windows 三级二级等保问题修复

身份鉴别

问题1：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

 

 

 

 

 

具体操作如下： 

对用户进行鉴别也就是登录时需要你输入用户名、口令的行为。

针对本地登录，使用Win+R组合键打开运行框，在里面内输入netplwiz，则会出现用户账户页面，如下所示：

 

 

 

 

打开控制面板->管理工具->本地安全策略->账户策略->密码策略

 

 

 

 

 

 

使用Win+R组合键打开运行框，在里面内输入 net user administrator，查看administrator账户更换密码的情况，加以证实。

 

 

 

 

对于口令更换策略而言，还有个地方需要先去看看，也就是在计算机管理-本地用户和组-用户中，如果这里勾选了“密码永不过期”，那么windows的密码策略中的“密码最长使用期限”也就失效了。需要先把“密码永不过期”去掉。

 

 

 

 

 

问题2：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

 

 

 

 

具体操作：

打开控制面板->管理工具->本地安全策略->账户策略->账户锁定策略

 

 

 

 

 

问题3：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

 

 

 

 

具体操作：

三级要求 一般不符合，实现方法可以使用堡垒机+加密狗方式。 看客户资金是否充裕购买吧。如果堡垒机支持登陆网络设备，网络安全上的双因子登陆要求也算满足。

 

问题4：当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

 

 

 

 

具体操作如下

如果被测评服务器没有连接外部网络，仅处于内网之中（也没有wifi），管理服务器的方式就是跑去机房进行本地操作的话，也就不存在什么“远程管理”，不存在什么“数据保密性”，自然就符合了。

如果采用远程管理的方式，则分为使用远程桌面还是第三方软件。不可以直接使用远程桌面。同时也需要关闭telnet服务：

查看telnet服务是否开启，没有就合规。

 

 

 

 

建议采用vpn连接内网，然后通过堡垒机进行远程管理。

 

访问控制

问题1:应重命名或删除默认账户，修改默认账户的默认口令；

 

 

 

 

具体操作

查看是否存在默认账户

 

 

 

 

 

 

 

 

同时查看“组”里面的用户和组的

 

 

 

 

 

 

 

查看用户权限分配情况：

 

 

 

 

 

 

问题2：应授予管理用户所需的最小权限，实现管理用户的权限分离；

 

 

 

具体操作：

普通用户，不要改其他文件，让这个默认权限

限制普通用户所需的最小权限，控制其访问范围

 

 

 

 

问题3：应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

具体操作：

主体到客体访问控制策略，Windows是可以实现这一点的，我们以system32文件夹为例，右键点击属性-安全点击编辑，如下图所示：

 

 

 

属性-安全

点击想要授权的用户或组，载选择下边的权限点击确认就可以了，如下图所示：

 

 

 

权限设置

 

 

 

 

问题4：访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

具体操作：

满足问题3可以解决

https://blog.csdn.net/weixin_36230923/article/details/112737672

测评项f

 

问题5：应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

具体操作：

使用第三方软件

https://blog.csdn.net/weixin_36230923/article/details/112737672，测评项g

安全审计

问题1: 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

 

 

 

具体操作：

查看windows日志功能是否开启，默认一般都是开启状态

 

 

 

 

 

 

 

问题2：审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

 

 

 

具体操作：

查看审计策略

 

 

 

问题3：应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

 

 

 

 

 

 

具体操作：

这里首先应该是查看审计记录文件的权限，是否会被未授权用户删除。

windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志（其中最重要的是安全日志），其存储文件分别是：

设置应用日志文件大小至少为 8192 KB，可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志：

 

 

 

 

 

以上日志内容需要进行定期备份，审计记录保留至少6个月以上。

 

问题4：应对审计进程进行保护，防止未经授权的中断。

 

 

 

具体操作：

按截图操作

 

 

入侵防范

问题1：应遵循最小安装的原则，仅安装需要的组件和应用程序；

 

 

 

具体操作：协商可处理

 

问题2：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

具体操作：

 

在防火墙中设置可以远程桌面的ip范围

 

 

 

右键“IP安全策略”，选择“创建 IP 安全策略”

 

 

 

 

 

 

问题3：应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

 

 

 

具体操作：

看甲方提供的安全软件

 

恶意代码防范

问题1：应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

具体操作：

安装甲方提供的杀毒软件

可信验证

问题1：可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

 

 

 

具体操作：

1)核查服务器的启动，是否实现可信验证的检测过程，查看对那些系统引导程序、系统程序或重要配置参数进行可信验证

2)修改其中的重要系统程序之一和应用程序之一，核查是否能够检测到并进行报警

3)是否将验证结果形成审计记录送至安全管理中心"

 

“l）服务器具有可信根芯片或硬件

2)启动过程基于可信根对系统引导程序、系统程序，重要配置参数和关键应用程序等进行可信验证度量

3)在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心

4)安全管理中心可以接收设备的验证结果记录”

数据完整性

问题1：应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

 

 

 

 

问题2：应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

 

 

 

 

数据保密性

问题1：应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

 

 

 

剩余信息保护

问题1：应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除

 

 

 

个人信息保护

问题1：应仅采集和保存业务必需的用户个人信息

 

 

 

 

问题2：应禁止未授权访问和非法使用用户个人信息。