三級(jí)的

安全計(jì)算環(huán)境-操作系統(tǒng)windows

這里只記錄路徑啊羹膳，參數(shù)怎么定向瓷，見仁見智吶

想了一下還是分開寫吧肠套。--2021.9.11.23.30.14

1身份鑒別

001應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性猖任，身份鑒別信息具有復(fù)雜度要求并定期更換你稚。

密碼復(fù)雜度：控制面板-管理工具-本地安全策略-賬戶策略-密碼策略

復(fù)雜度

身份標(biāo)識(shí)唯一：控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-本地用戶和組

身份標(biāo)識(shí)唯一

定期更換：點(diǎn)開上面的用戶賬戶，屬性里面不勾選密碼永不過期，且在密碼復(fù)雜度設(shè)置使用時(shí)間

定期更換

空口令賬戶：控制面板-用戶賬戶入宦，看到密碼保護(hù)沒有

空口令賬戶

002應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話室琢，限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施乾闰。

失敗處理功能：控制面板-管理工具-本地安全策略-賬戶策略-賬戶鎖定策略

先設(shè)置賬戶鎖定閾值（登錄失敗次數(shù)），后面才能開啟賬戶鎖定時(shí)間（登錄失敗鎖定時(shí)間）和重置賬戶鎖定計(jì)數(shù)器盈滴。

登錄失敗處理

登錄超時(shí)自動(dòng)退出：桌面右鍵-個(gè)性化-屏幕保護(hù)程序（還不如直接在設(shè)置里搜）

選了屏幕保護(hù)程序之后就可以設(shè)置等待時(shí)間涯肩，當(dāng)然笋颤，把在恢復(fù)時(shí)顯示登錄屏幕給勾上蠢莺。

登錄超時(shí)自動(dòng)退出

003當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)朋贬，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽店展。

首先挂据，看它能不能被遠(yuǎn)程纹份，不能就萬事大吉文黎。

進(jìn)入【我的電腦】

我的電腦ok侵俗？

進(jìn)去哦背镇，然后右鍵點(diǎn)屬性

點(diǎn)屬性啊喂

有個(gè)【遠(yuǎn)程設(shè)置】咬展，點(diǎn)他。

遠(yuǎn)程設(shè)置

不允許遠(yuǎn)程就符合啦瞒斩，但一般都是允許遠(yuǎn)程的破婆，那要繼續(xù)看它遠(yuǎn)程（RDP）有沒有使用加密的通道。

遠(yuǎn)程桌面

同時(shí)按win鍵和r鍵胸囱，把【運(yùn)行】弄出來祷舀，輸入gpedit.msc，打開本地組策略編輯器烹笔。

輸入gpedit.msc

打開本地組策略編輯器

計(jì)算機(jī)配置-管理模板-windows組件-遠(yuǎn)程桌面服務(wù)-遠(yuǎn)程桌面會(huì)話主機(jī)-安全裳扯，點(diǎn)擊【設(shè)置客戶端連接加密級(jí)別】

設(shè)置客戶端連接加密級(jí)別

啟用加密級(jí)別

加密級(jí)別

Q然后RDP是什么東西呢？

Remote Display Protocal(遠(yuǎn)程顯示協(xié)議)谤职，雙向奔赴能連接大部分微軟的服務(wù)器嚎朽，安不安全要看它有沒有加密，像上面的高級(jí)加密就用128 位強(qiáng)加密進(jìn)行加密柬帕。在僅包含 128 位客戶端(例如哟忍，運(yùn)行遠(yuǎn)程桌面連接的客戶端)的環(huán)境中使用此加密級(jí)別。不支持此加密級(jí)別的客戶端無法連接到 RD 會(huì)話主機(jī)服務(wù)器陷寝。低級(jí)加密就對(duì)由客戶端發(fā)送到服務(wù)器的數(shù)據(jù)使用 56 位加密進(jìn)行加密锅很。

004應(yīng)采用口令、密碼技術(shù)凤跑、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別爆安，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

口令：賬號(hào)密碼啦

數(shù)字證書：秘鑰啦仔引，CA證書啦

生物技術(shù)：瞳孔啦扔仓，指紋啦褐奥，聲紋啦，面部特征啦

2訪問控制

005應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限翘簇。

一般看系統(tǒng)重要配置目錄的用戶權(quán)限合不合理

比如C:\windows\system撬码，右鍵，點(diǎn)擊【屬性】

比如C:\windows\System32\config版保，右鍵呜笑，點(diǎn)擊【屬性】

懶得寫

點(diǎn)擊【安全】，查看administrators組和user組的權(quán)限彻犁，正常普通用戶組的不能訪問這些文件夾

懶得寫

006應(yīng)重命名或刪除默認(rèn)賬戶叫胁，修改默認(rèn)賬戶的默認(rèn)口令。

查看操作系統(tǒng)用戶：找一找有沒有默認(rèn)用戶汞幢，控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-本地用戶和組-用戶驼鹅。

圖上這四個(gè)就是默認(rèn)用戶了

圖上這四個(gè)就是默認(rèn)用戶了，沒有重命名就點(diǎn)進(jìn)去看有沒有禁用森篷，都沒有就問管理員有沒有改符合復(fù)雜度要求的密碼谤民，都沒有就不符合，一個(gè)漏網(wǎng)之魚都不符合疾宏。

禁得好

007應(yīng)及時(shí)刪除或停用多余的张足、過期的賬戶，避免共享賬戶的存在坎藐。

管理員才知道哪些是多余的为牍、過期的賬戶，要詢問日常使用這個(gè)管理賬號(hào)的有多少個(gè)人岩馍，個(gè)人覺得多于一個(gè)就是共享賬號(hào)了哈碉咆。

008應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離蛀恩。

三權(quán)分立（立法疫铜、行政和司法，大霧）双谆，主要是要廢除超級(jí)管理員壳咕，然后形成系統(tǒng)管理員、安全員顽馋、審計(jì)員在滿足工作的前提下權(quán)限互相制約的局面谓厘。先詢問管理員，操作系統(tǒng)是不是具備了這三種賬號(hào)寸谜，各自歸入哪個(gè)用戶組竟稳，然后進(jìn)入控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-用戶權(quán)限分配，查看系統(tǒng)策略分配到哪個(gè)用戶組下面，是不是符合系統(tǒng)管理員他爸、安全員聂宾、審計(jì)員工作的需求。

簡單寫一下诊笤，不足之處有空再補(bǔ)充

系統(tǒng)管理員負(fù)責(zé)系統(tǒng)的安裝和配置等

安全管理員負(fù)責(zé)安全層面的工作系谐，如訪問控制、入侵防御盏混、漏洞掃描、修復(fù)補(bǔ)丁等

審計(jì)管理員負(fù)責(zé)日志惜论、審計(jì)和備份等

009應(yīng)由授權(quán)主體配置訪問控制策略许赃，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。

先問授權(quán)主體（人或者系統(tǒng)）是誰馆类，除了他混聊，其他人能不能更改訪問控制配置。

查看重要目錄的配置是否符合訪問控制策略乾巧。

010訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)句喜，客體為文件、數(shù)據(jù)庫表級(jí)沟于。

1咳胃、判斷主體是用戶級(jí)、進(jìn)程級(jí)還是其他什么旷太；

2展懈、判斷客體是文件級(jí)、數(shù)據(jù)庫表級(jí)還是其他什么供璧；

3存崖、訪問控制策略合不合理，生不生效睡毒。

011應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記来惧，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。

訪談管理員演顾，主體和客體有沒有參數(shù)能代表他們的安全供搀、敏感等級(jí)。

3安全審計(jì)

012應(yīng)啟用安全審計(jì)功能钠至，審計(jì)覆蓋到每個(gè)用戶趁曼，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略棕洋，建議全開（成功挡闰，失敗）

或者有第三方的審計(jì)軟件。

013審計(jì)記錄應(yīng)包括事件的日期和時(shí)間摄悯、用戶赞季、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息奢驯。

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器-windows日志

014應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)申钩，定期備份，避免受到未預(yù)期的刪除瘪阁、修改或覆蓋等撒遣。

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-事件查看器-windows日志-安全，右鍵【屬性】管跺，可以看到日志的策略和保存地址义黎，要詢問管理員有沒有定期備份的規(guī)定，并查看備份記錄豁跑，如果沒有就不符合廉涕，因?yàn)榉鞘跈?quán)用戶通常點(diǎn)那個(gè)【清除日志】都是可以清掉的。

日志屬性

015應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)艇拍，防止未經(jīng)授權(quán)的中斷狐蜕。

控制面板-管理工具-本地安全策略-安全設(shè)置-本地策略-用戶權(quán)限分配，點(diǎn)擊【管理審核和安全日志】

只有administrators組卸夕，自然不符合层释，超級(jí)管理員是非授權(quán)用戶組。

4入侵防范

016應(yīng)遵循最小安裝的原則快集，僅安裝需要的組件和應(yīng)用程序湃累。

控制面板-程序和功能，詢問管理員哪些是無關(guān)緊要的軟件碍讨，沒有自然就符合治力。

軟件

大半夜餓了，吃塊月餅

017應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)勃黍、默認(rèn)共享和高危端口宵统。

同時(shí)按下win鍵和r鍵，輸入services.msc

不需要的系統(tǒng)服務(wù)：

重點(diǎn)看一下alerter马澈、remote registry service、messenger弄息、task scheduler、server涤伐、print sploor是否開了

alerter：通知所選用戶和計(jì)算機(jī)有關(guān)系統(tǒng)管理級(jí)警報(bào)馒胆。不必要的服務(wù)。

remote registry service：使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置凝果。危險(xiǎn)的服務(wù)祝迂。

messenger：俗稱信使服務(wù)器净，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換。會(huì)有垃圾郵件和垃圾廣告山害，MSBlast和Slammer病毒

task scheduler：可以用來在未來某個(gè)時(shí)間運(yùn)行程序纠俭。可以做后門浪慌。

server：共享文件夾冤荆。

print sploor：將文件加載到內(nèi)存中以便稍后打印。有漏洞匙赞。

默認(rèn)共享：

控制面板-管理工具-計(jì)算機(jī)管理-系統(tǒng)工具-共享文件夾妖碉，要關(guān)掉。

高危端口：

同時(shí)安裝win鍵和r鍵欧宜，輸入cmd

cmd

輸入netstat -an（查詢本地端口和IP）

netstat -an

端口

高危端口：TCP135拴魄、139、445匹中、593、1025顶捷、2745、3127葵蒂、6129等 UDP135、137践付、138缺厉、445等

018應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制永高。

1、主機(jī)防火墻入站規(guī)則限制

控制面板-防火墻-高級(jí)設(shè)置-入站規(guī)則次洼，點(diǎn)擊【遠(yuǎn)程桌面-用戶模式（TCP-In）】，有沒有設(shè)置地址卖毁。

高級(jí)

any就不行

2落萎、IP篩選器

同時(shí)按住win鍵和r鍵，輸入gpedit.msc练链，本地計(jì)算機(jī)策略-計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-IP安全策略翔脱，查看IP篩選器媒鼓。

gpedit.msc

篩個(gè)錘錘

3、依靠硬件設(shè)備例如防火墻疚沐、交換機(jī)等

019應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能潮模，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求亮蛔。

GB/T 28448-2019對(duì)此項(xiàng)測(cè)評(píng)指標(biāo)的對(duì)象為業(yè)務(wù)應(yīng)用系統(tǒng)擎厢、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)文檔，當(dāng)前測(cè)評(píng)對(duì)象不適用动遭。

020應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測(cè)試評(píng)估后偷仿，及時(shí)修補(bǔ)漏洞。

有沒有漏掃炎疆，沒有打補(bǔ)丁記錄国裳，補(bǔ)丁最新版本多少形入。

021應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為缝左，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警浓若。

內(nèi)部：有沒有安裝主機(jī)入侵檢測(cè)軟件蛇数，能不能報(bào)警（短信、郵件等）

外部：有沒有部署IPS（入侵檢測(cè)系統(tǒng)）耳舅、IDS(入侵防御系統(tǒng))

5惡意代碼防范

022應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷浦徊。

可信驗(yàn)證一般都沒有，看操作系統(tǒng)有沒有安裝殺毒軟件霞丧，看病毒庫最新版本和當(dāng)前版本，詢問管理員病毒庫的更新策略等

023可基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序蛹尝、系統(tǒng)程序悉尾、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證突那，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證焕襟，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警饭豹，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

1拄衰、通信設(shè)備（交換機(jī)、路由器等）具有可信根芯片或硬件茫打；

2、啟動(dòng)過程基于可信根對(duì)系統(tǒng)引導(dǎo)程序老赤、系統(tǒng)程序制市、重要配置參數(shù)和關(guān)鍵應(yīng)用程序等進(jìn)行可信驗(yàn)證度量抬旺；

3祥楣、在檢測(cè)到設(shè)備的可信性受到破壞后進(jìn)行報(bào)警汉柒，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心责鳍；

4、安全管理中心可以接收設(shè)備的驗(yàn)證結(jié)果記錄历葛。