赞
踩
大家好,欢迎大家阅读本期文章。本人在这里简要说明一下写此文章的初衷,作为一名等保测评师而言,在学会现场测评取证的前提下,我们还得学会编写记录表,记录表作为我们撰写测评报告的必要素材,我们必须为之而专研。此次记录表的描述风格严格按照测评联盟专家建议的三段式描述方法:测评方法+测评过程+测评结论。测评联盟专家在大会上说过,我们记录表描述的内容要能完全还原现场测评的场景,所以此次记录表描述我尽可能写的与现场情况一致。记录表的描述风格,大家别具一格,每个测评师的注重点都不尽一致,且持观点不同,本人以下编写的内容不一定完全正确,欢迎大家批评指正,各抒己见,为等保事业共尽一份力。
备注:此次记录表按照服务器等保三级通用要求而编写,适用于Windows Server 2008 R2 Enterprise。
结果记录:
经核查,在某某服务器上通过win+R(运行)输入dcomcnfg命令-》组件服务-》计算机-》我的电脑-》COM+应用程序,显示仅安装COM+Explorer、COM+Utilities、SystemApplication等必要组件;通过win+R(运行)输入appwiz.cpl命令,显示安装的应用程序,包括:某某卫士、火绒安全软件、驱动精灵等。
符合情况: 部分符合(0.5分)
整改建议: 建议卸载驱动精灵等第三方存在安全风险的应用程序。
结果记录: 经核查,在某某服务器上通过win+R(运行)输入services.msc,查看系统服务,未发现开启例如lerter、Remote
Registry Servicce Messsenger、Task Scheduler、telnet等多余服务;通过运行–》cmd–》输入net
share,查看共享开启情况,显示开启C
、
D
、D
、D、E
、
I
P
C
、IPC
、IPC、ADMIN$等共享服务;通过运行–》cmd–》netstat
-an,查看高危端口开启情况,显示开启135、445、3389等高危端口。
符合情况: 不符合(0分)
整改建议: 建议关闭C 、 D 、D 、D、E 、 I P C 、IPC 、IPC、ADMIN$等共享服务,禁用135、445、3389等高危端口。
结果记录: 经核查,在某某服务器上通过win+R(运行)输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-
In)-》作用域,显示未对接入IP地址进行限制,且未开启本地防火墙。
符合情况: 不符合(0分)
整改建议: 建议开启本地防火墙功能,并通过win+R(运行)输入firewall.cpl-》高级设置-》入站规则-》远程桌面-》用户模式(Tcp-
In)-》作用域,配置:对接入IP地址进行限制,配置白名单策略。
结果记录: 依据GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》,此测评项针对的测评对象不包括服务器,因此该测评项不适用。
符合情况: 不适用
整改建议: 无。
结果记录: 经核查,未定期对某某服务器进行漏洞扫描、渗透测试等测试评估。
符合情况: 不符合(0分)
整改建议: 建议定期进行漏洞扫描、渗透测试等技术检测,对可能存在的已知漏洞、逻辑漏洞,在重复测试评估后及时进行修补,降低安全隐患。
结果记录: 经核查,某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件,对发生的入侵行为进行检测,但未能实现实时报警功能。
符合情况: 部分符合(0.5分)
整改建议: 建议在发生入侵事件时,通过短信或者邮寄等方式提供报警,实现实时报警功能。
结果记录:
经核查,某某服务器部署有某某卫士、火绒安全软件、E****T等安全防护软件,对恶意代码攻击进行防护;火绒安全软件版本号为5.0.22.0,病毒库为:2019-09-02,不是最新版本;某某卫士版本号为:企业版2.0.1.499,授权模块为进程保护,USB外设保护。
符合情况: 部分符合(0.5分)
整改建议: 建议将火绒安全软件等防护软件的版本及病毒库更新至最新版本。
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
结果记录: 经核查,某某服务器未实现基于可信根的可信验证。
符合情况: 不符合(0分)
整改建议: 建议基于可信根对服务器的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证。
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
结果记录:
经核查,在某某服务器上通过win+R(运行)输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全,显示远程(RDP)连接要求使用指定的安全层:未配置,未能保证重要数据在传输过程中的完整性。
符合情况: 不符合(0分)
整改建议:
建议通过win+R(运行)输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全,
启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层,保证重要数据在传输过程中的完整性。
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
结果记录: 经核查,某某服务器鉴别数据存储于Windows\System32\config\SAM文件中,使用NTLM
Hash算法加密存储,但未能保证鉴别数据存储过程中的完整性。
符合情况: 不符合(0分)
整改建议: 建议采用能保证鉴别数据在存储过程中完整性的加密方式对鉴别数据进行加密存储。
结果记录:
经核查,在某某服务器上通过win+R(运行)输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全,显示远程(RDP)连接要求使用指定的安全层:未配置,未能保证重要数据在传输过程中的保密性。
符合情况: 不符合(0分)
整改建议:
建议通过win+R(运行)输入gpedit.msc–》管理模板–》Windows组件–》远程桌面服务–》远程桌面会话主机–》安全,
启用“远程(RDP)连接要求使用指定的安全层”,并选择TLS1.0以上版本的安全层,保证重要数据在传输过程中的保密性。
结果记录: 经核查,某某服务器鉴别信息存储于Windows\System32\config\SAM文件中,已使用NTLM Hash算法加密存储。
符合情况: 符合(1分)
整改建议: 无。
结果记录: 经核查,未定期对某某服务器重要数据进行本地备份。
符合情况: 不符合(0分)
整改建议: 建议定期对重要数据进行本地备份。
结果记录: 经核查,未对某某服务器重要数据进行异地实时备份。
符合情况: 不符合(0分)
整改建议: 建议对重要数据进行异地实时备份。
结果记录: 经核查,某某服务器未采用冗余部署,不能保证的高可用性。
符合情况: 不符合(0分)
整改建议: 建议采用冗余方式进行部署,保证系统的高可用性。
结果记录:
经核查,在某某服务器上通过win+R(运行)输入secpol.msc–》本地策略–》安全选项,显示“交互式登录:不显示最后的用户名”策略为已启用状态,能保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。
符合情况: 符合(1分)
整改建议: 无。
结果记录:
经核查,在某某服务器上通过win+R(运行)输入secpol.msc–》本地策略–》安全选项,显示“关机:清除虚拟内存页面文件”策略为已禁用状态,未能保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
符合情况: 不符合(0分)
整改建议:
建议通过win+R(运行)输入secpol.msc–》本地策略–》安全选项,显示“关机:清除虚拟内存页面文件”配置为已启用状态,保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
策略为已禁用状态,未能保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
符合情况: 不符合(0分)
整改建议:
建议通过win+R(运行)输入secpol.msc–》本地策略–》安全选项,显示“关机:清除虚拟内存页面文件”配置为已启用状态,保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。