アクセス制御
a)アカウントと権限はログインしたユーザーに割り当てる必要があります。
この項目は主に、ユーザーがログインしたときにサーバーがユーザーに対応するアカウントと権限を割り当てたかどうかを調査します;
1)オペレーティングシステムにログインできるシステム管理者とのインタビュー、およびそれらは何ですか所有する権限;
2)%systemdrive%\ windows \ system、%systemroot%\ system32 \ configフォルダーを選択し、[プロパティ]-[セキュリティ]を右クリックして、everyoneグループ、usersグループ、administratorsグループの権限設定を表示します。
注:システムには、管理者以外のアカウントを2つ以上持つことをお勧めします
b)デフォルトアカウントの名前を変更または削除する必要があり、デフォルトアカウントのデフォルトパスワードを変更する必要があります。
この項目は主に、所有者がシステムデフォルトアカウントの名前を変更してデフォルトパスワードを変更するかどうかを調査し
ます
。Windows システムのデフォルトアカウントは次のとおりです:管理者とゲスト1)コマンドラインで「lusrmgr」と入力します。 「.msc」、「ローカルユーザーとグループ」ウィンドウがポップアップし、管理者の名前が変更されている
かどうかを確認します。Windowsにはデフォルトのパスワードはありません。2)Guestアカウントが無効になっているかどうかを確認します。無効になっていない場合は、名前を変更する必要があります。
c)共有アカウントの存在を回避するために、
不要なアカウントや期限切れのアカウントを時間内に削除または非アクティブ化する必要があります。この項目は、主にサーバーに不要で不要なアカウントがあり、誰もアカウントを共有できないかどうかを調査します。
コマンドラインに「lusrmgr。 「msc」、「ローカルユーザーとグループ」ウィンドウがポップアップし、O&Mの個人アカウントの使用について尋ねる
d)のユーザー権限の分離を管理し、ユーザーを管理するために最低限必要な権限を与えられなければならない。
経営のこの主な評価は「三権分立」の占めるかどうか;
1)設立のWindowsオペレーティングシステム上のアカウントを表示するために
完了するかどうか2)アカウントは、少なくとも管理アカウントと監査アカウントが含まれているかどうかに関係なく、担当者の実際の状況と一致しています
注;権限の分離:システム管理者、セキュリティ管理者、監査管理者
システム管理者:システム内のアカウント、ドキュメント、ファイルなどの
管理、セキュリティ管理メンバー:承認ポリシーとその他の基本的なポリシーの設定、およびセキュリティパラメータの設定。セキュリティパラメータの設定は、セキュリティ管理センターのセキュリティカテゴリのセキュリティ管理の評価項目に記載されています。セキュリティ管理のセキュリティとセキュリティ管理者のセキュリティが同じ場合は、セキュリティ管理者の機能にセキュリティパラメータを含める必要があります。設定。セキュリティパラメータについての私の理解は、悪意のあるコードの防止と侵入防止、つまり、ウイルス対策ソフトウェア、ファイアウォール、IP戦略、および侵入防止ソフトウェアのパラメータの設定です。
監査管理者:ログストレージ戦略やグループポリシーの監査戦略など、システムの監査戦略の管理。
e)アクセス制御戦略は承認されたサブジェクトによって構成される必要があり、アクセス制御戦略はオブジェクトへのサブジェクトのアクセスルールを規定します。
この項目は主に、サーバーによるアクセス制御戦略とルールを構成するユーザーを調査します;
1)構成を担当するアカウントであるシステム管理者へのインタビューアクセス制御戦略;
2)セキュリティー・ポリシーに従ってアクセス・ルールを構成するかどうか、主要ディレクトリーの許可構成を確認します。
注:通常、構成するシステム管理者は誰ですか
f)アクセス制御の粒度は、サブジェクトのユーザーレベルまたはプロセスレベル、およびオブジェクトのファイルおよびデータベーステーブルレベルに到達する必要があります。
この項目では、主に、アクセス制御戦略が作成されているかどうか、および戦略がユーザーに明確に定義されているかどうかを調べます(ユーザーグループだけではありません) )、ファイル(フォルダだけではありません);
%systemdrive%\ program files、%systemdrive%system32、%systemdrive%\ Windows \ system32 \ config、%systemdrive%\ Windows \ system32 \ secpolなどの重要なフォルダを選択しますその他の重要なファイルについては、[プロパティ]-[セキュリティ]を右クリックし、アクセス許可の設定を表示します。
注:通常の状況では、このアイテムはサブジェクトのユーザーレベル、オブジェクトファイルレベルと一致しています
g)重要なサブジェクトとオブジェクトにセキュリティタグを設定し、セキュリティタグを備えた情報リソースへのサブジェクトのアクセスを制御する必要があります。
この項目は主にサーバーのホストを強化し、機密マークなどを設定します;
管理者がサーバーの機密情報とリソースにマークを付けたかどうかを尋ね、これらのマークされたリソースへのユーザーのアクセスを制限できます。
注:通常の状況では、このアイテムの所有者は一致していません(Windowsに付属するアクセス制御メカニズムは要件に完全に一致していません。サードパーティのソフトウェア(ペッパーマップ)またはカスタマイズされたWindowsシステムを使用する必要があります)
セキュリティ監査
a)セキュリティ監査機能を有効にする必要があります。監査はすべてのユーザーを対象とし、重要なユーザーの動作と重要なセキュリティイベントを監査します。
この項目は主にサーバーで監査機能が有効になっているかどうかを
確認します。ウィンドウの場合、サーバーマネージャーまたはイベントビューアーでまたは、監査ログの特定のコンテンツとコンピューター管理のいくつかの戦略を表示できます。実行ボックスにCompMgmtLauncher、eventvwr、compmgmt.mscと入力して開くことができます
1)Windowsの場合、ログ監査機能はデフォルトでオンになっています。 Windowsイベントログサーバーはデフォルトで有効になっており、通常の状況では無効にできません
。2)コマンドラインに「secpol.msc」と入力すると、「ローカルセキュリティポリシー」ウィンドウがポップアップ表示され、「セキュリティ設定->ローカルポリシー->監査ポリシー」をクリックします。 「すべてのユーザーと重要なイベントを対象とするかどうか、監査ポリシーを確認してください。
監査内容には、
監査ポリシーの変更:成功/失敗の
監査ログインイベント:成功/失敗の
監査オブジェクトアクセス:成功/失敗の
監査プロセスの追跡:成功/失敗の
監査ディレクトリサービスアクセス:成功/失敗の
監査特権の使用:成功/失敗の
監査部門 システムイベント:成功/失敗の
監査アカウントログインイベント:成功/失敗
監査アカウント管理:成功/失敗
3)サードパーティの監査ツールを使用するかどうか
b)監査レコードには、イベントの日時、ユーザー、イベントの種類、イベントの成功、および監査に関連するその他の情報が含まれている必要があります。
この項目では、主
に監査レコードの種類が調べられます。Windowsの監査レコードは、デフォルトでは理論的に一貫しています。[コントロールパネル]-> [管理ツール]-> [イベントビューア]をクリックします
(レベル、ユーザー、記録時間、タスクカテゴリ、イベント、ソースなど)。
c)監査レコードは、意図しない削除、変更、または上書きを回避するために定期的に保護およびバックアップする必要があります。
この項目は主に監査レコードを保護します。
運用および保守中に監査レコードを保持する管理者に依頼することにより、定期的な期間はありますか?バックアップ?バックアップはどこに保存されますか?、保存期間が6か月を超えるかどうか。
d)無許可の中断を防ぐために、監査プロセスを保護する必要があります。
通常、Windowsイベントログサービスをオフにすることはできません。
侵入防止
a)最小インストールの原則に従い、必要なコンポーネントとアプリケーションのみをインストールする必要があります
。appwiz.cplと入力して、ウィンドウにインストールされているプログラム/コントロールパネル-プログラム機能-インストールを確認します。これらのプログラムが冗長かどうかを管理者に確認してください。
b)
不要なシステムサービス、デフォルトの共有ポート、危険度の高いポートを閉じる必要があります。1)コマンドラインで「netstat –an」と入力して、リストのリスニングポートに危険度の高いポート(TCP135、139、445、593、1025など)が含まれているかどうかを確認します。ポート、UDP135、137、138、445ポート、TCP2745、3127、6129ポートなどの一般的なウイルスのバックドアポート。
2)デフォルトの共有を表示します。コマンドラインで「net share」と入力して、ローカルコンピューター上のすべての共有リソースの情報を表示します。デフォルトの共有を開くかどうかは、C $、D listedとして表示されます。
注:サービス、プロセス、ポートの関係は次のとおりです。サービスが有効になると、サービスは1つまたは複数のプロセスを開始し、プロセスはポートをリッスンし、プロセスがポートをリッスンするときのみ、これを行います。ポートの通信は意味があります。
全体として、外部とのコミュニケーションの規制があるかどうかを判断する必要があり、ここで実際の状況を組み合わせて判断する必要があります。
たとえば、デフォルトの共有は削除されていませんが、デフォルトの共有で使用されているポートはファイアウォールまたはIPポリシーによって禁止されているため、機械的に矛盾していると判断できません。
また、監視対象ポートが冗長ポートであるかハイリスクポートであるかは、実態に基づいて判断する必要があり、多くの場合面接が必要です。
最後に、Windowsに付属するファイアウォールおよびIPポリシーに加えて、ハードウェアファイアウォールなどのサードパーティデバイスを使用して制御を実装し、インタビューに注意を払っている可能性があります。
c)ネットワークによって管理される管理端末は、端末アクセス方法またはネットワークアドレス範囲を設定することによって制限する必要があります
。1)リモートデスクトップを使用:Windowsリモートデスクトップを使用したリモート管理の場合、WindowsファイアウォールまたはIPポリシーにあります。または、ハードウェアファイアウォールで、rdpポートにIP制限があるかどうかを確認するには、rdpポートは通常、デフォルト値の3389です。ここでの制限の細分性は、IPアドレスレベル、つまり特定の数または数十のIPアドレス、または少なくとも比較的小さなネットワークセグメントレベルに到達するのが最善であることに注意してください。
2)サードパーティツールの使用:たとえば、TeamViewerを使用する場合、ソフトウェア自体にこの機能があるかどうか、または端末IP制限の管理の効果を達成するために他のソフトウェアを使用するかどうかによって異なります。
3)リモート管理はありません。つまり、実際には戦略は実行されていませんが、サーバーは外部ネットワークからリモートでログインできず、ローカルログインと操作のみがコンピュータールームのサーバーで直接実行できます。または該当しない
d)ヒューマンマシンインターフェースまたは通信インターフェースを介して入力されたコンテンツがシステム設定要件を満たしていることを確認するために、データ有効性検証機能を提供する必要があります。
アプリケーションシステムが外部に入力インターフェースを提供し、データがソースコード設定またはその他のハードウェア対策によって実装されるためです。有効性チェック機能。このテスト項目はサーバーレベルでは適用されません。
e)可能性のある既知の脆弱性を見つけ、十分なテストと評価を行った後、即座に脆弱性にパッチを適用する必要があります;
1)システム管理者に定期的にオペレーティングシステムの脆弱性をスキャンするかどうか、スキャンで見つかった脆弱性を評価して更新するかどうかを尋ねますテスト、更新時間、更新方法。
2)コマンドラインで「appwiz.cpl」と入力し、プログラムと関数のインターフェイスを開き、左側のリストで[インストールされた更新の表示]をクリックし、[インストールされた更新]インターフェイスを開いて、右側のリストでパッチの更新ステータスを確認します。
360警備員および他のソフトウェアはプロのスキャンツールではありません
f)重要なノードの侵入を検出し、重大な侵入が発生したときにアラームを提供できる必要があります。
Windowsの場合、サードパーティのソフトウェアとハードウェアを介して実装する必要があります。EDR、Kaspersky(Enterprise Edition)などの一部のウイルス対策ソフトウェアは、侵入防止の検出とアラーム機能(電子メール、SMSなど)を備えているか、ネットワークに導入されていますIPSなどのデバイスには、関連する機能があります。
さらに、クラウドにデプロイした場合、Alibaba Cloud、Huawei Cloudなどにもこのようなセキュリティサービスがあり、要件も満たすことができます。しかし、テストされた当事者がそのようなセキュリティサービスを購入したかどうかに注意する必要があります。
悪意のあるコードの防止
a)悪意のあるコードの攻撃またはアクティブな免疫の信頼できる検証メカニズムに対する技術的手段を使用して、侵入とウイルスの動作を適時に特定し、それらを効果的にブロックする必要があります。
1)マルウェア対策ソフトウェアがインストールされているかどうかを確認します(注:Windowsオペレーティングシステムの場合、マルウェア対策ソフトウェアがインストールされておらず、リスクが高いと判断され、状況はより深刻です)
2)ウイルスデータベースと悪意のあるコードソフトウェアのバージョンが時間内に更新されているかどうかを確認します
信頼できる検証
a)信頼されたルートに基づいて、コンピューティングデバイスのシステムブートプログラム、システムプログラム、重要な構成パラメーター、およびアプリケーションプログラムを信頼して検証でき、アプリケーションプログラムの主要な実行リンクで動的かつ信頼できる検証を実行できます。セックスが被害を受けると警察に通報し、確認結果を保安管理センターに送る。
現在、ほとんどの情報システムには信頼できる検証がありませんが、産業用制御システムで信頼できる計算が含まれているのはごく一部なので、この項目は現在適用できません。 )
データの整合性
a)の整合性チェック技術は、認証データの送信中に、重要なデータや暗号化技術を含むがこれらに限定されないことを保証するために使用されるべき、重要なビジネスデータ、監査データは、重要な、重要な構成データ、映像データや重要な重要な個人情報等である。
もしサーバーのデータには、独自の構成データのみが含まれ、ID認証項目Cに従って書き込まれ、監査データの送信などの別の計算が含まれます。
b)検証または暗号技術を使用して、認証データ、重要なビジネスデータ、重要な監査データ、重要な構成データ、重要なビデオデータ、および重要な個人情報を含むがこれらに限定されない保管中の重要なデータの整合性を確保する必要があります。
オペレーティングシステムは、独自のデータストレージの整合性を保証できます。
データの機密性
a)暗号化技術を使用して、認証データ、重要なビジネスデータ、重要な個人情報を含むがこれらに限定されない送信中の重要なデータの機密性を確保する必要が
あります。サーバーデータに独自の構成データのみが含まれる場合、CアイテムはIDに基づいて認証されますたとえば、他の監査データの転送を含む書き込み
b)暗号化技術を使用して、認証データ、重要なビジネスデータ、および重要な個人情報を含むがこれらに限定されない保管中の重要なデータの機密性を確保する必要があります。
オペレーティングシステムは、ストレージプロセスにおける自身のデータの機密性を保証できます。
データのバックアップと復元
a)重要なデータのローカルデータバックアップおよびリカバリ機能を提供する必要があります。
サーバーに独自の構成データしかない場合は、バックアップして復元する必要がないため、この項目はサーバーレベルでは適用できず、データベースレベルで反映する必要があります。
b)リモートリアルタイムバックアップ機能を提供し、通信ネットワークを使用して重要なデータをバックアップサイトにリアルタイムでバックアップする必要があります。
サーバーに独自の構成データしかない場合は、リモートバックアップとリカバリは必要ないため、この項目はサーバーレベルでは適用されません。データベースレベルで反映されます。
c)システムの高可用性を確保するために、重要なデータ処理システムの熱冗長性を提供する必要があります。
このアイテムは、サーバーがホット冗長モードで展開されているかどうか、管理者に問い合わせてネットワークトポロジを照会する必要があり、サーバーの高可用性を確保できますか
残りの情報保護
a)認証情報が配置されているストレージスペースが解放または再割り当てされる前に完全にクリアされていることを
確認する必要があります。パスワードを保存するための代替ソース暗号化の使用を無効にし、「仮想メモリページファイルのクリア」を有効にするかどうかを確認します。
b)機密データを含むストレージスペースが解放または再割り当てされる前に、完全にクリアされていることを確認します。
「仮想メモリページファイルのクリア」が無効になっているかどうかを確認します。機密データを含むストレージスペースが解放または再割り当てされる前に完全にクリアされていることを確認できますか
