最新2015版-主机安全测评指导书

序号 类别 测评项 的目的、攻击的时间，并在发生严重入侵事件时提供报警； b）应能够对重要程序完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； 测评实施 预期结果 说明 检查 1）检查产品的测试报告、用户手册或管理手册，确认其是否具有相关功能；或由第三方工具提供了相应功能。 访谈 1）组件最小化： 访谈系统安装的组件和应用程序是否 遵循了最小安装的原则； 检查 2）服务最小化： a）依次展开[开始]->（[控制面板]->）[管理工具]->[服务]； b）查看已经启动的或者是手动的服务，一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动； 检查 3）服务端口： 1）如果测试报告、用户手册或管理手册中没有相关描述，且没有提供第三方工具增强该功能，则该项要求为不符合。 c) 操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 1）系统安装的组件和应用程序遵循了最小安装的原则； 2）不必要的服务没有启动； 3）不必要的端口没有打开； 4）a)“共享名”列为空，无C$、D$、IPC$等默认共享。b)HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值不为“0”（0表示共享开启） 5）系统补丁先测试，再升级；补丁号为较新版本。 1）关注系统安装的组件和应用程序情况； 2）关注补丁是否先测试，补丁号是否为较新版本。 序号 类别 测评项 测评实施 依次展开[开始]->[运行]，在文本框中输入cmd点确定，输入netstat –an查看是否有不必要端口开启，如139、445。 检查 4）默认共享： a)依次展开[开始]->[运行]，在文本框中输入cmd点确定，输入net share，查看共享； b)依次展开[开始]->[运行]，在文本框中输入regedit点确定，查看HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\restrictanonymous值是否为“0” 检查 5）补丁更新 访谈系统补丁升级的方法，[开始]->[运行]，在文本框中输入regedit，查看HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Updates下的安装补丁列表。 预期结果 说明 6 恶意代码a) 应安装防恶意代码软件，并及时更新防恶检查 在关注防病毒软1）安装了防病毒软件，病毒库经常更新，是最新版本。 1）查看系统中安装的防病毒软件。件的同时还应该序号 类别 测评项 测评实施 询问管理员病毒库更新策略。查看病毒库的最新版本更新日期是否超过一个星期。 访谈 1）访谈系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。 访谈 1）访谈防恶意代码的管理方式，例如升级方式。 预期结果 说明 保证病毒库是否及时更新。 防范 意代码软件版本和恶意代码库； b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； c) 应支持恶意代码防范的统一管理。 1）主机防恶意代码产品与网络防恶意代码产品的恶意代码库不同 网络上若没有网络防恶意代码产品则本条不符合 关注升级方式是否统一。 防恶意代码统一管理，统一升级。 7 访谈 1）访谈系统管理员了解系统对登录终端的接入方式进行限制的措施； a) 应通过设定终端接2）依次展开[开始]->[控制面入方式、网络地址范围板]->[网络连接]->[本地连接]属系统等条件限制终端登录； 性->[Internet协议]属性中[高资源级]->[选项]->[TCP/IP筛选]中有控制 没有对端口做限制； 3）如果安装有主机防火墙则查看有无登录地址限制。 b)应根据安全策略设置登录终端的操作超时锁定； 检查 1）依次展开[开始]->[控制面板]->[显示]的屏幕保护程序，查1）如果安装有主机防火墙则通过防火墙对登录地址进行限制；如果无主机防火墙，则在“TCP/IP筛选”中对端口做了限制。 1）等待时间应在10分钟以下，在恢复时使用密码保护的选项勾选。 关注等待时间设置是否过长，恢复时使用密码保序号 类别 测评项 测评实施 看登录该服务器的终端是否设置了屏幕锁定。 预期结果 说明 护是否选中。 关注监视的方式，主要目的是了解通过这些监视方式能否使管理员及时、准确了解到服务器的资源使用情况 主要应了解服务器资源的分配是否能满足其业务需求。如果服务器不是多业务竞争使用硬件资源且实时利用率不是很高，那么认为不存在资源紧张情况。确实需要多业务公用资源的，应判断当前的资源分配方式能否满足业务需求。 c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况； 访谈 1）访谈系统管理员了解是否经常查看“系统资源监控器”或第三方监控软件。 1）每日至少三次查看“系统资源监控器”及磁盘使用状况并记录。 或使用集中监控平台实时监控系统资源使用情况。 d) 应限制单个用户对系统资源的最大或最小使用限度； 访谈 1）访谈管理员针对系统资源控制的管理措施，询问服务器是否为专用服务器； 1）CPU使用率不超过70%。 2）同时按下CRL、ALT、Delete键打开[Windows任务管理器]->[性能]，查看CPU使用率。