三級(jí)的

安全計(jì)算環(huán)境-操作系統(tǒng)windows

這里只記錄路徑啊，參數(shù)怎么定，見(jiàn)仁見(jiàn)智吶

想了一下還是分開(kāi)寫吧。--2021.9.11.23.30.14

1身份鑒別

001應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

密碼復(fù)雜度：控制面板-管理工具-本地安全策略-賬戶策略-密碼策略

復(fù)雜度

身份標(biāo)識(shí)唯一：控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-本地用戶和組

身份標(biāo)識(shí)唯一

定期更換：點(diǎn)開(kāi)上面的用戶賬戶，屬性里面不勾選密碼永不過(guò)期，且在密碼復(fù)雜度設(shè)置使用時(shí)間

定期更換

空口令賬戶：控制面板-用戶賬戶，看到密碼保護(hù)沒(méi)有

空口令賬戶

002應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話，限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施。

失敗處理功能：控制面板-管理工具-本地安全策略-賬戶策略-賬戶鎖定策略

先設(shè)置賬戶鎖定閾值（登錄失敗次數(shù)），后面才能開(kāi)啟賬戶鎖定時(shí)間（登錄失敗鎖定時(shí)間）和重置賬戶鎖定計(jì)數(shù)器。

登錄失敗處理

登錄超時(shí)自動(dòng)退出：桌面右鍵-個(gè)性化-屏幕保護(hù)程序（還不如直接在設(shè)置里搜）

選了屏幕保護(hù)程序之后就可以設(shè)置等待時(shí)間，當(dāng)然，把在恢復(fù)時(shí)顯示登錄屏幕給勾上。

登錄超時(shí)自動(dòng)退出

003當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)。

首先，看它能不能被遠(yuǎn)程，不能就萬(wàn)事大吉。

進(jìn)入【我的電腦】

我的電腦ok？

進(jìn)去哦，然后右鍵點(diǎn)屬性

點(diǎn)屬性啊喂

有個(gè)【遠(yuǎn)程設(shè)置】，點(diǎn)他。

遠(yuǎn)程設(shè)置

不允許遠(yuǎn)程就符合啦，但一般都是允許遠(yuǎn)程的，那要繼續(xù)看它遠(yuǎn)程（RDP）有沒(méi)有使用加密的通道。

遠(yuǎn)程桌面

同時(shí)按win鍵和r鍵，把【運(yùn)行】弄出來(lái)，輸入gpedit.msc，打開(kāi)本地組策略編輯器。

輸入gpedit.msc

打開(kāi)本地組策略編輯器

計(jì)算機(jī)配置-管理模板-windows組件-遠(yuǎn)程桌面服務(wù)-遠(yuǎn)程桌面會(huì)話主機(jī)-安全，點(diǎn)擊【設(shè)置客戶端連接加密級(jí)別】

設(shè)置客戶端連接加密級(jí)別

啟用加密級(jí)別

加密級(jí)別

Q然后RDP是什么東西呢？

Remote Display Protocal(遠(yuǎn)程顯示協(xié)議)，雙向奔赴能連接大部分微軟的服務(wù)器，安不安全要看它有沒(méi)有加密，像上面的高級(jí)加密就用128 位強(qiáng)加密進(jìn)行加密。在僅包含 128 位客戶端(例如，運(yùn)行遠(yuǎn)程桌面連接的客戶端)的環(huán)境中使用此加密級(jí)別。不支持此加密級(jí)別的客戶端無(wú)法連接到 RD 會(huì)話主機(jī)服務(wù)器。低級(jí)加密就對(duì)由客戶端發(fā)送到服務(wù)器的數(shù)據(jù)使用 56 位加密進(jìn)行加密。

004應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

口令：賬號(hào)密碼啦

數(shù)字證書(shū)：秘鑰啦，CA證書(shū)啦

生物技術(shù)：瞳孔啦，指紋啦，聲紋啦，面部特征啦

2訪問(wèn)控制

005應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限。

一般看系統(tǒng)重要配置目錄的用戶權(quán)限合不合理

比如C:\windows\system，右鍵，點(diǎn)擊【屬性】

比如C:\windows\System32\config，右鍵，點(diǎn)擊【屬性】

懶得寫

點(diǎn)擊【安全】，查看administrators組和user組的權(quán)限，正常普通用戶組的不能訪問(wèn)這些文件夾

懶得寫

006應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

查看操作系統(tǒng)用戶：找一找有沒(méi)有默認(rèn)用戶，控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-本地用戶和組-用戶。

圖上這四個(gè)就是默認(rèn)用戶了

圖上這四個(gè)就是默認(rèn)用戶了，沒(méi)有重命名就點(diǎn)進(jìn)去看有沒(méi)有禁用，都沒(méi)有就問(wèn)管理員有沒(méi)有改符合復(fù)雜度要求的密碼，都沒(méi)有就不符合，一個(gè)漏網(wǎng)之魚(yú)都不符合。

禁得好

007應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在。

管理員才知道哪些是多余的、過(guò)期的賬戶，要詢問(wèn)日常使用這個(gè)管理賬號(hào)的有多少個(gè)人，個(gè)人覺(jué)得多于一個(gè)就是共享賬號(hào)了哈。

008應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

三權(quán)分立（立法、行政和司法，大霧），主要是要廢除超級(jí)管理員，然后形成系統(tǒng)管理員、安全員、審計(jì)員在滿足工作的前提下權(quán)限互相制約的局面。先詢問(wèn)管理員，操作系統(tǒng)是不是具備了這三種賬號(hào)，各自歸入哪個(gè)用戶組，然后進(jìn)入控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-用戶權(quán)限分配，查看系統(tǒng)策略分配到哪個(gè)用戶組下面，是不是符合系統(tǒng)管理員、安全員、審計(jì)員工作的需求。

簡(jiǎn)單寫一下，不足之處有空再補(bǔ)充

系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝和配置等

安全管理員負(fù)責(zé)安全層面的工作，如訪問(wèn)控制、入侵防御、漏洞掃描、修復(fù)補(bǔ)丁等

審計(jì)管理員負(fù)責(zé)日志、審計(jì)和備份等

009應(yīng)由授權(quán)主體配置訪問(wèn)控制策略，訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則。

先問(wèn)授權(quán)主體（人或者系統(tǒng)）是誰(shuí)，除了他，其他人能不能更改訪問(wèn)控制配置。

查看重要目錄的配置是否符合訪問(wèn)控制策略。

010訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)。

1、判斷主體是用戶級(jí)、進(jìn)程級(jí)還是其他什么；

2、判斷客體是文件級(jí)、數(shù)據(jù)庫(kù)表級(jí)還是其他什么；

3、訪問(wèn)控制策略合不合理，生不生效。

011應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。

訪談管理員，主體和客體有沒(méi)有參數(shù)能代表他們的安全、敏感等級(jí)。

3安全審計(jì)

012應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略，建議全開(kāi)（成功，失?。?/p>

或者有第三方的審計(jì)軟件。

013審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器-windows日志

014應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器-windows日志-安全，右鍵【屬性】，可以看到日志的策略和保存地址，要詢問(wèn)管理員有沒(méi)有定期備份的規(guī)定，并查看備份記錄，如果沒(méi)有就不符合，因?yàn)榉鞘跈?quán)用戶通常點(diǎn)那個(gè)【清除日志】都是可以清掉的。

日志屬性

015應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-用戶權(quán)限分配，點(diǎn)擊【管理審核和安全日志】

只有administrators組，自然不符合，超級(jí)管理員是非授權(quán)用戶組。

4入侵防范

016應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

控制面板-程序和功能，詢問(wèn)管理員哪些是無(wú)關(guān)緊要的軟件，沒(méi)有自然就符合。

軟件

大半夜餓了，吃塊月餅

017應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

同時(shí)按下win鍵和r鍵，輸入services.msc

不需要的系統(tǒng)服務(wù)：

重點(diǎn)看一下alerter、remote registry service、messenger、task scheduler、server、print sploor是否開(kāi)了

alerter：通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級(jí)警報(bào)。不必要的服務(wù)。

remote registry service：使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置。危險(xiǎn)的服務(wù)。

messenger：俗稱信使服務(wù)，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換。會(huì)有垃圾郵件和垃圾廣告，MSBlast和Slammer病毒

task scheduler：可以用來(lái)在未來(lái)某個(gè)時(shí)間運(yùn)行程序?？梢宰龊箝T。

server：共享文件夾。

print sploor：將文件加載到內(nèi)存中以便稍后打印。有漏洞。

默認(rèn)共享：

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-共享文件夾，要關(guān)掉。

高危端口：

同時(shí)安裝win鍵和r鍵，輸入cmd

cmd

輸入netstat -an（查詢本地端口和IP）

netstat -an

端口

高危端口：TCP135、139、445、593、1025、2745、3127、6129等 UDP135、137、138、445等

018應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。

1、主機(jī)防火墻入站規(guī)則限制

控制面板-防火墻-高級(jí)設(shè)置-入站規(guī)則，點(diǎn)擊【遠(yuǎn)程桌面-用戶模式（TCP-In）】，有沒(méi)有設(shè)置地址。

高級(jí)

any就不行

2、IP篩選器

同時(shí)按住win鍵和r鍵，輸入gpedit.msc，本地計(jì)算機(jī)策略-計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-IP安全策略，查看IP篩選器。

gpedit.msc

篩個(gè)錘錘

3、依靠硬件設(shè)備例如防火墻、交換機(jī)等

019應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

GB/T 28448-2019對(duì)此項(xiàng)測(cè)評(píng)指標(biāo)的對(duì)象為業(yè)務(wù)應(yīng)用系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔，當(dāng)前測(cè)評(píng)對(duì)象不適用。

020應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過(guò)充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞。

有沒(méi)有漏掃，沒(méi)有打補(bǔ)丁記錄，補(bǔ)丁最新版本多少。

021應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

內(nèi)部：有沒(méi)有安裝主機(jī)入侵檢測(cè)軟件，能不能報(bào)警（短信、郵件等）

外部：有沒(méi)有部署IPS（入侵檢測(cè)系統(tǒng)）、IDS(入侵防御系統(tǒng))

5惡意代碼防范

022應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷。

可信驗(yàn)證一般都沒(méi)有，看操作系統(tǒng)有沒(méi)有安裝殺毒軟件，看病毒庫(kù)最新版本和當(dāng)前版本，詢問(wèn)管理員病毒庫(kù)的更新策略等

023可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

1、通信設(shè)備（交換機(jī)、路由器等）具有可信根芯片或硬件；

2、啟動(dòng)過(guò)程基于可信根對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證度量；

3、在檢測(cè)到設(shè)備的可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心；

4、安全管理中心可以接收設(shè)備的驗(yàn)證結(jié)果記錄。