网络安全等级保护测评 S3A3 安全计算环境之操作系统(Win) 详解
概述
网络安全等级保护S3A3安全计算环境之操作系统(Win)中主要包括以下
11个
部分:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护
本文主要参考以下7个资料:
-
GB-T 22239-2019 信息安全技术 网络安全等级保护基本要求
-
GB-T 28448-2019 信息安全技术 网络安全等级保护测评要求
-
网络安全等级保护基本要求(通用要求部分)应用指南
-
网络安全等级保护基本要求(扩展要求部分)应用指南
-
网络安全等级测评师培训教材(初级)2021版
-
网络安全等级保护测评安全计算环境测评指导书
-
T-ISEAA 001-2020 网络安全等级保护测评高风险判定指引
注:参考最新发布的《
网络安全等级保护基本要求(通用要求部分)应用指南
》,针对安全计算环境中操作系统仅整理了
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证
6项。
身份鉴别
基本要求
测评要求
应用指南
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
符合建议项
1.
Win+R
输入
control userpasswords2
2.
[控制面板]—>[管理工具]—>[计算机管理]—>[本地用户和组] —>[用户]
3.
[控制面板]—>[管理工具]—>[计算机管理]—>[本地用户和组] —>[用户]
4.
[控制面板]—>[管理工具]—>[本地安全策略]—>[账户策略]—>[密码策略]
结果记录
1)经核查,用户在登录时采用了用户名+口令的身份鉴别措施,用户通过堡垒机输入账号口令登录服务器,通过control userpasswords2命令查看,已经勾选“用使用本计算机,用户必须输入用户名和密码(E)”;
2)经核查用户列表,用户身份标识具有唯一性,查看[本地用户和组] —>[用户],用户列表包括超级管理员Mannix3389、来宾账户Administrator、系统管理员SysAdmin、安全管理员SecAdmin、审计管理员AudAdmin、系统管理内置用户DefaultAccount(已锁定)、系统防护内置用户WDAGUtilityAccount(已锁定);
3)经核查用户配置信息并测试验证,不存在空口令用户,未勾选“密码永不过期”;
4)经核查,用户鉴别信息具有复杂度要求并定期更换,“密码必须符合复杂性要求”已启用,密码最长最小值为8字符,密码最短使用期限为2天,密码最长使用期限为42天,强制密码历史为5个记住的密码,“用可还原的加密来储存密码”已禁用,最小密码长度审核为8字符。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
符合建议项
1.
[控制面板] —>[管理工具]—>[本地安全策略]—>[账户策略]—>[账户锁定策略]
2.
桌面右击—> [个性化] —> [屏幕保护程序]
3.
运行->gpedit.msc->本地计算机 策略->计算机配置->管理模板->windows组件->远程桌面服务->连接->配置活动连接的时间间隔
结果记录
1)经核查,配置并启用登录失败处理功能,设置“账户锁定阈值为5次无效登录,设置“账户锁定时间”为30分钟,设置重置账户锁定计数器为30分钟之后;
2)经核查,配置并启用了限制非法登录功能,启动屏幕保护程序,设置“在恢复时显示登录屏幕等待”为15分钟;
3)经核查,配置并启用了登录连接超时及自动退出功能,设置“活动连接的时间间隔”为15分钟。
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
符合建议项
运行->gpedit.msc->本地计算机 策略->计算机配置->管理模板->windows组件->远程桌面服务->远程桌面会话主机->安全
远程桌面要在此处启用SSL
Microsoft Windows Server 2019
及之前的操作系统需要选择SSL(TLS1.0),之后的系统应该就是SSL了
结果记录
经核查,用户通过堡垒机输入账号密码远程登录服务器,服务器操作系统版本 Microsoft Windows Server 2019 Datacenter,管理终端操作系统版本Microsoft Windows 11 企业版,已颁发有效身份验证证书,服务器端采用SSL加密方式,客户端采用SSL加密方式。
d)应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。
符合建议项
结果记录
经核查,用户在登录操作系统的过程中只使用了口令鉴别技术,未采用动态口令、数字证书、生物技术或设备指纹等鉴别技术对用户身份进行鉴别。
访问控制
基本要求
测评要求
应用指南
a)应对登录的用户分配账户和权限。
符合建议项
1.
[控制面板]—>[管理工具] —>[计算机管理]—>[本地用户和组]—>[用户]
2.
选择
系统盘Windows\System32、%systemroot%\System32\config
等相应文件夹,右键选择
[属性] —> [安全]
查看everyone组、users组和administrators组的权限设置
结果记录
1)经核查,为用户分配了账户和权限,目前系统内账号包括超级管理员Mannix3389、来宾账户Administrator、系统管理员SysAdmin、安全管理员SecAdmin、审计管理员AudAdmin、系统管理内置用户DefaultAccount(已锁定)、系统防护内置用户WDAGUtilityAccount(已锁定);
2)经核查,不存在匿名,默认用户只允许超级管理员可以登录。系统盘Windows\System32文件夹的users权限只允许“读取和执行”、“列出文件夹内容”和“读取”权限;%systemroot%\system32\config文件夹的users权限只允许“列出文件夹内容”权限。
b) 应重命名或删除默认账户,修改默认账户的默认口令。
符合建议项
[
控制面板]—>[管理工具] —>[计算机管理]—>[本地用户和组]—>[用户]
结果记录
经核查,来宾账户Guest已重命名为Administrator,默认账户超级管理员Administrator已重命名为Mannix3389,系统管理内置用户DefaultAccount和系统防护内置用户WDAGUtilityAccount均已锁定。
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
符合建议项
[控制面板]—>[管理工具]—>[计算机管理]—>[本地用户和组]—>[用户]
结果记录
经核查,系统现有超级管理员Mannix3389、来宾账户Administrator、系统管理员SysAdmin、安全管理员SecAdmin、审计管理员AudAdmin、系统管理内置用户DefaultAccount(已锁定)、系统防护内置用户WDAGUtilityAccount(已锁定),不存在多余或过期账户,管理员用户与账户之间是否一一对应。
d)应授予管理用户所需的最小权限,实现管理用户的权限分离。
符合建议项
1.
[控制面板]—>[管理工具]—>[计算机管理]—>[本地用户和组]—>[组]
2.
[控制面板]—>[管理工具]—>[本地安全策略]—>[本地策略]—>[用户权限分配]
结果记录
1)经核查,系统进行角色划分,分为超级管理员、系统管理员、审计管理员和安全管理员;
2)经核查,管理用户的权限已进行分离,审计管理员仅管理审核和安全日志;
3)经核查,管理用户权限为其工作任务所需的最小权限。
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
要求解读
操作系统的访问控制策略应由授权主体
(例如安全管理员)进行配置,非授权主体不得更改访问控制策略。访问控制策略规定了操作系统用户对操作系统资源(例如文件和目录)具有哪些权限、能进行哪些操作。通过在操作系统中配置访问控制策略,可以实现对操作系统各用户权限的限制。
结果记录
1)经核查,系统由授权主体安全管理员SecAdmin负责配置访问控制策略;
2)经核查,授权主体安全管理员SecAdmin依据安全策略配置了主体对客体的访问规则并统一管理;
3)经测试,系统管理员SysAdmin和审计管理员AudAdmin不可越权访问。
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
符合建议项
选择
%systemdrive%\Program Files、%systemdrive%\Windows\System32、%systemroot%\System32\config
等重要的文件夹,右键选择[属性]—>[安全],查看访问权限设置
结果记录
经核查,访问控制策略的控制粒度达到主体为用户级或进程级,客体为文件、数据库表、记录或字段级。%systemdrive%\Program Files、%systemdrive%\Windows\System32文件夹的users权限只允许“读取和执行”、“列出文件夹内容”和“读取”权限;%systemroot%\system32\config文件夹的users权限只允许“列出文件夹内容”权限。
g)应对敏感信息资源设置安全标记,并控制主体对有安全标记信息资源的访问。
要求解读
敏感标记是强制访问控制的依据,主体和客体都有,存在形式多样,既可能是整型数字,也可能是字母,总之,它表示主体和客体的安全级别。敏感标记由强认证的安全管理员设置。安全管理员通过对重要信息资源设置敏感标记来决定主体以何种权限对客体进行操作,实现强制访问控制。
在操作系统能够对信息资源设置敏感标记的前提下,应严格按照安全策略控制用户对相关资源的操作。
结果记录
经核查,系统未对主体、客体设置安全标记。
安全审计
基本要求
测评要求
应用指南
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
符合建议项
[控制面板]—>[管理工具]—>[本地安全策略]—>[安全设置]—>[本地策略] —>[审核策略]
[控制面板]—>[管理工具]—>[事件查看器]—>[Windows日志]
结果记录
1)经核查,系统开启了安全审计功能,系统审核策略:
审核策略更改:成功,失败,
审核登录事件:成功,失败,
审核对象访问:成功,失败,
审核进程跟踪:成功,失败,
审核目录服务访问:成功,失败,
审核特权使用:成功,失败,
审核系统事件:成功,失败,
审核账户登录事件:成功,失败,
审核账户管理:成功,失败,
日志最大大小(KB):1048576KB,可保证6个月留存期;
2)经核查,部署了外部Syslog日志服务器收集审计日志,部署日志审计和安全审计,审计范围覆盖到每个用户;
3)经核查,部署了外部Syslog日志服务器收集审计日志,部署日志审计和安全审计,对重要的用户行为和重要安全事件进行审计。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
符合建议项
使用Win键+R键打开运行,输入命令“eventvwr.msc”并运行,弹出“事件查看器”窗口,[事件查看器(本地)]—>[Windows日志]下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型
结果记录
经核查,Windows日志“应用程序”记录了事件的级别、日期和时间、来源、事件ID、任务类别、日志名称、记录时间、关键字、用户、计算机、操作代码,“安全”记录了事件的关键字、日期和时间、来源、事件ID、任务类别、日志名称、记录时间、级别、关键字、用户、计算机、操作代码,“设置”记录了事件的级别、日期和时间、来源、事件ID、任务类别、日志名称、记录时间、关键字、用户、计算机、操作代码,“系统”记录了级别、日期和时间、来源、事件ID、任务类别、日志名称、记录时间、关键字、用户、计算机、操作代码。同时部署外部Syslog日志服务器收集审计日志,部署日志审计和安全审计,审计记录信息包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
符合建议项
使用Win键+R键打开运行,输入命令“eventvwr.msc”并运行,弹出“事件查看器”窗口,[事件查看器(本地)]—>[Windows日志]下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件类型,右键点击类型事件,选择下拉菜单中的“属性”,查看日志存储策略
结果记录
1)经核查,采取了保护措施对审计记录进行保护,日志数据本地保存,“安全性”和“系统”日志“属性”的存储大小为1048576KB;覆盖周期不小于6个月;
2)经核查,部署了外部Syslog日志服务器收集审计日志,部署日志审计和安全审计,对审计记录进行定期备份,每6个月打包一次审计记录。
d) 应对审计进程进行保护,防止未经授权的中断。
符合建议项
[开始]—>[控制面板]—>[管理工具]—>[本地安全策略]—>[安全设置]—>[本地策略]—>[用户权限分配]
结果记录
经核查,“管理审核和安全日志”安全设置只有审计管理员AhdAdmin,经测试,通过系统管理员SysAdmin和安全管理员SecAdmin无法中断审计进程。同时部署了外部Syslog日志服务器收集审计日志,部署日志审计和安全审计,对审计记录进行定期备份,每6个月打包一次审计记录。
入侵防范
基本要求
测评要求
应用指南
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。
符合建议项
结果记录
1)经核查,服务器遵循最小安装原则;
2)经核查,服务器未安装非必要的组件和应用程序,仅安装阿里巴巴安全组件、阿里云助手、360安全卫士、谷歌浏览器。
b) 应关闭不需要的系统服务、默认共享和高危端口。
符合建议项
1.
使用Win键+R键打开运行,输入命令“services.msc”,打开系统“服务”管理界面
2.
使用Win键+R键打开运行,输入cmd命令并运行,输入命令“netstat -an”, 查看列表中的监听端口,是否包括高危端口
3.
使用Win键+R键打开运行,输入cmd命令并运行,输入命令“net share”,查看本地计算机上所有共享资源的信息,是否打开默认共享
一键关闭默认共享脚本
net share IPC$ /delete
net share C$ /delete
4.
使用Win键+R键打开运行,输入cmd命令并运行,输入命令“firewall.cpl”,打开Windows防火墙界面,查看Windows防火墙是否启用。点击左侧列表中的“高级设置”,打开“高级安全Windows防火墙”窗口,点击左侧列表中的“入站规则”, 查看入站规则中是否阻止访问多余的服务,或高危端口
