内;

PASS_MIN_LEN 8#登录密码最小长度应设置为8位以上

3)使用# cat /etc/pam.d/system-auth命令,查看密码复杂度命令。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1) 以 root 身份登录进入Linux, 查看文件内容:# cat /etc/pam.d/system-auth

deny参数的值不要大于5次;unlock-time参数不要小于15分钟

2) 查看/etc/profile中的TIMEOUT环境变量,要配置超时锁定参数

export TMOUT参数的值不要大于30分钟

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要修改root账户的口令,并禁止root用户远程登录,使用cat查看/etc/ssh/sshd_config文件中的“PermitRootLogin”参数设置为“no”,即:PermitRootLogin  no,即不许可root远程登录。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

审计员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。

安全员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志应定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

入侵防范- a)应遵循最小安装的原则,仅安装需要的组件和应用程序;

使用命令“yum list installed”查看操作系统中已安装的程序包,删除目前不需要的组件和应用程序,应用系统和数据库最好不要放在一台服务器里。

入侵防范- b)应关闭不需要的系统服务、默认共享和高危端口;

以有相应权限的身份登录进入Linux,使用命令“netstat -ntlp(展示当前开放的全部端口)”查看并确认是否开放的端口都为业务需要端口,关闭非必需的端口。

恶意代码防范- a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

建议在服务器上安装杀毒软件,如:clamav杀毒软件,做到定期杀毒,并定期更新软件版本和病毒库版本,或是购买阿里云云安全中心企业版,进行定期查杀,并解决下图的风险值。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。 

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

数据备份恢复- c)应提供重要数据处理系统的热冗余,保证系统的高可用性。

建议对服务器进行热备部署,保证系统的高可用性,或是在阿里云上进行快照备份,建立自动快照策略,备份方式为全备,在发生问题,能够及时进行恢复。

 运维终端(Windows)

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

控制面板-管理工具-本地安全策略-账户策略-密码策略

要求:密码必须符合复杂性要求     已启用

      密码长度最小值             8个字符

      密码最短使用期限           1天

      密码最长使用期限           不高于90天

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1) 控制面板-管理工具-本地安全策略-账户策略-账户锁定策略

2) 登录连接超时

右键点击桌面->“个性化” ->“屏幕保护程序”

访问控制- a)应对登录的用户分配账户和权限;

要对登录的用户进行权限划分,

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

重命名或禁用administrator账户,禁用guest账户,并删除多余的、过期的账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户

安全审计- a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

控制面板-管理工具-本地安全策略-本地策略-审核策略

全部审核策略改为成功、失败

安全审计- b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

控制面板-管理工具-事件查看器-Windows日志

查看是否有相应的审计日志。

入侵防范- a)应遵循最小安装的原则,仅安装需要的组件和应用程序;

控制面板-管理工具-组件服务-服务(本地)

1) 删除目前不需要的组件和应用程序。

2)控制面板-程序与功能-查看已安装的更新,要升级到最新版本

入侵防范- b)应关闭不需要的系统服务、默认共享和高危端口;

在命令行输入“netstat –an”,查看列表中的监听端口,是否包括高危端口,如TCP 135、139、445、593、1025端口,UDP 135、137、138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口,关闭这些端口。

入侵防范-e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。

要在运维终端上安装杀毒软件,定期进行杀毒,并将杀毒软件升级到最新的版本

恶意代码防范- a)应安装防恶意代码软件或配置具有相应功能的软件,并定期进行升级和更新防恶意代码库。

要在运维终端上安装杀毒软件,定期进行杀毒,并将杀毒软件升级到最新的版本。

数据库:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

要对登录的用户进行身份鉴别,用户登录密码要具有复杂度要求,密码长度不少于8位,密码组成为大小写字母、数字和特殊字符,密码定期更换时间不长于90天。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

要具有登录失败处理能力,如:登录失败3次后,锁定账户10分钟;设置登录连接超时时间为30分钟。

访问控制- a)应对登录的用户分配账户和权限;

要对登录的用户进行权限划分,

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要重命名默认账户,并修改默认口令,或是删除或禁用默认账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

安全审计- a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

审计范围要覆盖到每个用户,并能对用户的登录、删除和修改等用户行为和重要安全事件进行审计

安全审计- b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

数据库要有审计记录产生,审计日志要包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志应定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

数据完整性- b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

个人信息保护- b)应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置,只允许管理员进行访问。

应用系统:

身份鉴别- a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

要对登录的用户进行身份鉴别,用户登录密码要具有复杂度要求,密码长度不少于8位,密码组成为大小写字母、数字和特殊字符,密码定期更换时间不长于90天。

身份鉴别- b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

要限制用户的非法登录次数,如:登录失败3次后,锁定账户10分钟。

访问控制- b)应重命名或删除默认账户,修改默认账户的默认口令;

要重命名默认账户并修改默认口令,或是删除或禁用默认账户。

访问控制- d)应授予管理用户所需的最小权限,实现管理用户的权限分离;

要设置三权分立的账户,分别为管理员账户、审计员账户和安全员账户。

安全审计- c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

审计日志是否定期进行了场外备份,如部署日志服务器,定期将审计日志存入日志服务器。

数据完整性- b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性,(如:使用AES、RSA、3DES等)包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a)应提供重要数据的本地数据备份与恢复功能;

要对本地数据进行备份,提供本地数据的备份策略,并要对备份的数据进行恢复测试,保证备份数据可用性。

数据备份恢复- b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

要能够提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;

个人信息保护- b)应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置,只允许管理员进行访问。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/827562.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

antd中Upload上传图片宽高限制以及上传文件的格式限制

项目中有一个需求,要上传轮播图,且有尺寸要求,所以就需要在上传图片的时候进行尺寸限制,使用了Upload组件,需要在组件的beforeUpload方法中进行限制。 定义一个上传前的方法,并且添加一个图片尺寸获取的方…

重参数化(Reparameterization)的原理

重参数化(Reparameterization)的原理 重参数化是变分自编码器(VAE)中用来解决可微分性问题的一种技术。在VAE中,我们的目标是最大化观测数据的边缘对数似然,这涉及到一个隐含变量 z z z的积分或求和。因为…

【Redis】Zset 数据类型

文章目录 常用命令zaddzcard & zcountzrange & zrevrangezpopmax & bzpopmaxzpopmin & bzpopminzrank & zrevrankzscore & zremzremrangebyrank & zremrangebyscorezincrby 多个集合间的交互命令交集 & zinterstore并集 & sunionstore 内部…

【声呐仿真】学习记录0.5-配置ssh远程连接docker、在docker中使用nvidia显卡

【声呐仿真】学习记录0.5-配置ssh远程连接docker、在docker中使用nvidia显卡 配置ssh远程连接docker1.端口映射2.配置ssh 在docker中使用nvidia显卡配置CUDA 注意:之前已经创建过容器的,需要打包成镜像,重新创建容器,因为要在创建…

【C++庖丁解牛】C++11---右值引用和移动语义

🍁你好,我是 RO-BERRY 📗 致力于C、C、数据结构、TCP/IP、数据库等等一系列知识 🎄感谢你的陪伴与支持 ,故事既有了开头,就要画上一个完美的句号,让我们一起加油 目录 1 左值引用和右值引用2 左…

前端vue scope的定义以及用法

这段代码是 Vue 组件中用于定义表格列的代码,包含了自定义模板和逻辑,以显示特定格式的内容。在这里,el-table-column 来自 Element UI 框架,提供了一种简洁的方式来定义表格的列及其显示内容。 让我们看看这段代码的细节&#x…

第一个Spring Boot程序

目录 一、Spring Boot介绍 二、创建Spring Boot项目 1、插件安装(专业版不需要) 2、创建SpringBoot项目 (1)这里如果插件下载失败,解决方案: (2)项目启动失败,解决…

web测试基础知识

目录 web系统的基础 web概念(worldwideweb) 网络结构 发展 架构 B/S C/S P2P 工作原理 静态页面 动态页面 web客户端技术 浏览器的核心--渲染引擎 web服务器端技术 web服务器 应用服务器 集群环境 数据库 案例-URL 协议类型 主机名 端口 IP地址 分类 …

C#开发的全套成熟的LIS系统源码JavaScript+SQLserver 2012区域云LIS系统源码

C#开发的全套成熟的LIS系统源码JavaScriptSQLserver 2012区域云LIS系统源码 医院云LIS系统是一套成熟的实验室信息管理系统,目前已在多家三级级医院应用,并不断更新。云LIS系统是为病人为中心、以业务处理为基础、以提高检验科室管理水平和工作效率为目标…

贪心算法练习day.1

理论基础 贪心算法是一种常见的解决优化问题的方法,其基本思想就是在问题的每个决策阶段,都选择当前看起来最优的选择,即贪心地做出局部的最优决策,以此得到全局的最优解,例如在十张面额不同的钞票,让我们…

oracle sql 示例

-- 获取每个学员按照成绩的排名 selectt1.*,row_number() over (partition by student_name order by score desc) rn from t_score t1; -- 查询每个部门去除最高、最低薪水后的平均薪水 with t1 as (select t_salary_table.*,row_number() over (partition by department_id …

JVM(Java虚拟机)功能特点、垃圾回收机制

简介 JVM(Java虚拟机)是一种虚拟的计算机执行环境,用于执行Java字节码。Java虚拟机不仅仅用于执行Java语言编写的程序,还可以执行其他编译成Java字节码的语言(如Kotlin、Scala等)编写的程序。JVM的主要目标…

润申信息企业标准化管理系统 AddNewsHandler.ashx 任意用户创建漏洞复现

0x01 产品简介 润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。 0x02 漏洞概述 润申信息企业标准化管理系统 AddNewsHandler.ashx 接口处存在任意用户创建漏洞,…

web前端代码指南(vue3)

一、命名规范 市面上常用的命名规范: camelCase(小驼峰式命名法 —— 首字母小写)PascalCase(大驼峰式命名法 —— 首字母大写)kebab-case(短横线连接式)Snake(下划线连接式&#…

Linux安装部署Tomcat

个人简介:Java领域新星创作者;阿里云技术博主、星级博主、专家博主;正在Java学习的路上摸爬滚打,记录学习的过程~ 个人主页:.29.的博客 学习社区:进去逛一逛~ Linux安装部署Tomcat //将tomcat压缩包解压到对…

python识别电脑是windows还是linux

代码实现 import osif os.name nt:print(当前操作系统是 Windows) elif os.name posix:print(当前操作系统是 Linux 或 Unix 类型的系统) else:print(未知的操作系统)

vue 3 + TS 组合式标注类型

1.组件的 emits 标注类型 <script setup lang"ts"> // 运行时 const emit defineEmits([change, update])// 基于选项 const emit defineEmits({change: (id: number) > {// 返回 true 或 false// 表明验证通过或失败},update: (value: string) > {//…

XiaodiSec day015 Learn Note 小迪安全学习笔记

XiaodiSec day015 Learn Note 小迪安全学习笔记 记录得比较凌乱&#xff0c;不尽详细 day15 还是基础的Php开发 看来是比较基础的 主题&#xff1a;登录验证 COOKIE & SESSION 后台系统有多个验证 为了方便验证使用cookie或session 类似于用户状态管理? cookie存储…

kubernetes中的副本控制器rc(replicationcontrollers)和rs(replicasets)

一、rc控制器replicationcontrollers rc控制器就是控制相同pod副本数量 使用rc控制器资源创建pod&#xff0c;设定创建pod资源的数量 1.1 案例 1.1.1、创建资源清单 [rootmaster rc-demo]# cat rc.yaml apiVersion: v1 kind: ReplicationController metadata: name: rc01 …

代码随想录打卡—day28—【回溯】— 回溯基础练习 4.17+4.19

1 93. 复原 IP 地址 也是类似前一天的分割回文串。可以用我的字符之间0101的思路&#xff0c;也可以直接用[start_idx,i]选取子串的方法&#xff0c;选取后者&#xff0c;代码简洁一点&#xff1a; class Solution { public:vector<string> ans;string path;void dfs(i…