Windows服务器
Windows是目前世界上用户最多、兼容性最强的操作系统之一。Windows操作系统的等级测评主要涉及到六个方面的内容,分别是:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
控制点
1.
身份鉴别
为确保服务器的安全,必须对服务器中的每个用户或与之相连的服务器设备进行有效的标识与鉴别。只有通过鉴别的用户,才能被赋予相应的权限,进入服务器操作系统,并在规定的权限范围内进行操作。
a)
安全要求:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
要求解读:用户的身份标识和鉴别是指用户以一种安全的方式向操作系统提交自己的身份证明,然后由操作系统确认用户的身份是否属实的过程。身份标识应具有唯一性。在用户进入Windows前,系统会弹出一个用户登录界面,要求用户输入用户名和密码,用户通过系统对用户名和密码的验证即可登录。
猜测密码是操作系统遇到最多的攻击方法之一。等级测评对操作系统的密码策略提出了要求。在Windows操作系统中,对密码历史记录、密码更换时间间隔、密码长度、密码复杂度等都有要求。
检查方法
1.核查用户是否需要输入用户名和密码才能登录。
2.核查Windows的默认用户名是否具有唯一性。
3.选择“控制面板”—>“管理工具”—>“计算机管理”—>“本地用户和组”选项,核查有哪些用户,并尝试使用空口令登录。
4.选择“控制面板”—> “管理工具”—> “本地安全策略”—> “账户策略”—> “密码策略”选项,核查密码策略设置是否合理。
期望结果
1.用户登录时需要输入用户名和密码。
2.Windows用户名具有唯一性。
3.无法使用空口令登录。
4.结果如下,如下图所示。
-
密码复杂性要求:已启用。
-
密码长度:至少为8位。
-
密码最长使用期限:不为0。
-
密码最短使用期限:不为0。
-
强制密码历史:至少记住5个密码。
b)
安全要求:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
要求解读:非法用户能够通过反复输入密码达到猜测用户密码的目的,因此,应限制用户登录过程中连续输入错误密码的次数。在用户多次输入错误的密码后,操作系统应自动锁定该用户或一段时间内禁止该用户登录,从而提高非法用户猜测密码的难度。
Windows操作系统具有登录失败处理功能,可以通过适当配置账户锁定策略对用户的登录行为进行限制。
检查方法
1.选择“控制面板”—>“管理工具”—> “本地安全策略”—> “账户策略”—> “密码锁定策略”选项,查看账户锁定时间和账户锁定阈值。
2.在桌面上单击右键,在弹出的快捷菜单中选择 “个性化”——> “屏幕保护程序”选项,查看“等待时间”,以及“在恢复时显示登录屏幕”复选框是否被勾选。
需要说明的是,如果系统已经按前面的方法合理设置密码策略,此项要求就不是很重要了,因为在这种情况下,任何攻击者都不可能在一段合理的时间内猜出密码。例如,设置用户最大登录失败次数,一旦攻击者的登录失败次数超过设定的数值,系统将对其进行登录锁定,从而防止攻击者通过暴力破解的方式登录系统;结合密码定期更换策略,攻击者猜出密码的可能性非常小。如果密码强度很低(例如攻击者能在10次尝试以内猜出),那么问题并不在于账户锁定策略,而在于强度低到极点的密码。
期望结果
1.结果如下。
-
账户锁定时间:不为不适用。
-
账户锁定阀值:不为不适用。
2.已启用远程登录连接超时自动退出的功能。
c)
安全要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
要求解读:为方便管理员进行管理操作,许多服务器都采用网络登录的方式。Windows操作系统一般使用远程桌面(Remote Desktop)进行远程管理。《信息安全技术 网络安全等级保护基本要求》(以下简称为《基本要求》)规定,对传输的数据需要进行加密处理,目的是保障账户和口令的安全。
Windows Server 2003 SP1针对远程桌面提供了SSL加密功能,它可以基于SSL对RDP客户端提供终端服务器的服务器身份验证、加密和RDP客户端通信。要想使用远程桌面的SSL加密功能,远程桌面必须为RDP 5.2或以上版本,即所运行的操作系统必须为Windows Server 2003 SP1或以上版本。
检查方法
1.如果采用本地管理或KVM等硬件管理方式,则此项要求默认满足。
2.如果采用远程管理,则需采用带加密管理的远程管理方式。在命令行窗口输入“gpedit.msc”,在弹出的“本地组策略编辑器”窗口查看“本地计算机 策略”—>“计算机配置”—>“管理模板”—>“Windows组件”—>“远程桌面服务”—>“远程桌面会话主机”—>“安全”中的相关项目。
期望结果
1.本地或KVM默认符合此项要求。
2.远程运维采用加密的RDP协议。
d)
安全要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
要求解读:采用组合的鉴别技术对用户进行身份鉴定是防止欺骗的有效方法。在这里,两种或两种以上组合的鉴别技术是指同时使用不同种类的(至少两种)鉴别技术,且其中一种鉴别技术至少应使用密码技术来实现。
检查方法
询问系统管理员,了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份进行鉴别,并核查其中一种鉴别技术是否使用密码技术来实现。
期望结果
至少采用了两种鉴别技术,其中之一为口令或生物技术,另外一种为基于密码技术的鉴别技术(例如使用基于国密算法的数字证书或数字令牌)。