主機(jī)安全測(cè)評(píng)【精品】PPT課件

1 第4章主機(jī)安全測(cè)評(píng)技術(shù) 2020年4月19日星期日 2 本章要點(diǎn) 3 從 計(jì)算 到 計(jì)算安全 4 信息安全與信息系統(tǒng)安全 信息安全 回答的是what信息系統(tǒng)安全 回答的是how主機(jī)安全 是信息系統(tǒng)安全的分支主機(jī)安全 是信息系統(tǒng)安全的 最后一道防線 5 穿越時(shí)空的暢想 古代信息安全 陰符 陰書(shū) 江湖切口密語(yǔ) 密碼 現(xiàn)代信息安全 對(duì)稱加密非對(duì)稱加密信息隱藏 古代 主機(jī) 安全傳令兵的口令傳令兵的身體 現(xiàn)代主機(jī)安全身份鑒別 自主和強(qiáng)制訪問(wèn)控制安全審計(jì) 剩余信息保護(hù)區(qū) 入侵防范 惡意代碼防范 資源控制 6 防御體系 7 主機(jī)安全測(cè)評(píng)的要點(diǎn) 8 身份鑒別 進(jìn)大門低級(jí) 口令和密碼高級(jí) 數(shù)字證書(shū) 指紋識(shí)別 虹膜識(shí)別 2 自主訪問(wèn)控制 進(jìn)一些重要部門用戶按照自己的意愿對(duì)主機(jī)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問(wèn)他的文件 3 強(qiáng)制訪問(wèn)控制用戶與文件都有一個(gè)事先設(shè)置的 非經(jīng)授權(quán)不能修改的安全屬性 9 4 安全審計(jì) 做了跑不掉 包括對(duì)主機(jī)系統(tǒng)安全日志的保護(hù) 對(duì)用戶行為的記錄 以及對(duì)主機(jī)資源的異常記錄等方面 5 剩余信息保護(hù)主機(jī)存儲(chǔ)敏感信息的空間被釋放給其他用戶的時(shí)候 原來(lái)存儲(chǔ)在主機(jī)里的重要信息要保證及時(shí)清理掉 6 入侵防范 正在干的要及時(shí)發(fā)現(xiàn)包括對(duì)入侵行為的記錄 攻擊的目的地 攻擊的時(shí)間 攻擊者的IP 重要程序是否被破壞以及破壞后是否及時(shí)恢復(fù) 10 7 惡意代碼防范主要檢查主機(jī)是否配備相關(guān)的防惡意代碼的機(jī)制 包括殺毒軟件等 惡意代碼 病毒 木馬 間諜軟件等 8 資源控制用戶不能無(wú)限制的使用主機(jī)資源 也要防止外面的用戶非法掠奪這臺(tái)主機(jī)的資源 11 主機(jī)安全測(cè)評(píng)的實(shí)施 測(cè)評(píng)對(duì)象 天網(wǎng) 的G2G政府內(nèi)部辦公網(wǎng)絡(luò) 青天 子系統(tǒng) 屬于巴山市政府的內(nèi)部辦公業(yè)務(wù) 服務(wù)對(duì)象時(shí)政府各部門的公務(wù)員 處理的政府公文很多帶有敏感性 定級(jí)為3級(jí) 12 主機(jī)身份鑒別訪談 第3級(jí)安全測(cè)評(píng)要求主機(jī)身份鑒別訪談共3項(xiàng) 應(yīng)訪談系統(tǒng)管理員 詢問(wèn)操作系統(tǒng)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn) 應(yīng)訪談數(shù)據(jù)庫(kù)管理員 詢問(wèn)數(shù)據(jù)庫(kù)的身份標(biāo)識(shí)與鑒別機(jī)制采取何種措施實(shí)現(xiàn) 應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫(kù)管理員是否采用了遠(yuǎn)程管理 如采用了遠(yuǎn)程管理 查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng) P79問(wèn)卷調(diào)查 13 主機(jī)安全審計(jì)訪談 第3級(jí)安全測(cè)評(píng)要求主機(jī)安全審計(jì)訪談只有1項(xiàng) 應(yīng)訪談安全審計(jì)員 詢問(wèn)主機(jī)系統(tǒng)是否設(shè)置安全審計(jì) 詢問(wèn)主機(jī)系統(tǒng)對(duì)事件進(jìn)行審計(jì)的選擇要求和策略是什么 對(duì)審計(jì)日志的處理方式有哪些 P79問(wèn)卷調(diào)查 14 主機(jī)剩余信息保護(hù)訪談 第3級(jí)安全測(cè)評(píng)要求主機(jī)剩余信息保護(hù)訪談共2項(xiàng) 應(yīng)訪談系統(tǒng)管理員 詢問(wèn)操作系統(tǒng)用戶的鑒別信息存儲(chǔ)空間 被釋放或再分配給其他用戶前是否得到完全清除 系統(tǒng)內(nèi)的文件 目錄等資源所在的存儲(chǔ)空間 被釋放或重新分配給其他用戶前是否得到完全清除 應(yīng)訪談數(shù)據(jù)庫(kù)管理員 詢問(wèn)數(shù)據(jù)庫(kù)管理員用戶的鑒別信息存儲(chǔ)空間 被釋放或再分配給其他用戶前是否得到完全清除 數(shù)據(jù)庫(kù)記錄第3級(jí)安全測(cè)評(píng)要求等資源所在的存儲(chǔ)空間 被釋放或重新分配給其他用戶前是否得到完全清除 P79問(wèn)卷調(diào)查 15 主機(jī)入侵防范訪談 第3級(jí)安全測(cè)評(píng)要求主機(jī)入侵防范訪談共2項(xiàng) 應(yīng)訪談系統(tǒng)管理員 詢問(wèn)是否采取主機(jī)入侵防范措施 主機(jī)入侵防范內(nèi)容是否包括主機(jī)運(yùn)行監(jiān)視 資源使用超過(guò)值報(bào)警 特定進(jìn)程監(jiān)控 入侵行為檢測(cè)和完整性檢測(cè)等方面的內(nèi)容 應(yīng)訪談系統(tǒng)管理員 詢問(wèn)入侵防范產(chǎn)品的廠家 版本和安裝部署情況 詢問(wèn)是否按要求 如定期或?qū)崟r(shí) 進(jìn)行產(chǎn)品升級(jí) P79問(wèn)卷調(diào)查 16 主機(jī)惡意代碼防范訪談 第3級(jí)安全測(cè)評(píng)要求主機(jī)惡意代碼防范訪談只有1項(xiàng) 應(yīng)訪談系統(tǒng)安全管理員 詢問(wèn)主機(jī)系統(tǒng)是否采取惡意代碼實(shí)時(shí)監(jiān)測(cè)與查殺措施 惡意代碼實(shí)時(shí)監(jiān)測(cè)與查殺措施的部署情況如何 是否按要求進(jìn)行產(chǎn)品升級(jí) P79問(wèn)卷調(diào)查 17 注意 國(guó)家標(biāo)準(zhǔn)關(guān)于第3級(jí)主機(jī)安全訪談規(guī)定 沒(méi)有對(duì) 自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制 和 資源控制 的訪談要求 第4級(jí)以上才會(huì)出現(xiàn) 18 訪談現(xiàn)場(chǎng)檢查 對(duì)訪談內(nèi)容進(jìn)行核實(shí)包括 一是對(duì)各個(gè)主機(jī)所對(duì)應(yīng)的相關(guān)文檔資料進(jìn)行檢查 二是對(duì)各型主機(jī)上運(yùn)用各種操作指令進(jìn)行現(xiàn)場(chǎng)檢查 抽樣檢查 19 主機(jī)安全現(xiàn)場(chǎng)檢查 20 1 主機(jī)身份鑒別現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求主機(jī)的身份鑒別現(xiàn)場(chǎng)檢查共5項(xiàng) 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)身份鑒別功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第二級(jí)以上或TCSECC2級(jí)以上的測(cè)試報(bào)告 文檔檢查 檢查項(xiàng)目建設(shè)的招 投標(biāo)文件來(lái)驗(yàn)證是否達(dá)到要求 21 2 檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)賬戶列表 查看管理員用戶名分配是否唯一 檢查目標(biāo) 檢查操作系統(tǒng)管理員賬戶是否唯一檢查對(duì)象 青天 子系統(tǒng)Web服務(wù)器檢查步驟 開(kāi)始 運(yùn)行cmd命令 netlocalgroupadministrators檢查結(jié)論 該web服務(wù)器 不 符合國(guó)家標(biāo)準(zhǔn)關(guān)于第3級(jí)主機(jī)身份鑒別的安全測(cè)評(píng)要求 22 3 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看是否提供了身份鑒別措施 其身份鑒別信息是否具有不易被冒用的特點(diǎn) 檢查 用戶輸入口令來(lái)檢查 或讓系統(tǒng)管理員提供口令設(shè)置文件和口令替換記錄等資料來(lái)核對(duì) 第3級(jí) 口令長(zhǎng)度至少要達(dá)到7個(gè)字符以上 并混雜有大小寫(xiě)字母 數(shù)字和特殊符號(hào) 口令替換至少每月一次 23 4 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看身份鑒別是否采用兩個(gè)或兩個(gè)以上身份鑒別技術(shù)的組合技術(shù)來(lái)進(jìn)行身份鑒別 比如 口令 生物識(shí)別 物理設(shè)備 動(dòng)態(tài)口令 數(shù)字證書(shū)等二選一 注意 要核對(duì)證書(shū)產(chǎn)品是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng)認(rèn)證 24 5 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看是否配置了鑒別失敗處理功能 并設(shè)置了非法登錄次數(shù)的限制 查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時(shí)并自動(dòng)退出功能 檢查目標(biāo) 查看是否配置了鑒別失敗處理功能 并設(shè)置了非法登錄次數(shù)的限制 查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時(shí)并自動(dòng)退出功能 檢查對(duì)象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 25 檢查步驟 打開(kāi) 管理工具 本地安全設(shè)置 賬戶策略 賬戶鎖定策略 打開(kāi) 管理工具 本地安全設(shè)置 本地策略 安全選項(xiàng)檢查結(jié)論 該web服務(wù)器 不 符合國(guó)家標(biāo)準(zhǔn)關(guān)于第3級(jí)主機(jī)身份鑒別檢查的安全策略要求 26 2 主機(jī)自主訪問(wèn)控制現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求主機(jī)的自主訪問(wèn)控制現(xiàn)場(chǎng)檢查項(xiàng)共6項(xiàng) 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的自主訪問(wèn)控制功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級(jí)以上或TCSECC2級(jí)以上的測(cè)試報(bào)告 27 2 檢查主要服務(wù)器操作系統(tǒng)的安全策略 查看是否對(duì)重要文件的訪問(wèn)權(quán)限進(jìn)行了限制 對(duì)系統(tǒng)不需要的服務(wù) 共享路徑等可能被非授權(quán)訪問(wèn)者 人或程序 進(jìn)行了限制 檢查目標(biāo) 查看是否對(duì)重要文件的訪問(wèn)權(quán)限進(jìn)行了限制 對(duì)系統(tǒng)不需要的服務(wù)是否進(jìn)行了限制 是否對(duì)共享路徑進(jìn)行了限制檢查對(duì)象 青天 子系統(tǒng)內(nèi)網(wǎng)WEB服務(wù)器 28 檢查步驟 管理工具 計(jì)算機(jī)管理 共享文件夾 共享管理工具 服務(wù)檢查結(jié)論 該服務(wù)器未對(duì)共享資源進(jìn)行控制 但禁用了不需要的服務(wù) 重要文件的訪問(wèn)權(quán)限進(jìn)行了限制 不符合第3級(jí)要求 29 3 檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的訪問(wèn)控制列表 查看授權(quán)的用戶中是否存在過(guò)期的賬號(hào)和無(wú)用的賬號(hào)等 訪問(wèn)控制列表中的用戶和權(quán)限 是否與安全策略相一致 檢查目標(biāo) 查看授權(quán)用戶是否存在過(guò)期賬號(hào)和無(wú)用賬號(hào)檢查對(duì)象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 30 檢查步驟 管理工具 計(jì)算機(jī)管理 本地用戶和組 用戶查看用戶權(quán)限并與安全策略相對(duì)比 31 4 檢查主要數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)庫(kù)管理人員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任 5 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看特權(quán)用戶的權(quán)限是否進(jìn)行分離 查看是否采用最小授權(quán)原則 32 6 查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看匿名 默認(rèn)用戶的訪問(wèn)權(quán)限是否被禁用或者嚴(yán)格限制 檢查目標(biāo) 查看匿名 默認(rèn)用戶的訪問(wèn)權(quán)限是否被禁用或者嚴(yán)格限制檢查對(duì)象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 33 檢查步驟 管理工具 本地安全策略 安全選項(xiàng) 讓每個(gè)人權(quán)限應(yīng)用與匿名用戶 限制匿名訪問(wèn)命名管道和共享 允許匿名SID 名稱轉(zhuǎn)換 三項(xiàng)禁用檢查結(jié)論 該服務(wù)器符合本條檢查要求 34 3 主機(jī)的強(qiáng)制訪問(wèn)控制安全檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的強(qiáng)制訪問(wèn)控制現(xiàn)場(chǎng)檢查共3項(xiàng) 均是檢查文檔資料 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的強(qiáng)制訪問(wèn)控制功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級(jí)以上或TCSECC2級(jí)以上的測(cè)試報(bào)告 35 2 檢查服務(wù)器操作系統(tǒng)文檔 查看強(qiáng)制訪問(wèn)控制管理模型是否采用 向下讀 向上寫(xiě) 模型 如果操作系統(tǒng)采用其他強(qiáng)制訪問(wèn)模型 則操作系統(tǒng)文檔中是否有對(duì)這種模型的詳細(xì)分析 并有權(quán)威機(jī)構(gòu)對(duì)這種強(qiáng)制訪問(wèn)控制模型的合理性和完善性的檢查證明 36 3 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng)文檔 查看強(qiáng)制訪問(wèn)控制是否與用戶身份鑒別 識(shí)別等安全功能密切配合 是否控制粒度達(dá)到主體為用戶級(jí) 客體為文件和數(shù)據(jù)庫(kù)表級(jí) 37 4 安全審計(jì)現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的安全審計(jì)現(xiàn)場(chǎng)檢查共5項(xiàng) 均可進(jìn)行手動(dòng)檢查 1 檢查主要服務(wù)器操作系統(tǒng) 主要終端操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶 檢查目標(biāo) 檢查操作系統(tǒng) 查看當(dāng)前審計(jì)范圍是否覆蓋到每個(gè)用戶 檢查對(duì)象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 38 檢查步驟 管理工具 計(jì)算機(jī)管理 系統(tǒng)工具 事件查看器 系統(tǒng)管理工具 計(jì)算機(jī)管理 系統(tǒng)工具 事件查看器 安全性檢查結(jié)論 該服務(wù)器滿足主機(jī)對(duì)用戶的安全審計(jì)要求 39 2 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看審計(jì)策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件 檢查目標(biāo) 查看操作系統(tǒng) 查看審計(jì)策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件 檢查對(duì)象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 40 檢查步驟 管理工具 本地安全設(shè)置 本地策略 審核策略檢查結(jié)論 該服務(wù)器滿足第3級(jí)安全測(cè)評(píng)主機(jī)對(duì)安全審計(jì)策略的要求 41 3 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看審計(jì)記錄信息是否包括事件發(fā)生的日期和事件 觸發(fā)事件的主體與客體 事件的類型 事件的成功或失敗 身份鑒別事件中請(qǐng)求的來(lái)源和事件的結(jié)果等內(nèi)容 檢查方式同 1 42 4 檢查主要服務(wù)器和重要終端操作系統(tǒng) 查看是否授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)工具 并能根據(jù)需要生成審計(jì)報(bào)表 43 5 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 查看審計(jì)跟蹤設(shè)置是否定義了審計(jì)跟蹤極限的閾值 當(dāng)儲(chǔ)存空間被耗盡時(shí) 能否采取必要的保護(hù)措施 檢查目標(biāo) 檢查操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng) 查看審計(jì)跟蹤設(shè)置是否定義了審計(jì)跟蹤極限的閾值 當(dāng)儲(chǔ)存空間被耗盡時(shí) 能否采取必要的保護(hù)措施 檢查對(duì)象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 44 檢查步驟 管理工具 本地安全設(shè)置 本地策略 安全選項(xiàng)管理工具 計(jì)算機(jī)管理 系統(tǒng)工具 事件查看器 右鍵 應(yīng)用程序 屬性檢查結(jié)論 從測(cè)試過(guò)程可以看出 當(dāng)存儲(chǔ)空間耗盡不能記錄安全審核時(shí) 系統(tǒng)會(huì)自動(dòng)采取相應(yīng)保護(hù)措施 但該項(xiàng)已經(jīng)禁止 因此測(cè)試結(jié)果不符合安全審計(jì)的要求 對(duì)審計(jì)日志則設(shè)置了限制 并對(duì)超過(guò)限制采取了必要的保護(hù)措施 因此這項(xiàng)測(cè)試結(jié)果符合要求 45 5 剩余信息保護(hù)現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的剩余信息保護(hù)現(xiàn)場(chǎng)檢查共2項(xiàng) 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)的神域嘻嘻保護(hù)功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級(jí)以上的測(cè)試報(bào)告 46 2 檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng)維護(hù)操作手冊(cè) 查看是否明確用戶的鑒別信息存儲(chǔ)空間 被釋放或再分配給其他用戶前的處理方法和過(guò)程 文件 目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間 被釋放或重新分配給其他用戶前的處理方法和過(guò)程 47 6 主機(jī)的入侵防范現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的入侵防范現(xiàn)場(chǎng)檢查共3項(xiàng) 1 檢查入侵防范系統(tǒng) 查看能否記錄攻擊者的源 攻擊類型 攻擊目標(biāo)和攻擊時(shí)間等 在發(fā)生嚴(yán)重入侵事件時(shí)能否提供報(bào)警功能 檢查目標(biāo) 檢查入侵防范系統(tǒng) 查看能否記錄攻擊者的源 攻擊類型 攻擊目標(biāo)和攻擊時(shí)間等 在發(fā)生嚴(yán)重入侵事件時(shí)能否提供報(bào)警功能 檢查對(duì)象 青天 子系統(tǒng)邊界防火墻以及內(nèi)網(wǎng)某終端 48 檢查步驟 檢查結(jié)論 從測(cè)試過(guò)程可以看出 入侵防范系統(tǒng)可以記錄攻擊者的源IP 攻擊類型 攻擊目標(biāo)和攻擊事件等相關(guān)重要信息 因此符合檢查要求 49 2 檢查是否專門設(shè)置了升級(jí)服務(wù)器來(lái)實(shí)現(xiàn)對(duì)重要服務(wù)器的補(bǔ)丁升級(jí) 檢查目標(biāo) 檢查是否專門設(shè)置了升級(jí)服務(wù)器來(lái)實(shí)現(xiàn)對(duì)重要服務(wù)器的補(bǔ)丁升級(jí) 檢查對(duì)象 青天 子系統(tǒng)某專門升級(jí)服務(wù)器 50 檢查步驟 本實(shí)驗(yàn)服務(wù)器IP192 168 1 67通過(guò)遠(yuǎn)程管理在遠(yuǎn)端計(jì)算機(jī) 模擬的補(bǔ)丁下載地址 打開(kāi)IE瀏覽器 地址欄輸入 http 192 168 1 67 輸入該地址的主機(jī)用戶名和登錄口令 查看其軟件補(bǔ)丁升級(jí)的界面檢查結(jié)論 按第3級(jí)安全測(cè)評(píng)要求設(shè)置了升級(jí)服務(wù)器 可以用于對(duì)重要服務(wù)器的補(bǔ)丁升級(jí) 因此符合檢查要求 51 3 檢查主要服務(wù)器是否已經(jīng)及時(shí)更新了操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)廠商新公布的補(bǔ)丁 檢查目標(biāo) 檢查服務(wù)器的補(bǔ)丁升級(jí)情況檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器檢查步驟 首先安裝MicrosoftBaselineSecurityAnalyzer補(bǔ)丁升級(jí)檢查軟件運(yùn)行 單擊 scanacomputer 檢查結(jié)論 主要服務(wù)器對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行了及時(shí)更新 符合檢查要求 52 7 主機(jī)的惡意代碼現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的惡意代碼現(xiàn)場(chǎng)檢查共2項(xiàng) 1 檢查主要服務(wù)器系統(tǒng)和重要終端系統(tǒng) 查看是否安裝了實(shí)時(shí)檢測(cè)和查殺惡意代碼的軟件產(chǎn)品 查看實(shí)時(shí)檢測(cè)與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能 查看檢測(cè)與查殺惡意代碼軟件產(chǎn)品的廠家 版本號(hào)和惡意代碼庫(kù)名稱 53 2 檢測(cè)網(wǎng)絡(luò)防惡意代碼產(chǎn)品 查看廠家 版本號(hào)和惡意代碼庫(kù)名稱 查看是否與主機(jī)惡意點(diǎn)名產(chǎn)品有不同的惡意代碼庫(kù) 檢查目標(biāo) 查看是否安裝了實(shí)時(shí)檢測(cè)和查殺惡意代碼的軟件產(chǎn)品 查看實(shí)時(shí)檢測(cè)與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能 查看檢測(cè)與查殺惡意代碼軟件產(chǎn)品的廠家 版本號(hào)和惡意代碼庫(kù)名稱 檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 54 檢查步驟 先從裸機(jī)上查看木馬程序是否存在 然后在windows命令行狀態(tài)下輸入命令 netstat a 查看當(dāng)前運(yùn)行的程序所使用的通信端口 打開(kāi) 任務(wù)管理器 查看進(jìn)程打開(kāi)殺毒軟件查看該殺毒軟件產(chǎn)品的廠家 版本號(hào)和惡意代碼庫(kù)名稱 檢查結(jié)論 植入的木馬程序被本機(jī)上的殺毒軟件實(shí)時(shí)發(fā)現(xiàn)并進(jìn)行了查殺 通過(guò)該殺毒軟件 可以清楚地了解到該殺毒軟件的廠家 版本和惡意代碼庫(kù)的名稱 以及日期等信息 因此 符合檢查要求 55 8 主機(jī)的資源控制現(xiàn)場(chǎng)檢查 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)的資源控制現(xiàn)場(chǎng)檢查共4項(xiàng) 1 檢查主要服務(wù)器操作系統(tǒng) 查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能 檢查目標(biāo) 檢查主要服務(wù)器操作系統(tǒng) 查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能 檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 56 檢查步驟 組策略編輯器 gpedit msc 計(jì)算機(jī)配置 管理模板 windows組件 終端服務(wù) 會(huì)話管理工具 本地安全策略 IP安全策略 雙擊安全服務(wù)器 檢查結(jié)論 主要服務(wù)器操作系統(tǒng)設(shè)定了 僅從原始客戶端重新鏈接 和網(wǎng)絡(luò)地址范圍等條件 從而限制了終端登錄 因此符合檢查要求 57 2 檢查主要服務(wù)器操作系統(tǒng) 查看是否限制了單個(gè)用戶對(duì)系統(tǒng)資源的最大和最小使用限度 檢查目標(biāo) 檢查主要服務(wù)器操作系統(tǒng) 查看是否限制了單個(gè)用戶對(duì)系統(tǒng)資源的最大和最小使用限度 檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 58 檢查步驟 我的電腦 右鍵 磁盤 屬性配額 配額項(xiàng)檢查結(jié)論 主要服務(wù)器的操作系統(tǒng)設(shè)置了用戶對(duì)硬盤的使用限制 因此符合檢查要求 59 3 檢查主要服務(wù)器操作系統(tǒng) 查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí) 能檢測(cè)和報(bào)警 檢查目標(biāo) 檢查系統(tǒng)是否為服務(wù)水平設(shè)置了最小值 查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí) 能進(jìn)行檢查和報(bào)警 檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 60 檢查步驟 管理工具 性能 性能日志和報(bào)警 報(bào)警右鍵 新建管理工具 事件查看器 應(yīng)用程序雙擊事件源為sysmonlog的應(yīng)用程序事件檢查結(jié)論 主要服務(wù)器操作系統(tǒng)為服務(wù)水平設(shè)定了最小值 服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí) 能檢測(cè)和報(bào)警 因此符合檢查要求 61 4 檢查能夠訪問(wèn)主要服務(wù)器的終端是否設(shè)置了操作超時(shí)鎖定功能 檢查目標(biāo) 檢查能夠訪問(wèn)主要服務(wù)器的終端是否設(shè)置了操作超時(shí)鎖定功能 檢查對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器檢查步驟 管理工具 終端服務(wù)配置終端服務(wù)配置 連接RDP Tcp檢查結(jié)論 操作超時(shí)鎖定設(shè)定了時(shí)間 因此 符合檢查要求 62 4 2 3主機(jī)安全測(cè)試 第3級(jí)安全測(cè)試要求關(guān)于主機(jī)的安全測(cè)試共8項(xiàng) 63 1 身份鑒別測(cè)試 第3級(jí)主機(jī)安全測(cè)試要求關(guān)于主機(jī)的身份鑒別測(cè)試共3項(xiàng) 1 測(cè)試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 驗(yàn)證鑒別失敗處理功能是否有效 測(cè)試目標(biāo) 測(cè)試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 驗(yàn)證鑒別失敗處理功能是否有效 測(cè)試對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 64 測(cè)試步驟 對(duì)已有賬號(hào)進(jìn)行錯(cuò)誤登錄 3次登錄無(wú)效 結(jié)果P106圖4 33測(cè)試結(jié)果 連續(xù)3次使用系統(tǒng)已有賬戶進(jìn)行錯(cuò)誤登錄 會(huì)使賬戶被鎖定 因此 測(cè)試結(jié)果符合要求 65 2 滲透測(cè)試主要服務(wù)器操作系統(tǒng) 對(duì)服務(wù)器操作系統(tǒng)進(jìn)行用戶口令的強(qiáng)度檢測(cè) 查看能否破解用戶口令 破解口令后能付登錄進(jìn)入系統(tǒng) 測(cè)試目標(biāo) 如上測(cè)試對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 66 測(cè)試步驟 首先安裝perl語(yǔ)言執(zhí)行環(huán)境 下載NTCrack口令破解軟件使用perl命令行語(yǔ)句啟動(dòng)NTCrack工具獲得該機(jī)用戶口令使用破解的口令 成功登陸系統(tǒng)測(cè)試結(jié)論 從測(cè)試過(guò)程可以看出 可以通過(guò)口令破解工具 獲取系統(tǒng)中的弱口令用戶名和密碼 并使用該賬戶名和密碼成功登陸主要服務(wù)器 因此 不符合要求 67 3 滲透測(cè)試主要服務(wù)器操作系統(tǒng) 測(cè)試是否存在繞過(guò)認(rèn)證方式進(jìn)行系統(tǒng)登陸的方法 如認(rèn)證程序存在的安全漏洞 社交工程或其他手段 測(cè)試目標(biāo) 如上測(cè)試對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 68 測(cè)試步驟 運(yùn)行nc exe監(jiān)聽(tīng)一個(gè)沒(méi)有被系統(tǒng)使用的端口 本實(shí)驗(yàn)采用1024端口按照如圖所示運(yùn)行ms06040rpc exe監(jiān)聽(tīng)到shell 說(shuō)明存在成功的繞過(guò)認(rèn)證方式進(jìn)行系統(tǒng)登錄的情況測(cè)試結(jié)論 從測(cè)試過(guò)程可以看出 存在繞過(guò)認(rèn)證方式進(jìn)行成功登錄系統(tǒng)的方法 因此不符合要求 69 2 主機(jī)的自主訪問(wèn)控制測(cè)試 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)安全自主訪問(wèn)控制測(cè)試只有1項(xiàng) 測(cè)試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 依據(jù)系統(tǒng)訪問(wèn)控制的安全策略 并以未授權(quán)用戶身份 角色進(jìn)行訪問(wèn)檢驗(yàn) 以驗(yàn)證系統(tǒng)是否可以拒絕訪問(wèn) 測(cè)試目標(biāo) 如上測(cè)試對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 70 測(cè)試步驟 以管理員身份登錄系統(tǒng) 檢查用戶權(quán)限的分配 以較低權(quán)限用戶身份登錄 進(jìn)行越權(quán)操作 測(cè)試結(jié)論 從測(cè)試過(guò)程可以看出 以權(quán)限較低用戶身份登錄系統(tǒng) 進(jìn)行越權(quán)操作 無(wú)法安裝程序 因此 測(cè)試結(jié)果符合要求 71 3 主機(jī)的強(qiáng)制訪問(wèn)控制測(cè)試 第3級(jí)安全測(cè)評(píng)要求對(duì)主機(jī)安全強(qiáng)制訪問(wèn)控制測(cè)試有2項(xiàng) 1 測(cè)試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫(kù)管理系統(tǒng) 依據(jù)系統(tǒng)文檔描述的強(qiáng)制訪問(wèn)控制模塊 以授權(quán)用戶和非授權(quán)用戶進(jìn)行訪問(wèn) 驗(yàn)證是否只有授權(quán)用戶可以進(jìn)行訪問(wèn) 而非授權(quán)用戶不能訪問(wèn) 測(cè)試目標(biāo) 如上測(cè)試對(duì)象 青天 子系統(tǒng)數(shù)據(jù)庫(kù)服務(wù)器 72 測(cè)試步驟 以任意用戶身份登錄 然后訪問(wèn)不屬于NTFS分區(qū)