• 等保测评之主机测评详解（二级）
• 服务器——Windows

身份鉴别:

测评项a）：

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

整改方法：

控制面板——小图标——管理工具——本地安全策略——账户策略——密码策略；

1、密码必须符合复杂性要求；   已启用  
2、密码长度最小值；    12个字符  
3、密码最长使用期限；   42天  
4、密码最短使用期限；  2天  
5、强制密码历史；   5个记住密码  
6、密码永不过期属性。  未勾选“密码永不过期” 

测评项b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

控制面板——小图标——管理工具——本地安全策略——账户策略——账户锁定策略

测评项c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

主机的远程登录只能通过阿里云、腾讯云登陆，且登录只能为https协议

访问控制：

测评项a）应对登录的用户分配账户和权限；

要求点 1：登录用户分配账户

要求点 2：登录用户账户分配权限

计算机管理——用户和组——添加账户且分配权限——设置密码（密码符合上面要求）

测评项b） 应重命名或删除默认账户，修改默认账户的默认口令；

删除默认账户admin、user，或者修改admin账户名字

测评项c）应及时删除或停用多余的、过期的账户，避免共享账户的存在；

字面意思

测评项d）应授予管理用户所需的最小权限，实现管理用户的权限分离。

 每一个管理员用户设定一个权限，且管理员权限分离

安全审计：

测评项a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

控制面板——管理工具——本地安全策略——本地策略——审核策略——策略的安全设置全部改为成功失败

测评项b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

测评项c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志（其中最重要的是安全日志），其存储文件分别是：

这三个文件的权限，在windows2008 r2中默认为：

三个文件的所有者均为：LOCAL SERVICE

eventlog应该是Windows里的一个内置安全体。

也就是从默认情况来看，只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

事件查看器权限：

在对于隶属于user的普通用户无权查看安全日志，其余日志可看但无法操作。

入侵防范：

测评项a）应遵循最小安装的原则，仅安装需要的组件和应用程序

测评项b）应关闭不需要的系统服务、默认共享和高危端口；

测评项c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

测评项d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

测评项e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

整改方法：

验证检查：  

1、询问是否安装了主机入侵检测系统，并进行适当的配置；  

2、查看是否对入侵检测系统的特征库进行定期升级；  

3、查看是否在检测到严重入侵事件时提供报警。 

4、询问是否对关键程序的完整性进行校验； 

5、管理工具—服务—查看可以使用的服务  

6、监听端口，命令行输入“netstat -an”  

7、“控制面板”—“管理工具”—“计算机管理”—“共享文件夹”

建议整改：

策略修改：

1、仅开启需要的服务端口（135 137 139 445等端口建议不开启，若业务需要，应做好系统相应补丁）  
2、关闭不需要的组件和应用程序，仅启用必须的功能  
3、关闭默认共享文件 

设备和服务部署：

1、物理机房：部署IDS、IPS  
2、上云服务器（如阿里云）：部署安骑士或态势感知、web应用防火墙、抗DDoS

恶意代码防范：

测评项a）应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

1. 查看操作系统中安装的防病毒软件，查看病毒库的最新版本更新日期是否超过一个月。
2. 询问系统管理员是否有统一的病毒更新策略和查杀策略。
3. 询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
4. 询问系统管理员当发现病毒入侵行为时，如何发现，如何有效阻断等，报警机制等。
5. 查看系统中采取何种可信验证机制，访谈管理员实现原理等。

可信验证：

测评项a）可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

数据完整性：

a）应采用校验技术保证重要数据在传输过程中的完整性。

1.服务器在阿里云上使用https协议进行通信，可保证重要数据在传输过程中的完整性。

2.服务器不在阿里云上采用rdp协议远程登录，并且禁用telnet。

数据备份恢复：

测评项a）应提供重要数据的本地数据备份与恢复功能；

测评项b）应提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地。

剩余信息保护:

测评项a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

测评方法：

1. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“账户策略”->“密码策略”，查看“用可还原的加密来存储密码”是否禁用。
2. 打开“控制面板”->“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的[安全选项]查看是否启用“关机：清除虚拟内存页面文件”。

Linux服务器

身份鉴别：

测评项a) 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

测评要求：

1) 应核查用户在登录时是否采用了身份鉴别措施；
2) 应核查用户列表，核查用户身份标识是否具有唯一性；
3) 应核查用户配置信息或访谈系统管理员，核查是否不存在空口令用户；
4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

测评方法：

身份鉴别- a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1）在root权限下，使用命令cat查看/etc/shadow文件中的用户名状态，要删除或停用多余的、过期的账户，不能存在空口令账户。

2）以 root 身份登录进入Linux， 查看文件内容：#cat /etc/login.defs，查看密码长度、密码有效期相关参数。

PASS_MAX_DAYS 90  #登录密码有效期应设置为90天以内；

PASS_MIN_LEN 8#登录密码最小长度应设置为8位以上

3）使用# cat /etc/pam.d/system-auth命令，查看密码复杂度命令。

身份鉴别- b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

1） 以 root 身份登录进入Linux， 查看文件内容：# cat /etc/pam.d/system-auth

deny参数的值不要大于5次；unlock-time参数不要小于15分钟

2） 查看/etc/profile中的TIMEOUT环境变量，要配置超时锁定参数

export TMOUT参数的值不要大于30分钟

访问控制- b）应重命名或删除默认账户，修改默认账户的默认口令；

要修改root账户的口令，并禁止root用户远程登录，使用cat查看/etc/ssh/sshd_config文件中的“PermitRootLogin”参数设置为“no”，即：PermitRootLogin  no，即不许可root远程登录。

访问控制- d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

要设置三权分立的账户，分别为管理员账户、审计员账户和安全员账户。

管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

审计员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

安全员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

安全审计- c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

审计日志应定期进行了场外备份，如部署日志服务器，定期将审计日志存入日志服务器。

入侵防范- a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

使用命令“yum list installed”查看操作系统中已安装的程序包，删除目前不需要的组件和应用程序，应用系统和数据库最好不要放在一台服务器里。

入侵防范- b）应关闭不需要的系统服务、默认共享和高危端口；

以有相应权限的身份登录进入Linux，使用命令“netstat -ntlp（展示当前开放的全部端口）”查看并确认是否开放的端口都为业务需要端口，关闭非必需的端口。

恶意代码防范- a）应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

建议在服务器上安装杀毒软件，如：clamav杀毒软件，做到定期杀毒，并定期更新软件版本和病毒库版本，或是购买阿里云云安全中心企业版，进行定期查杀，并解决下图的风险值。

数据备份恢复- a）应提供重要数据的本地数据备份与恢复功能；

要对本地数据进行备份，提供本地数据的备份策略，并要对备份的数据进行恢复测试，保证备份数据可用性。 

数据备份恢复- b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

要能够提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

数据备份恢复- c）应提供重要数据处理系统的热冗余，保证系统的高可用性。

建议对服务器进行热备部署，保证系统的高可用性，或是在阿里云上进行快照备份，建立自动快照策略，备份方式为全备，在发生问题，能够及时进行恢复。

 运维终端（Windows）

身份鉴别- a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

控制面板-管理工具-本地安全策略-账户策略-密码策略

要求：密码必须符合复杂性要求     已启用

      密码长度最小值             8个字符

      密码最短使用期限           1天

      密码最长使用期限           不高于90天

身份鉴别- b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

1） 控制面板-管理工具-本地安全策略-账户策略-账户锁定策略

2） 登录连接超时

右键点击桌面->“个性化” ->“屏幕保护程序”

访问控制- a）应对登录的用户分配账户和权限；

要对登录的用户进行权限划分，

访问控制- b）应重命名或删除默认账户，修改默认账户的默认口令；

重命名或禁用administrator账户，禁用guest账户，并删除多余的、过期的账户。

访问控制- d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

要设置三权分立的账户，分别为管理员账户、审计员账户和安全员账户

安全审计- a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

控制面板-管理工具-本地安全策略-本地策略-审核策略

全部审核策略改为成功、失败

安全审计- b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

控制面板-管理工具-事件查看器-Windows日志

查看是否有相应的审计日志。

入侵防范- a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

控制面板-管理工具-组件服务-服务（本地）

1） 删除目前不需要的组件和应用程序。

2）控制面板-程序与功能-查看已安装的更新，要升级到最新版本

入侵防范- b）应关闭不需要的系统服务、默认共享和高危端口；

在命令行输入“netstat –an”，查看列表中的监听端口，是否包括高危端口，如TCP 135、139、445、593、1025端口，UDP 135、137、138、445端口，一些流行病毒的后门端口，如TCP 2745、3127、6129端口，关闭这些端口。

入侵防范-e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

要在运维终端上安装杀毒软件，定期进行杀毒，并将杀毒软件升级到最新的版本

恶意代码防范- a）应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

要在运维终端上安装杀毒软件，定期进行杀毒，并将杀毒软件升级到最新的版本。

数据库：

身份鉴别- a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

要对登录的用户进行身份鉴别，用户登录密码要具有复杂度要求，密码长度不少于8位，密码组成为大小写字母、数字和特殊字符，密码定期更换时间不长于90天。

身份鉴别- b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

要具有登录失败处理能力，如：登录失败3次后，锁定账户10分钟；设置登录连接超时时间为30分钟。

访问控制- a）应对登录的用户分配账户和权限；

要对登录的用户进行权限划分，

访问控制- b）应重命名或删除默认账户，修改默认账户的默认口令；

要重命名默认账户，并修改默认口令，或是删除或禁用默认账户。

访问控制- d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

要设置三权分立的账户，分别为管理员账户、审计员账户和安全员账户。

安全审计- a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

审计范围要覆盖到每个用户，并能对用户的登录、删除和修改等用户行为和重要安全事件进行审计

安全审计- b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

数据库要有审计记录产生，审计日志要包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

安全审计- c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

审计日志应定期进行了场外备份，如部署日志服务器，定期将审计日志存入日志服务器。

数据完整性- b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性，（如：使用AES、RSA、3DES等）包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a）应提供重要数据的本地数据备份与恢复功能；

要对本地数据进行备份，提供本地数据的备份策略，并要对备份的数据进行恢复测试，保证备份数据可用性。

数据备份恢复- b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

要能够提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

个人信息保护- b）应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置，只允许管理员进行访问。

应用系统：

身份鉴别- a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

要对登录的用户进行身份鉴别，用户登录密码要具有复杂度要求，密码长度不少于8位，密码组成为大小写字母、数字和特殊字符，密码定期更换时间不长于90天。

身份鉴别- b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

要限制用户的非法登录次数，如：登录失败3次后，锁定账户10分钟。

访问控制- b）应重命名或删除默认账户，修改默认账户的默认口令；

要重命名默认账户并修改默认口令，或是删除或禁用默认账户。

访问控制- d）应授予管理用户所需的最小权限，实现管理用户的权限分离；

要设置三权分立的账户，分别为管理员账户、审计员账户和安全员账户。

安全审计- c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

审计日志是否定期进行了场外备份，如部署日志服务器，定期将审计日志存入日志服务器。

数据完整性- b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

数据保密性- b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

建议采用密码技术保证重要数据在存储过程中的完整性和保密性，（如：使用AES、RSA、3DES等）包括但不限于鉴别数据、重要业务数据和重要个人信息等。用户个人信息不能是以明文的形式进行存储的。

数据备份恢复- a）应提供重要数据的本地数据备份与恢复功能；

要对本地数据进行备份，提供本地数据的备份策略，并要对备份的数据进行恢复测试，保证备份数据可用性。

数据备份恢复- b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

要能够提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

个人信息保护- b）应禁止未授权访问和非法使用用户个人信息。

要对采集的用户个人信息进行加密存储或是对存储用户个人信息文件进行权限设置，只允许管理员进行访问。