主機(jī)安全測評【精品】PPT課件VIP

1 第4章主機(jī)安全測評技術(shù) 2020年4月19日星期日 2 本章要點 3 從 計算 到 計算安全 4 信息安全與信息系統(tǒng)安全 信息安全 回答的是what信息系統(tǒng)安全 回答的是how主機(jī)安全 是信息系統(tǒng)安全的分支主機(jī)安全 是信息系統(tǒng)安全的 最后一道防線 5 穿越時空的暢想 古代信息安全 陰符 陰書 江湖切口密語 密碼 現(xiàn)代信息安全 對稱加密非對稱加密信息隱藏 古代 主機(jī) 安全傳令兵的口令傳令兵的身體 現(xiàn)代主機(jī)安全身份鑒別 自主和強(qiáng)制訪問控制安全審計 剩余信息保護(hù)區(qū) 入侵防范 惡意代碼防范 資源控制 6 防御體系 7 主機(jī)安全測評的要點 8 身份鑒別 進(jìn)大門低級 口令和密碼高級 數(shù)字證書 指紋識別 虹膜識別 2 自主訪問控制 進(jìn)一些重要部門用戶按照自己的意愿對主機(jī)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他的文件 3 強(qiáng)制訪問控制用戶與文件都有一個事先設(shè)置的 非經(jīng)授權(quán)不能修改的安全屬性 9 4 安全審計 做了跑不掉 包括對主機(jī)系統(tǒng)安全日志的保護(hù) 對用戶行為的記錄 以及對主機(jī)資源的異常記錄等方面 5 剩余信息保護(hù)主機(jī)存儲敏感信息的空間被釋放給其他用戶的時候 原來存儲在主機(jī)里的重要信息要保證及時清理掉 6 入侵防范 正在干的要及時發(fā)現(xiàn)包括對入侵行為的記錄 攻擊的目的地 攻擊的時間 攻擊者的IP 重要程序是否被破壞以及破壞后是否及時恢復(fù) 10 7 惡意代碼防范主要檢查主機(jī)是否配備相關(guān)的防惡意代碼的機(jī)制 包括殺毒軟件等 惡意代碼 病毒 木馬 間諜軟件等 8 資源控制用戶不能無限制的使用主機(jī)資源 也要防止外面的用戶非法掠奪這臺主機(jī)的資源 11 主機(jī)安全測評的實施 測評對象 天網(wǎng) 的G2G政府內(nèi)部辦公網(wǎng)絡(luò) 青天 子系統(tǒng) 屬于巴山市政府的內(nèi)部辦公業(yè)務(wù) 服務(wù)對象時政府各部門的公務(wù)員 處理的政府公文很多帶有敏感性 定級為3級 12 主機(jī)身份鑒別訪談 第3級安全測評要求主機(jī)身份鑒別訪談共3項 應(yīng)訪談系統(tǒng)管理員 詢問操作系統(tǒng)的身份標(biāo)識與鑒別機(jī)制采取何種措施實現(xiàn) 應(yīng)訪談數(shù)據(jù)庫管理員 詢問數(shù)據(jù)庫的身份標(biāo)識與鑒別機(jī)制采取何種措施實現(xiàn) 應(yīng)訪談主要操作系統(tǒng)和數(shù)據(jù)庫管理員是否采用了遠(yuǎn)程管理 如采用了遠(yuǎn)程管理 查看采用何種措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽 P79問卷調(diào)查 13 主機(jī)安全審計訪談 第3級安全測評要求主機(jī)安全審計訪談只有1項 應(yīng)訪談安全審計員 詢問主機(jī)系統(tǒng)是否設(shè)置安全審計 詢問主機(jī)系統(tǒng)對事件進(jìn)行審計的選擇要求和策略是什么 對審計日志的處理方式有哪些 P79問卷調(diào)查 14 主機(jī)剩余信息保護(hù)訪談 第3級安全測評要求主機(jī)剩余信息保護(hù)訪談共2項 應(yīng)訪談系統(tǒng)管理員 詢問操作系統(tǒng)用戶的鑒別信息存儲空間 被釋放或再分配給其他用戶前是否得到完全清除 系統(tǒng)內(nèi)的文件 目錄等資源所在的存儲空間 被釋放或重新分配給其他用戶前是否得到完全清除 應(yīng)訪談數(shù)據(jù)庫管理員 詢問數(shù)據(jù)庫管理員用戶的鑒別信息存儲空間 被釋放或再分配給其他用戶前是否得到完全清除 數(shù)據(jù)庫記錄第3級安全測評要求等資源所在的存儲空間 被釋放或重新分配給其他用戶前是否得到完全清除 P79問卷調(diào)查 15 主機(jī)入侵防范訪談 第3級安全測評要求主機(jī)入侵防范訪談共2項 應(yīng)訪談系統(tǒng)管理員 詢問是否采取主機(jī)入侵防范措施 主機(jī)入侵防范內(nèi)容是否包括主機(jī)運(yùn)行監(jiān)視 資源使用超過值報警 特定進(jìn)程監(jiān)控 入侵行為檢測和完整性檢測等方面的內(nèi)容 應(yīng)訪談系統(tǒng)管理員 詢問入侵防范產(chǎn)品的廠家 版本和安裝部署情況 詢問是否按要求 如定期或?qū)崟r 進(jìn)行產(chǎn)品升級 P79問卷調(diào)查 16 主機(jī)惡意代碼防范訪談 第3級安全測評要求主機(jī)惡意代碼防范訪談只有1項 應(yīng)訪談系統(tǒng)安全管理員 詢問主機(jī)系統(tǒng)是否采取惡意代碼實時監(jiān)測與查殺措施 惡意代碼實時監(jiān)測與查殺措施的部署情況如何 是否按要求進(jìn)行產(chǎn)品升級 P79問卷調(diào)查 17 注意 國家標(biāo)準(zhǔn)關(guān)于第3級主機(jī)安全訪談規(guī)定 沒有對 自主訪問控制 強(qiáng)制訪問控制 和 資源控制 的訪談要求 第4級以上才會出現(xiàn) 18 訪談現(xiàn)場檢查 對訪談內(nèi)容進(jìn)行核實包括 一是對各個主機(jī)所對應(yīng)的相關(guān)文檔資料進(jìn)行檢查 二是對各型主機(jī)上運(yùn)用各種操作指令進(jìn)行現(xiàn)場檢查 抽樣檢查 19 主機(jī)安全現(xiàn)場檢查 20 1 主機(jī)身份鑒別現(xiàn)場檢查 第3級安全測評要求主機(jī)的身份鑒別現(xiàn)場檢查共5項 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)身份鑒別功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第二級以上或TCSECC2級以上的測試報告 文檔檢查 檢查項目建設(shè)的招 投標(biāo)文件來驗證是否達(dá)到要求 21 2 檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)賬戶列表 查看管理員用戶名分配是否唯一 檢查目標(biāo) 檢查操作系統(tǒng)管理員賬戶是否唯一檢查對象 青天 子系統(tǒng)Web服務(wù)器檢查步驟 開始 運(yùn)行cmd命令 netlocalgroupadministrators檢查結(jié)論 該web服務(wù)器 不 符合國家標(biāo)準(zhǔn)關(guān)于第3級主機(jī)身份鑒別的安全測評要求 22 3 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看是否提供了身份鑒別措施 其身份鑒別信息是否具有不易被冒用的特點 檢查 用戶輸入口令來檢查 或讓系統(tǒng)管理員提供口令設(shè)置文件和口令替換記錄等資料來核對 第3級 口令長度至少要達(dá)到7個字符以上 并混雜有大小寫字母 數(shù)字和特殊符號 口令替換至少每月一次 23 4 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看身份鑒別是否采用兩個或兩個以上身份鑒別技術(shù)的組合技術(shù)來進(jìn)行身份鑒別 比如 口令 生物識別 物理設(shè)備 動態(tài)口令 數(shù)字證書等二選一 注意 要核對證書產(chǎn)品是否通過了國家權(quán)威機(jī)構(gòu)的測評認(rèn)證 24 5 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看是否配置了鑒別失敗處理功能 并設(shè)置了非法登錄次數(shù)的限制 查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能 檢查目標(biāo) 查看是否配置了鑒別失敗處理功能 并設(shè)置了非法登錄次數(shù)的限制 查看是否設(shè)置網(wǎng)絡(luò)連接登錄超時并自動退出功能 檢查對象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 25 檢查步驟 打開 管理工具 本地安全設(shè)置 賬戶策略 賬戶鎖定策略 打開 管理工具 本地安全設(shè)置 本地策略 安全選項檢查結(jié)論 該web服務(wù)器 不 符合國家標(biāo)準(zhǔn)關(guān)于第3級主機(jī)身份鑒別檢查的安全策略要求 26 2 主機(jī)自主訪問控制現(xiàn)場檢查 第3級安全測評要求主機(jī)的自主訪問控制現(xiàn)場檢查項共6項 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的自主訪問控制功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級以上或TCSECC2級以上的測試報告 27 2 檢查主要服務(wù)器操作系統(tǒng)的安全策略 查看是否對重要文件的訪問權(quán)限進(jìn)行了限制 對系統(tǒng)不需要的服務(wù) 共享路徑等可能被非授權(quán)訪問者 人或程序 進(jìn)行了限制 檢查目標(biāo) 查看是否對重要文件的訪問權(quán)限進(jìn)行了限制 對系統(tǒng)不需要的服務(wù)是否進(jìn)行了限制 是否對共享路徑進(jìn)行了限制檢查對象 青天 子系統(tǒng)內(nèi)網(wǎng)WEB服務(wù)器 28 檢查步驟 管理工具 計算機(jī)管理 共享文件夾 共享管理工具 服務(wù)檢查結(jié)論 該服務(wù)器未對共享資源進(jìn)行控制 但禁用了不需要的服務(wù) 重要文件的訪問權(quán)限進(jìn)行了限制 不符合第3級要求 29 3 檢查主要服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的訪問控制列表 查看授權(quán)的用戶中是否存在過期的賬號和無用的賬號等 訪問控制列表中的用戶和權(quán)限 是否與安全策略相一致 檢查目標(biāo) 查看授權(quán)用戶是否存在過期賬號和無用賬號檢查對象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 30 檢查步驟 管理工具 計算機(jī)管理 本地用戶和組 用戶查看用戶權(quán)限并與安全策略相對比 31 4 檢查主要數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)庫管理人員與操作系統(tǒng)管理員是否由不同管理員擔(dān)任 5 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看特權(quán)用戶的權(quán)限是否進(jìn)行分離 查看是否采用最小授權(quán)原則 32 6 查看主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看匿名 默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制 檢查目標(biāo) 查看匿名 默認(rèn)用戶的訪問權(quán)限是否被禁用或者嚴(yán)格限制檢查對象 青天 子系統(tǒng)內(nèi)網(wǎng)網(wǎng)站web服務(wù)器 33 檢查步驟 管理工具 本地安全策略 安全選項 讓每個人權(quán)限應(yīng)用與匿名用戶 限制匿名訪問命名管道和共享 允許匿名SID 名稱轉(zhuǎn)換 三項禁用檢查結(jié)論 該服務(wù)器符合本條檢查要求 34 3 主機(jī)的強(qiáng)制訪問控制安全檢查 第3級安全測評要求對主機(jī)的強(qiáng)制訪問控制現(xiàn)場檢查共3項 均是檢查文檔資料 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的強(qiáng)制訪問控制功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級以上或TCSECC2級以上的測試報告 35 2 檢查服務(wù)器操作系統(tǒng)文檔 查看強(qiáng)制訪問控制管理模型是否采用 向下讀 向上寫 模型 如果操作系統(tǒng)采用其他強(qiáng)制訪問模型 則操作系統(tǒng)文檔中是否有對這種模型的詳細(xì)分析 并有權(quán)威機(jī)構(gòu)對這種強(qiáng)制訪問控制模型的合理性和完善性的檢查證明 36 3 檢查主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)文檔 查看強(qiáng)制訪問控制是否與用戶身份鑒別 識別等安全功能密切配合 是否控制粒度達(dá)到主體為用戶級 客體為文件和數(shù)據(jù)庫表級 37 4 安全審計現(xiàn)場檢查 第3級安全測評要求對主機(jī)的安全審計現(xiàn)場檢查共5項 均可進(jìn)行手動檢查 1 檢查主要服務(wù)器操作系統(tǒng) 主要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看當(dāng)前審計范圍是否覆蓋到每個用戶 檢查目標(biāo) 檢查操作系統(tǒng) 查看當(dāng)前審計范圍是否覆蓋到每個用戶 檢查對象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 38 檢查步驟 管理工具 計算機(jī)管理 系統(tǒng)工具 事件查看器 系統(tǒng)管理工具 計算機(jī)管理 系統(tǒng)工具 事件查看器 安全性檢查結(jié)論 該服務(wù)器滿足主機(jī)對用戶的安全審計要求 39 2 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件 檢查目標(biāo) 查看操作系統(tǒng) 查看審計策略是否覆蓋到系統(tǒng)內(nèi)重要的安全相關(guān)事件 檢查對象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 40 檢查步驟 管理工具 本地安全設(shè)置 本地策略 審核策略檢查結(jié)論 該服務(wù)器滿足第3級安全測評主機(jī)對安全審計策略的要求 41 3 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看審計記錄信息是否包括事件發(fā)生的日期和事件 觸發(fā)事件的主體與客體 事件的類型 事件的成功或失敗 身份鑒別事件中請求的來源和事件的結(jié)果等內(nèi)容 檢查方式同 1 42 4 檢查主要服務(wù)器和重要終端操作系統(tǒng) 查看是否授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具 并能根據(jù)需要生成審計報表 43 5 檢查主要服務(wù)器操作系統(tǒng) 重要終端操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值 當(dāng)儲存空間被耗盡時 能否采取必要的保護(hù)措施 檢查目標(biāo) 檢查操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng) 查看審計跟蹤設(shè)置是否定義了審計跟蹤極限的閾值 當(dāng)儲存空間被耗盡時 能否采取必要的保護(hù)措施 檢查對象 青天 子系統(tǒng)內(nèi)部郵件服務(wù)器 44 檢查步驟 管理工具 本地安全設(shè)置 本地策略 安全選項管理工具 計算機(jī)管理 系統(tǒng)工具 事件查看器 右鍵 應(yīng)用程序 屬性檢查結(jié)論 從測試過程可以看出 當(dāng)存儲空間耗盡不能記錄安全審核時 系統(tǒng)會自動采取相應(yīng)保護(hù)措施 但該項已經(jīng)禁止 因此測試結(jié)果不符合安全審計的要求 對審計日志則設(shè)置了限制 并對超過限制采取了必要的保護(hù)措施 因此這項測試結(jié)果符合要求 45 5 剩余信息保護(hù)現(xiàn)場檢查 第3級安全測評要求對主機(jī)的剩余信息保護(hù)現(xiàn)場檢查共2項 1 檢查服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的神域嘻嘻保護(hù)功能是否具有 操作系統(tǒng)安全技術(shù)要求 GB T20272 2006 和 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 GB T20273 2006 第2級以上的測試報告 46 2 檢查主要操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)維護(hù)操作手冊 查看是否明確用戶的鑒別信息存儲空間 被釋放或再分配給其他用戶前的處理方法和過程 文件 目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間 被釋放或重新分配給其他用戶前的處理方法和過程 47 6 主機(jī)的入侵防范現(xiàn)場檢查 第3級安全測評要求對主機(jī)的入侵防范現(xiàn)場檢查共3項 1 檢查入侵防范系統(tǒng) 查看能否記錄攻擊者的源 攻擊類型 攻擊目標(biāo)和攻擊時間等 在發(fā)生嚴(yán)重入侵事件時能否提供報警功能 檢查目標(biāo) 檢查入侵防范系統(tǒng) 查看能否記錄攻擊者的源 攻擊類型 攻擊目標(biāo)和攻擊時間等 在發(fā)生嚴(yán)重入侵事件時能否提供報警功能 檢查對象 青天 子系統(tǒng)邊界防火墻以及內(nèi)網(wǎng)某終端 48 檢查步驟 檢查結(jié)論 從測試過程可以看出 入侵防范系統(tǒng)可以記錄攻擊者的源IP 攻擊類型 攻擊目標(biāo)和攻擊事件等相關(guān)重要信息 因此符合檢查要求 49 2 檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補(bǔ)丁升級 檢查目標(biāo) 檢查是否專門設(shè)置了升級服務(wù)器來實現(xiàn)對重要服務(wù)器的補(bǔ)丁升級 檢查對象 青天 子系統(tǒng)某專門升級服務(wù)器 50 檢查步驟 本實驗服務(wù)器IP192 168 1 67通過遠(yuǎn)程管理在遠(yuǎn)端計算機(jī) 模擬的補(bǔ)丁下載地址 打開IE瀏覽器 地址欄輸入 http 192 168 1 67 輸入該地址的主機(jī)用戶名和登錄口令 查看其軟件補(bǔ)丁升級的界面檢查結(jié)論 按第3級安全測評要求設(shè)置了升級服務(wù)器 可以用于對重要服務(wù)器的補(bǔ)丁升級 因此符合檢查要求 51 3 檢查主要服務(wù)器是否已經(jīng)及時更新了操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)廠商新公布的補(bǔ)丁 檢查目標(biāo) 檢查服務(wù)器的補(bǔ)丁升級情況檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟 首先安裝MicrosoftBaselineSecurityAnalyzer補(bǔ)丁升級檢查軟件運(yùn)行 單擊 scanacomputer 檢查結(jié)論 主要服務(wù)器對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行了及時更新 符合檢查要求 52 7 主機(jī)的惡意代碼現(xiàn)場檢查 第3級安全測評要求對主機(jī)的惡意代碼現(xiàn)場檢查共2項 1 檢查主要服務(wù)器系統(tǒng)和重要終端系統(tǒng) 查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品 查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能 查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家 版本號和惡意代碼庫名稱 53 2 檢測網(wǎng)絡(luò)防惡意代碼產(chǎn)品 查看廠家 版本號和惡意代碼庫名稱 查看是否與主機(jī)惡意點名產(chǎn)品有不同的惡意代碼庫 檢查目標(biāo) 查看是否安裝了實時檢測和查殺惡意代碼的軟件產(chǎn)品 查看實時檢測與查殺惡意代碼的軟件產(chǎn)品是否具有惡意代碼防范的統(tǒng)一管理功能 查看檢測與查殺惡意代碼軟件產(chǎn)品的廠家 版本號和惡意代碼庫名稱 檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 54 檢查步驟 先從裸機(jī)上查看木馬程序是否存在 然后在windows命令行狀態(tài)下輸入命令 netstat a 查看當(dāng)前運(yùn)行的程序所使用的通信端口 打開 任務(wù)管理器 查看進(jìn)程打開殺毒軟件查看該殺毒軟件產(chǎn)品的廠家 版本號和惡意代碼庫名稱 檢查結(jié)論 植入的木馬程序被本機(jī)上的殺毒軟件實時發(fā)現(xiàn)并進(jìn)行了查殺 通過該殺毒軟件 可以清楚地了解到該殺毒軟件的廠家 版本和惡意代碼庫的名稱 以及日期等信息 因此 符合檢查要求 55 8 主機(jī)的資源控制現(xiàn)場檢查 第3級安全測評要求對主機(jī)的資源控制現(xiàn)場檢查共4項 1 檢查主要服務(wù)器操作系統(tǒng) 查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能 檢查目標(biāo) 檢查主要服務(wù)器操作系統(tǒng) 查看是否設(shè)定了終端接入方式和網(wǎng)絡(luò)地址范圍等條件限制終端登錄功能 檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 56 檢查步驟 組策略編輯器 gpedit msc 計算機(jī)配置 管理模板 windows組件 終端服務(wù) 會話管理工具 本地安全策略 IP安全策略 雙擊安全服務(wù)器 檢查結(jié)論 主要服務(wù)器操作系統(tǒng)設(shè)定了 僅從原始客戶端重新鏈接 和網(wǎng)絡(luò)地址范圍等條件 從而限制了終端登錄 因此符合檢查要求 57 2 檢查主要服務(wù)器操作系統(tǒng) 查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度 檢查目標(biāo) 檢查主要服務(wù)器操作系統(tǒng) 查看是否限制了單個用戶對系統(tǒng)資源的最大和最小使用限度 檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 58 檢查步驟 我的電腦 右鍵 磁盤 屬性配額 配額項檢查結(jié)論 主要服務(wù)器的操作系統(tǒng)設(shè)置了用戶對硬盤的使用限制 因此符合檢查要求 59 3 檢查主要服務(wù)器操作系統(tǒng) 查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時 能檢測和報警 檢查目標(biāo) 檢查系統(tǒng)是否為服務(wù)水平設(shè)置了最小值 查看是否在服務(wù)水平降低到預(yù)先規(guī)定的最小值時 能進(jìn)行檢查和報警 檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 60 檢查步驟 管理工具 性能 性能日志和報警 報警右鍵 新建管理工具 事件查看器 應(yīng)用程序雙擊事件源為sysmonlog的應(yīng)用程序事件檢查結(jié)論 主要服務(wù)器操作系統(tǒng)為服務(wù)水平設(shè)定了最小值 服務(wù)水平降低到預(yù)先規(guī)定的最小值時 能檢測和報警 因此符合檢查要求 61 4 檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能 檢查目標(biāo) 檢查能夠訪問主要服務(wù)器的終端是否設(shè)置了操作超時鎖定功能 檢查對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器檢查步驟 管理工具 終端服務(wù)配置終端服務(wù)配置 連接RDP Tcp檢查結(jié)論 操作超時鎖定設(shè)定了時間 因此 符合檢查要求 62 4 2 3主機(jī)安全測試 第3級安全測試要求關(guān)于主機(jī)的安全測試共8項 63 1 身份鑒別測試 第3級主機(jī)安全測試要求關(guān)于主機(jī)的身份鑒別測試共3項 1 測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 驗證鑒別失敗處理功能是否有效 測試目標(biāo) 測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 驗證鑒別失敗處理功能是否有效 測試對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 64 測試步驟 對已有賬號進(jìn)行錯誤登錄 3次登錄無效 結(jié)果P106圖4 33測試結(jié)果 連續(xù)3次使用系統(tǒng)已有賬戶進(jìn)行錯誤登錄 會使賬戶被鎖定 因此 測試結(jié)果符合要求 65 2 滲透測試主要服務(wù)器操作系統(tǒng) 對服務(wù)器操作系統(tǒng)進(jìn)行用戶口令的強(qiáng)度檢測 查看能否破解用戶口令 破解口令后能付登錄進(jìn)入系統(tǒng) 測試目標(biāo) 如上測試對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 66 測試步驟 首先安裝perl語言執(zhí)行環(huán)境 下載NTCrack口令破解軟件使用perl命令行語句啟動NTCrack工具獲得該機(jī)用戶口令使用破解的口令 成功登陸系統(tǒng)測試結(jié)論 從測試過程可以看出 可以通過口令破解工具 獲取系統(tǒng)中的弱口令用戶名和密碼 并使用該賬戶名和密碼成功登陸主要服務(wù)器 因此 不符合要求 67 3 滲透測試主要服務(wù)器操作系統(tǒng) 測試是否存在繞過認(rèn)證方式進(jìn)行系統(tǒng)登陸的方法 如認(rèn)證程序存在的安全漏洞 社交工程或其他手段 測試目標(biāo) 如上測試對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 68 測試步驟 運(yùn)行nc exe監(jiān)聽一個沒有被系統(tǒng)使用的端口 本實驗采用1024端口按照如圖所示運(yùn)行ms06040rpc exe監(jiān)聽到shell 說明存在成功的繞過認(rèn)證方式進(jìn)行系統(tǒng)登錄的情況測試結(jié)論 從測試過程可以看出 存在繞過認(rèn)證方式進(jìn)行成功登錄系統(tǒng)的方法 因此不符合要求 69 2 主機(jī)的自主訪問控制測試 第3級安全測評要求對主機(jī)安全自主訪問控制測試只有1項 測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 依據(jù)系統(tǒng)訪問控制的安全策略 并以未授權(quán)用戶身份 角色進(jìn)行訪問檢驗 以驗證系統(tǒng)是否可以拒絕訪問 測試目標(biāo) 如上測試對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 70 測試步驟 以管理員身份登錄系統(tǒng) 檢查用戶權(quán)限的分配 以較低權(quán)限用戶身份登錄 進(jìn)行越權(quán)操作 測試結(jié)論 從測試過程可以看出 以權(quán)限較低用戶身份登錄系統(tǒng) 進(jìn)行越權(quán)操作 無法安裝程序 因此 測試結(jié)果符合要求 71 3 主機(jī)的強(qiáng)制訪問控制測試 第3級安全測評要求對主機(jī)安全強(qiáng)制訪問控制測試有2項 1 測試主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng) 依據(jù)系統(tǒng)文檔描述的強(qiáng)制訪問控制模塊 以授權(quán)用戶和非授權(quán)用戶進(jìn)行訪問 驗證是否只有授權(quán)用戶可以進(jìn)行訪問 而非授權(quán)用戶不能訪問 測試目標(biāo) 如上測試對象 青天 子系統(tǒng)數(shù)據(jù)庫服務(wù)器 72 測試步驟 以任意用戶身份登錄 然后訪問不屬于NTFS分區(qū)