网络安全等级保护测评-Windows篇
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
此项主要考察是否对登录用户进行身份鉴别和服务器自身的密码复杂度配置;
1)身份标识功能属于Windows自带功能。Win+R键打开运行框,输入netplwiz或control userpasswords2 ,查看是否勾选“要使用本机必须输入用户名和密码”;
2)身份标识唯一性:Windows默认满足;查看是否存在多人共用一个账户的情况;
3)口令复杂度:询问实际口令组成情况(>8位,四类字符,3-6月更换,口令不能为简单排列规律,如:admin!@#123);打开控制面板->管理工具->本地安全策略->账户策略->密码策略,查看以下内容的设置情况,例如:
密码必须符合复杂性要求:已启用
密码长度最小值:8个字符
密码最短使用期限:2天
密码最长使用期限:42天
强制密码历史:5个记住的密码
用可还原的加密来存储密码:已禁用
4)定期更换:现场询问实际更换情况;用命令net user administrator查看;查看本地用户和组里相关用户,右键信息是否勾选密码永不过期
注;一般情况下运维人员要么是通过远程桌面登录windows服务器,要么本地登录,这两种使用的都是windows自带的验证功能,所以测评项中的“用户名、口令”指的就是windows系统中的“用户名、口令。
另外第三方软件(向日葵、TeamViewer)登录,需关注该软件的用户名和口令以及相关策略。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
此项主要考察服务器是否具备登录失败处理功能及其相关措施;
)登录失败处理:打开控制面板->管理工具->本地安全策略->账户策略->密码锁定策略,查看相关策略,如:
复位账户锁定计数器:20分钟之后
账户锁定时间:30分钟(15-30分钟)
账户锁定阈值:5次无效登录(3-5次)
2)登录连接超时:
本地/远程登录:右键点击桌面->个性化->屏幕保护程序,查看“等待时间”的长度及是否勾选“在恢复时显示登录屏幕”;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
此项主要考察采用什么方式对服务器进行远程管理;
1)本地管理,则此项不适用。
2)远程桌面(版本):
一、计算机配置–管理模板–window组件–远程桌面服务–远程桌面会话主机–安全
二、运行tsconfig.msc,打开远程桌面会话主机配置,右键RDP-TCP的属性
3)查看是否禁用telnet服务:netstat -an | findstr :23,或者去服务处查看是否有“telnet服务”,是否禁用
注;(远程桌面连接方式中,安全层的三种选择,SSL>协商>RDP,RDP协议本身加密,但它不能从客户端认证服务器,存在中间人攻击的可能性,原则上选择SSL位符合;加密级别四个选项中,原则上选择高为符合,低级别加密,不对从服务器向客户端发送的数据进行加密)
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
此项主要考察是否采用双因子登录的服务器,且至少一种是密码技术;
身份鉴别方式主要有用户名、口令、令牌、UKEY、ca证书、指纹、虹膜等
注;通过在测评过程中业主都只采用了用户名+口令的方式登录,未采用密码技术
参考文献;https://www.freebuf.com/articles/es/218259.html
来源:oschina
链接:https://my.oschina.net/u/4412037/blog/3274073