O sistema operacional Windows do ambiente de computação seguro de teste e avaliação de garantia igual

Others 2021-03-07 14:05:56 views: null

Sistema operacional Windows para ambiente de computação seguro

1. Identificação

a) O usuário que faz o login deve ser identificado e autenticado, a identificação é única, e as informações de identificação possuem requisitos de complexidade e são regularmente substituídas

"1) O usuário precisa inserir o nome de usuário e a senha para fazer o login.
2) O nome de usuário padrão do Windows é exclusivo.
3) Abra o" Painel de Controle "-" Ferramentas Administrativas "-" Gerenciamento do Computador "-" Usuário Local Grupo "para verificar quais usuários estão lá, e tente fazer o login com uma senha vazia
4) Abra" Painel de controle "-" Ferramentas administrativas "-" Política de segurança local "-" Política de conta "" Política de senha "

"1) O usuário precisa inserir o nome de usuário e a senha para fazer login
2) O usuário é único:
3) Tentativa de fazer login com uma senha vazia, sem sucesso
4) Os resultados são os seguintes:
a) Requisitos de complexidade: Ativado:
b) Comprimento mínimo da senha: comprimento mínimo O valor é de pelo menos 8 dígitos
c) O comprimento máximo da senha não é 0
d) A senha mínima não é 0
e) Histórico de senha obrigatório: lembre-se de pelo menos 5 senhas "

b) falhou nas funções de processamento de logon, você deve configurar e habilitar o final da sessão, para limitar o número de login e login ilegal quando a conexão expirar automaticamente sair e outras medidas relacionadas a serem aplicadas

"1) Abra o" Painel de Controle "-" Ferramentas Administrativas "-" Política de Segurança Local "-" Política de Conta "-" Política de Bloqueio de Senha "
2) Clique com o botão direito na área de trabalho ->" Personalização "-> Programa" Protetor de Tela " ", verifique a duração do" tempo de espera "e se a opção" Exibir tela de login durante a recuperação "está marcada.
Deve-se observar que se o sistema definiu uma política de senha razoável de acordo com o método acima, esse requisito não é muito importante, porque nenhum invasor pode adivinhar a senha dentro de um período de tempo razoável. Quando apenas letras maiúsculas e minúsculas e números são usados, e o usuário não usa uma palavra do dicionário e apenas acrescenta um número, se cada adivinhação levar meio segundo, adivinhar A senha leva 3.461.760 anos. Como a senha é alterada regularmente, a probabilidade de um invasor adivinhá-la é muito pequena. Na verdade, se a senha for alterada a cada 70 dias, o invasor precisará do equivalente a 52.000 senhas T3. Ataque a linha do sistema para adivinhar uma senha aleatória antes que a senha expire (claro, é necessário presumir que o código do conteúdo não é uma palavra do dicionário). Em outras palavras, se a senha é fraca e o invasor consegue adivinhá-la dentro de dez vezes, então He Ti não está na estratégia de bloqueio de conta, mas a senha extremamente fraca "

"1) Os resultados são os seguintes:
a) Tempo de bloqueio de conta: Não aplicável
b) Limite de bloqueio de conta: Não aplicável
2) O tempo limite de conexão de login remoto e a função de logout automático estão ativados"

c) Ao conduzir o gerenciamento remoto, as medidas necessárias devem ser tomadas para evitar que as informações de autenticação sejam interceptadas durante a transmissão da rede

"1) Se for gerenciado localmente em um método de gerenciamento de hardware como KVM, este requisito é atendido por padrão.
2) Se o gerenciamento remoto for usado, o gerenciamento remoto com gerenciamento de criptografia é necessário. Digite" pgedit.msc "na linha de comando e abrir a janela "Grupo Local" "Editor de Política", procure "Política do Computador Local Um" Configuração do Computador Um> Modelos Administrativos Um> Componentes do Windows Um Selecione Serviços da Área de Trabalho> Segurança do Host da Sessão da Área de Trabalho Remota "

"1) Local ou VM, o padrão está em conformidade com
2) Operação e manutenção remotas, usando protocolo RDP criptografado"

d) Duas ou mais combinações de tecnologias de autenticação, como senhas, técnicas criptográficas e biotecnologia devem ser usadas para autenticar usuários, e uma das técnicas de autenticação deve, pelo menos, usar técnicas criptográficas para alcançar

"Verifique e pergunte ao administrador do sistema quais métodos de autenticação de identidade são usados ​​no processo de login no sistema operacional e se duas ou mais combinações de tecnologias de autenticação, como senhas, Ukey, tokens, impressões digitais, etc., são usadas. Se existe um método de autenticação que usa tecnologia de senha no processo de autenticação para
registrar o método de autenticação de identidade usado pelo administrador do sistema para fazer login no sistema operacional e, ao mesmo tempo, registrar o método de autenticação usando a senha "

Além da senha, é adotado outro mecanismo de autenticação, que utiliza tecnologia criptográfica, como chamada de máquina criptográfica ou adoção de algoritmos como SM1-SM4

2. Controle de acesso

a) Contas e permissões devem ser atribuídas ao usuário conectado;

"Entreviste os administradores do sistema, as contas que o sistema operacional pode acessar e as permissões que eles possuem.
Selecione as pastas correspondentes, como% systemdrive% \ w indows \ system,% systemroot% \ system32 \ config, clique com o botão direito e selecione" Propriedades ">" Segurança ", veja as configurações de permissões do grupo todos, grupo de usuários e grupo de administradores"

b) A conta padrão deve ser renomeada ou excluída, e a senha padrão da conta padrão deve ser modificada

Digite "lusrmgr.msc" na linha de comando para abrir a janela "Usuários e grupos locais", verifique os itens relacionados em "Usuários e grupos locais-> Usuários"

"1) Verifique o Administrato do sistema Windows na lista à direita, se o ramo foi desativado ou renomeado
2) Pergunte se a senha da conta padrão foi modificada
3) Verifique se a conta de convidado foi desativada"

c) Excluir ou desativar contas redundantes e expiradas a tempo de evitar a existência de contas compartilhadas;

Digite "lusmrgr.msc" na linha de comando, a janela "Usuários e grupos locais" aparecerá, verifique os itens relevantes em "Usuários e grupos locais 1> Usuários", verifique os usuários na lista de usuários à direita, pergunte sobre a finalidade de cada conta e confirme se a conta pertence a redundante, conta expirada ou nome de conta compartilhada

d) A autoridade mínima exigida pelo usuário administrativo deve ser concedida para realizar a separação da autoridade do usuário administrativo;

Digite "secpol.msc" na linha de comando, a janela "Política de segurança local" aparecerá e verifique os itens relevantes em "Configurações de segurança -> Políticas locais> Atribuição de direitos do usuário". A janela de informações detalhadas à direita mostra as configurações da política de permissão do usuário que podem ser implantadas

"
Defina as funções de administrador do sistema, oficial de segurança e auditor, atribua permissões de acordo com as funções dos usuários de gerenciamento, realize a separação das permissões dos usuários de gerenciamento, conceda apenas as permissões mínimas exigidas para os usuários de gerenciamento, e as permissões das funções são mutuamente restritas. "

e) O sujeito autorizado deve configurar a estratégia de controle de acesso, e a estratégia de controle de acesso estipula as regras de acesso do sujeito ao objeto;

"1) Entreviste administradores de sistema, usuários que podem configurar políticas de controle de acesso
2) Verifique a configuração de autoridade dos diretórios principais e se as regras de acesso estão configuradas de acordo com a política de segurança"

"1) Definir regras autorizadas pelo administrador de segurança;
2) Configurar as regras de controle de acesso do sujeito para o objeto e gerenciá-las de maneira unificada."

f) A granularidade do controle de acesso deve atingir o nível do usuário ou do processo como o assunto, e o nível do arquivo e da tabela do banco de dados como o objeto;

Selecione pastas importantes como% systemdrive% \ arquivos de programas,% systemdrive% \ system32 e arquivos importantes como% systemdrive% \ Windows \ system32 conf ig,% systemdrive% \ Windows \ system32 \ secpol, clique com o botão direito e selecione "Propriedades ">" Segurança ", ver configurações de permissão de acesso

As permissões dos usuários são definidas razoavelmente e os usuários podem acessar vários arquivos e nível de tabela do banco de dados de acordo com a estratégia de controle de acesso.

g) Configurar marcas de segurança para assuntos e objetos importantes, e controlar o acesso do sujeito aos recursos de informação com marcas de segurança;

"1) Verifique o manual de função do sistema operacional ou documentos relacionados para confirmar se o sistema operacional é sensível às configurações de recursos de informações
2) Pergunte ao administrador se deve definir marcas confidenciais para recursos de informações importantes
3) Pergunte ou verifique as configurações atuais relacionadas à política de marcas confidenciais , Por exemplo: como classificar rótulos confidenciais, como definir permissões de acesso, etc. "

"1) Existem dados confidenciais no sistema e os funcionários em diferentes níveis definem políticas de controle de acesso obrigatórias. Se não houver dados confidenciais, este artigo N / A
2) 3) Defina diferentes tags confidenciais no nível do assunto e do objeto, e com base nessas tags, o administrador define o caminho de controle de acesso, seja para usar um host de terceiros para reforçar o sistema ou para redesenvolver e reforçar o kernel do sistema operacional e realmente visualizar a interface visual do sistema. Implantar um terceiro host para reforçar o sistema, que pode definir marcas de segurança para o sujeito e objeto, e controlar o sujeito O caminho de acesso ao objeto
"

3. Auditoria de Segurança

a) A função de auditoria de segurança deve ser habilitada, e a auditoria cobre todos os usuários, e comportamentos importantes do usuário e eventos de segurança importantes são auditados;

"1) Verifique se a função de auditoria de segurança está habilitada no sistema.
Digite" "" secpol.msc "na linha de comando, a janela" Política de segurança local "aparecerá e verifique os itens relevantes em" Configurações de segurança -> Política local -> Política de auditoria ". À direita O painel de informações detalhadas ao lado exibe as configurações da política de auditoria.
2) Pergunte e verifique se há uma ferramenta ou sistema de auditoria de terceiros"

"1) Os resultados são os seguintes:
a) Mudanças na política de auditoria: sucesso, falha
b) Eventos de login de auditoria: sucesso, falha
c) Acesso ao objeto de auditoria: sucesso, falha
d) Acompanhamento do processo de auditoria: sucesso, falha
e) Para auditar o diretório acesso ao serviço: Falha
f) Auditar o uso de privilégios: falha
g) Auditar eventos do sistema: sucesso, falha
h) Auditar eventos de login da conta: sucesso, falha
i) Auditar gerenciamento da conta: sucesso, falha
2) Implementar ferramentas de auditoria de terceiros para alcançar o pleno cobertura de usuários, principalmente para a auditoria do comportamento de operação do usuário "

b) O registro de auditoria deve incluir a data e hora do evento, usuário, tipo de evento, se o evento foi bem-sucedido e outras informações relacionadas à auditoria;

"Verifique se o registro de auditoria contém as informações necessárias
1) Digite" eventvwr.msc "na linha de comando e a janela" Visualizador de eventos "aparecerá." Visualizador de eventos (local) -> Log do Windows "" inclui "Aplicativos" , “Segurança”, “Configurações” e “Sistema”. Clique em qualquer tipo de evento para verificar se o arquivo de log atende a este requisito.
2) Se uma ferramenta de auditoria de terceiros estiver instalada, então: Verifique se o registro de auditoria inclui data, hora, tipo, identificação do sujeito, identificação do objeto e resultado "

"1) O registro de auditoria no visualizador de eventos do sistema operacional Windows é satisfeito por padrão.
2) Na ferramenta de auditoria de terceiros, verifique o registro de auditoria. As informações de auditoria contêm informações como data, assunto e objeto e tipo."

c) Os registros de auditoria devem ser protegidos e submetidos a backup regularmente para evitar exclusão, modificação ou substituição inesperada;

1) Se os dados de log forem armazenados localmente, pergunte sobre o ciclo de backup do registro de auditoria e se há um backup remoto. Digite "eventvwr. Msc" na linha de comando e a janela "Visualizador de eventos" aparecerá. O "Visualizador de eventos (local) -> Log do Windows" inclui "Aplicativos", "Segurança", "Configurações" e "Sistema ". Registre o tipo de evento, clique com o botão direito no tipo de evento, selecione" Propriedades "no menu suspenso e visualize a estratégia de armazenamento de log
2) Se os dados de log estiverem armazenados no servidor de log e a estratégia de auditoria for razoável, o requisito está em conformidade "

"1) Log de armazenamento local, você pode ver o diretório de armazenamento, ciclo e políticas relacionadas, etc.
2) Se um servidor de log for implantado, você pode ver o caminho de armazenamento, etc."

d) O processo de auditoria deve ser protegido para evitar interrupções não autorizadas;

"1) Entreviste se há algum monitoramento de processo de auditoria de terceiros e medidas de proteção
2) Digite" secpol.msc "na linha de comando e a janela" Política de segurança local "aparecerá, clique em" Configurações de segurança -> Política local -> Permissões do usuário "Atribuir", clique com o botão direito em "Gerenciar registro de auditoria e segurança" na política para ver se há apenas o auditor do sistema ou o grupo de usuários ao qual o auditor do sistema pertence "

"1) Em conformidade por padrão
2) Outros não auditores não podem fazer login e operar o registro, e há uma pessoa dedicada responsável pelo gerenciamento do registro de auditoria"

4. Prevenção de intrusões

a) O princípio de instalação mínima deve ser seguido, e apenas os componentes e aplicativos necessários devem ser instalados;

"1) Entreviste se o princípio mínimo de instalação é seguido ao instalar o sistema, verifique o manual de operação de instalação
2) Use comandos para verificar os pacotes de programas instalados no sistema operacional e pergunte se há componentes e aplicativos desnecessários no momento"

"1) A instalação do sistema segue o princípio da instalação mínima
2) Não existem componentes e aplicativos que não sejam necessários para o negócio"

b) Serviços de sistema desnecessários, compartilhamento padrão e portas de alto risco devem ser fechadas;

"1) Visualize os serviços do sistema.
Digite" services. Msc "na linha de comando para abrir a interface de gerenciamento de serviços do sistema e verifique os serviços redundantes na lista de serviços detalhada à direita, como Alerta, Remote Registry Servicce Messsenger e Task Scheduler .
2) Verifique a porta de escuta.
Digite "netstat -an" na linha de comando para verificar se as portas de escuta na lista incluem portas de alto risco, como portas TCP 135, 139, 45, 593, 1025, portas UDP 135, 137, 138, 445 e alguns vírus populares A porta dos fundos, como portas TCP 2745, 3127, 6129.
3) Ver o compartilhamento padrão.
Digite "net share" na linha de comando para ver as informações de todos os recursos compartilhados no computador local e se o padrão o compartilhamento está ativado, como C , D, D, D
4) Visualize a política de firewall do host
. Digite "firewal1. Cpl" na linha de comando para abrir a interface do firewall do Windows e verifique se o firewall do Windows está ativado. Clique em "Configurações avançadas" na lista à esquerda para abrir a janela "Segurança avançada do Firewall do Windows". Clique em "Regras de entrada" na lista à esquerda e à direita exibe as regras de entrada do Firewall do Windows. Verifique se as regras de entrada bloqueiam o acesso a serviços redundantes ou portas de alto risco.

c) O terminal de gerenciamento gerenciado pela rede deve ser restringido pela configuração do modo de acesso do terminal ou faixa de endereço de rede;

"1) Peça ao administrador do sistema para gerenciar o método de acesso do terminal.
Verifique as restrições de endereço de acesso do firewall do host no terminal de login.
Digite" firewall.cpl "na linha de comando para abrir a interface do firewall do Windows e verifique se o firewall do Windowsd está ativado. Clique em "Configurações avançadas" na lista à esquerda para abrir a janela "Segurança avançada do Windows Firewall", clique em "Regras de entrada" na lista à esquerda e clique duas vezes em "Área de trabalho remota um modo de usuário (TCP-In)" ", abra o "Propriedades do modo de usuário de área de trabalho remota (TCP-In)" "e selecione" Cidade de ação "para visualizar os itens relacionados.
Verifique a restrição do filtro de IP
no endereço de acesso do terminal de login. Digite "gpedit.msc" na linha de comando para abrir a interface do editor de política de grupo local e clique em "Política do computador local -> Configuração do computador Configurações do Windows -> Segurança em a lista à esquerda. Configurações -> Política de segurança de IP ", clique duas vezes na política relevante no lado direito do computador local para restringir o endereço do terminal de login", verifique a "Lista de filtros de IP" e "Propriedades de filtro de IP"
2 ) O método de acesso e endereço do terminal de login na limitação de alcance da rede.
Pergunte e verifique se o modo de acesso do terminal, o alcance do endereço de rede e outras condições são restritos através de equipamento de rede ou firewall de hardware. "

"1) Definir regras de controle de acesso por meio do firewall de host
2) Restrições de endereço de acesso por meio de firewalls de rede, restrições de host de bastião e segmentos de IP"

d) A função de verificação de validade de dados deve ser fornecida para garantir que a entrada de conteúdo através da interface homem-máquina ou interface de comunicação atenda aos requisitos de configuração do sistema;
não aplicável
e) As lacunas conhecidas que possam existir devem ser encontradas, e após testes suficientes e avaliação, consertar lacunas no tempo;

“Entreviste os administradores de sistema se eles regularmente verificam o sistema operacional em busca de vulnerabilidades, se eles realizam avaliações e testes de atualização de patch para vulnerabilidades encontradas na verificação, se eles realizam atualizações de patch em tempo hábil e como atualizá-los.
Digite" appwiz.cp1 "na linha de comando e abra a interface de programa e função, clique em" Exibir atualizações instaladas "na lista à esquerda, abra a interface" Atualizações instaladas "e verifique o status de atualização do patch na lista à direita"

f) Deve ser capaz de detectar a intrusão de nós importantes e fornecer um alarme quando ocorrer um evento de intrusão grave;

"

1) Entreviste o administrador do sistema se o software de detecção de intrusão do host está instalado, verifique a configuração do sistema de detecção de intrusão do host instalado e se ele tem a função de alarme
2) Verifique o diagrama de topologia da rede para verificar se o sistema de detecção de intrusão da rede, tal como IDS, é implantado na rede "

"1) Não há sistema de detecção de intrusão de host instalado.
2) Há software IDS e IPS na rede.
4) Se o host não estiver implantado com equipamento IDS de host. Você pode verificar se é IDS ou IPS no link de rede . Quando ocorrer um evento de intrusão, registre as medidas de alarme, etc. "

5. Prevenção de códigos maliciosos

a) Devem ser adotadas medidas técnicas contra ataques de código malicioso ou mecanismos de verificação de confiança imune ativos para identificar intrusões e comportamentos de vírus em tempo hábil e bloqueá-los de forma eficaz;

"1) Verifique o software antivírus instalado no sistema. Pergunte ao administrador sobre a estratégia de atualização do banco de dados de vírus. Verifique se a versão mais recente do banco de dados de vírus foi atualizada por mais de uma semana.
2) Verifique que tipo de verificação confiável mecanismo é adotado no sistema e entrevistar o administrador para perceber o princípio etc.
3) consulta entre administradores de sistema e software antivírus de rede, software antivírus foi usado para hospedar o vírus
4) se o administrador do sistema pergunta se um unificado vírus atualiza políticas e estratégias matando
5) quando um vírus é encontrado intrusões, como Descubra como bloquear efetivamente, etc., mecanismo de alarme, etc. "

") Instale a versão online do software antivírus, o banco
de dados de vírus mais recente 2) Verifique que tipo de mecanismo de verificação confiável é adotado no sistema, e o princípio de implementação é baseado na tecnologia TPM de raiz confiável, etc.
3) A versão online de antivírus e antivírus host têm diferentes vírus Banco de dados, recursos heterogêneos
4) O antivírus é uma versão de rede e o banco de dados de vírus é atualizado de maneira uniforme
5) Uma intrusão de vírus é detectada e há um mecanismo de alerta por e-mail . "

6. Verificação confiável

a) Com base na raiz de confiança, o programa de inicialização do sistema, programa do sistema, parâmetros de configuração importantes e programa de aplicativo do dispositivo de computação podem ser verificados com segurança e a verificação confiável dinâmica pode ser realizada no link de execução principal do aplicativo. à polícia depois que a segurança for danificada, formar um registro de auditoria do resultado da verificação e enviá-lo ao centro de gerenciamento de segurança;

"
1) Verifique a inicialização do servidor, se ele realiza o processo de detecção de verificação confiável, verifique qual programa de inicialização do sistema, programa do sistema ou parâmetros de configuração importantes são confiáveis ​​para verificar
2) Modifique um dos programas de sistema importantes e um dos programas de aplicativo, Verifique se pode ser detectado e alarme
3) Se o resultado da verificação é formado em um registro de auditoria e enviado para o centro de gestão de segurança "

"L) O servidor tem um chip ou hardware de raiz de confiança
2) O processo de inicialização é baseado na raiz de confiança para realizar métricas de verificação confiáveis ​​em programas de inicialização do sistema, programas do sistema, parâmetros de configuração importantes e aplicativos-chave, etc. .
3) Quando for detectado que sua credibilidade foi afetada Após a destruição, um alarme é emitido, e o resultado da verificação é transformado em um registro de auditoria e enviado para o centro de gerenciamento de segurança
4) O centro de gerenciamento de segurança pode receber o registro do resultado da verificação do equipamento "

7. Integridade de dados

a) A tecnologia de verificação ou tecnologia criptográfica deve ser usada para garantir a integridade de dados importantes durante a transmissão, incluindo, mas não se limitando a, dados de autenticação, dados de negócios importantes, dados de auditoria importantes, dados de configuração importantes, dados de vídeo importantes e informações pessoais importantes, etc. ;

b) A tecnologia de verificação ou tecnologia criptográfica deve ser usada para garantir a integridade de dados importantes no processo de armazenamento, incluindo, mas não se limitando a dados de autenticação, dados de negócios importantes, dados de auditoria importantes, dados de configuração importantes, dados de vídeo importantes e informações pessoais importantes, etc .;

8. Confidencialidade de dados

a) A tecnologia de criptografia deve ser usada para garantir a confidencialidade de dados importantes durante a transmissão, incluindo, mas não se limitando a, dados de autenticação, dados comerciais importantes e informações pessoais importantes, etc .;

b) A tecnologia de criptografia deve ser usada para garantir a confidencialidade de dados importantes no processo de armazenamento, incluindo, mas não se limitando a, dados de autenticação, dados comerciais importantes e informações pessoais importantes, etc .;

9. Backup e recuperação de dados

a) As funções de backup e recuperação de dados locais de dados importantes devem ser fornecidas;

b) A função de backup remoto em tempo real deve ser fornecida, e a rede de comunicação deve ser usada para fazer backup de dados importantes para o site de backup em tempo real;

c) A redundância térmica do sistema de processamento de dados importante deve ser fornecida para garantir a alta disponibilidade do sistema;

"1) Entreviste os administradores de sistema sobre quais sistemas de processamento de dados importantes são sistemas de processamento de dados importantes, se sistemas de processamento de dados importantes têm mecanismos de backup, se eles usam backups locais de backup a quente ou backups de assistência mútua para atividades remotas.
2) Verifique a lista de equipamentos e se sistemas de processamento de dados importantes usam servidor Hot Standby "

"1) Faça backups periódicos de dados importantes, como dados do usuário, dados de autenticação, etc., e faça backup na área local via fita.
2) Para equipamentos importantes, adote métodos de alta disponibilidade, como backup dinâmico, clustering e carregamento balanceamento. "

10. Proteção de informações restantes

a) Deve ser assegurado que o espaço de armazenamento onde se encontram as informações de autenticação seja completamente limpo antes de ser divulgado ou realocado;

b) Deve-se assegurar que o espaço de armazenamento contendo dados sensíveis seja completamente limpo antes de ser liberado ou realocado;

11. Proteção de informações pessoais

a) Apenas as informações pessoais do usuário necessárias para os negócios devem ser coletadas e armazenadas
Não aplicável
b) O acesso não autorizado e o uso ilegal de informações pessoais do usuário devem ser proibidos Não
aplicável

Acho que você gosta

Origin blog.csdn.net/weixin_45380284/article/details/113895260
Recomendado
Clasificación
Diario
Más
2024-05-30(0)
2024-05-29(0)
2024-05-28(0)
2024-05-27(0)
2024-05-26(0)
2024-05-25(0)
2024-05-24(11)
2024-05-23(35)
2024-05-22(9)
2024-05-21(34)

Code World

© 2018 codetd.com