1、主机安全检查主机安全检查-Windows主机安全检查流程1.设备编号规则编号规则:设备类型_客户名称_部门名称_数字编号。设备类型(SV服务器;PC-终端;FW防火墙,RO-路由器,SW-交换机);客户名称(拼音缩写);部门名称(拼音缩写);数字编号使用三位数字顺序号。2.主机信息主机信息表设备名称设备编号设备位置正式域名/主机名外部IP地址内部IP地址网关域名服务器操作系统版本号中央处理器内存外部存储设备名称应用服务及版本情况其他信息3.安全检查3.1.系统信息3.1.1收集主机名、工作组/域信息(01001)编号:01001名称:收集主机名、工作组/域信息说明:获得主机名、工作组/域信息检
2、查方法:在“我的电脑”点击右键|属性检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.1.2获得主机IP地址和子网掩码(01002)编号:01002名称:获得主机IP地址和子网掩码说明:获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息检查方法:ipconfig /all检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.1.3服务器是否安装多系统(01003)编号:01003名称:服务器是否安装多系统说明:多系统无法保障文件系统的安全检查方法:Type C:boot.ini检查风险(对系统的影响,请具体描述):无检查结果:适
3、用版本:All备注:3.1.4查看主机路由信息(01004)编号:01004名称:查看主机路由信息说明:获得主机的路由信息检查方法:Route print检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.2.补丁安装情况3.2.1检查系统安装的补丁以及Hotfix(02001)编号:02001名称:检查系统安装的补丁以及Hotfix说明:检查当前主机所安装的Service Pack以及Hotfix检查方法:Psinfo -h检查风险(对系统的影响,请具体描述):检查结果:适用版本:All备注:3.3.帐号和口令3.3.1口令复杂度检查(03001)编号:03001名称
4、:口令复杂度检查说明:对主机或域上用户强制进行口令复杂度检查检查方法:开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:密码必须符合复杂性要求检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:在域中可能无法确定是哪个组策略在生效,可以执行Gpresult来进行分析3.3.2是否有口令最短口令长度要求(03002)编号:03002名称:是否有口令最短口令长度要求说明:对主机或域上用户是否要求最短口令检查方法:开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:密码长度最小值检查风险(对系统的影响,请具体描述):无检查
5、结果:适用版本:Windows 2000及以上版本备注:在域中可能无法确定是哪个组策略在生效,可以执行Gpresult来进行分析3.3.3是否有密码过期策略(03003)编号:03003名称:是否有密码过期策略说明:密码过期策略包括密码最长存留期和最短存留期,最长存留期是指密码在多久后过期,最短存留期是指在多久后才可以修改密码检查方法:开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:# 密码最长存留期,以天为单位,MAXDAYS天后密码过期,缺省为42天(建议不超过42天)# 密码最短存留期,以天为单位,MINDAYS天后才可以修改密码,缺省为0(建议17天)检查风险(对系统
6、的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:可以询问客户管理员进行相关设置。3.3.4帐户锁定策略检查(03004)编号:03004名称:帐户锁定策略检查说明:对主机或域上帐户检查帐号锁定策略锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。检查方法:开始|程序|管理工具|本地安全设置|安全设置|帐户策略:帐户锁定计数器:(建议为30分钟)帐户锁定时间:(建议为30分钟)帐户锁定阀值:(建议5次)检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.3.5检查Guest帐号(03005)编号:030
7、05名称:检查Guest帐号说明:Guest帐号是一个容易忽视的帐号,黑客可能修改该帐号权限,并利用该帐号登陆系统检查方法:net user guest检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.3.6系统是否使用默认管理员帐号(03006)编号:03006名称:系统是否使用默认管理员帐号说明:默认管理员帐号可能被攻击者用来进行密码暴力猜测,建议修改默认管理员用户名。检查方法:net user检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.3.7是否存在可疑帐号(03007)编号:03007名称:是否存在可疑帐号说明:查看系统是否存在
8、攻击者留下的可疑帐号,或检查主机操作人员遗留下的尚未删除的帐号。检查方法:net user检查风险(对系统的影响,请具体描述):可能删除系统中重要用户导致某些应用无法正常使用,建议在删除前将可以帐号禁用,禁用方法 :net user username /active:no检查结果:适用版本:All备注:3.3.8检查系统中是否存在脆弱口令(03008)编号:03008名称:检查系统中是否存在脆弱口令说明:系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。检查方法:安装L0pht crack4进行检查检查风险(对系统的影响,请具体描述):安装该软件需得到客户管理员许可,执行该软件可能导致系统蓝
9、屏。检查结果:适用版本:All备注:3.4.网络与服务3.4.1查看网络开放端口(04001)编号:04001名称:查看网络开放端口说明:查看网络开放端口检查方法:netstat an检查风险(对系统的影响,请具体描述):在大流量网站执行该命令可能结果较多。检查结果:适用版本:All备注:3.4.2网络流量信息(04002)编号:04002名称:网络流量信息说明:得到网络流量信息检查方法:netstat s检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:各版本Windows Server netstat的不同可能导致结果不一致,在Windows 2003中增加了ICMP
10、信息。3.4.3端口、进程对应信息检查(04003)编号:04003名称:端口、进程对应信息检查说明:检查主机端口、进程对应信息检查方法:fport检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以下版本备注:在Windows 2003中Fport无法执行,可以使用 netstat ano 查看端口对应的PID,然后结合04004的检查结果进行整理。3.4.4主机进程信息检查(04004)编号:04004名称:主机进程信息检查说明:查看主机进程信息检查方法:pv e检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.4.5查看启动服
11、务列表(04005)编号:04005名称:查看启动服务列表说明:查看系统已经启动的服务列表检查方法:net start检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.4.6查看主机开放的共享(04006)编号:04006名称:查看主机开放的共享说明:查看主机是否开放了共享或管理共享未关闭。检查方法:net share检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.4.7检查主机端口限制信息(04007)编号:04007名称:检查主机端口限制信息说明:检查主机是否实施了端口限制通常的方法是主机受防火墙保护或在主机上实施了相关的措施进行端口限
12、制。检查方法:一般的方法为询问管理员或从外部telnet连接主机已开放端口检查风险(对系统的影响,请具体描述):无检查结果:无适用版本:All备注:3.5.文件系统3.5.1查看主机磁盘分区类型(05001)编号:05001名称:查看主机磁盘分区类型说明:服务器应使用具有安全特性的NTFS格式,而不应该使用FAT或FAT32分区。检查方法:开始|管理工具|计算机管理|磁盘管理检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.5.2检查特定文件的文件权限(05002)编号:05002名称:检查特定文件的文件权限说明:对于一些敏感文件权限需要进
13、行修改,避免文件被恶意用户执行。检查方法:cacls filename检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All(仅适用于NTFS分区)备注:3.5.3检查特定目录的权限(05003)编号:05003名称:检查特定目录的权限说明:在检查中我们一般检查各个磁盘根目录权限、Temp目录权限检查方法:cacls 目录名检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All(仅适用于NTFS分区)备注:如修改权限需与管理员进行沟通,因为设置根目录权限后以后新建目录都会积存该权限,可能导致IIS访问需要用户名,此时对新建的目录重新设置权限即可。3.6.日志审核3.6.
14、1检查审核情况(06001)编号:06001名称:检查审核情况说明:检查主机的审核情况检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.6.2检查系统事件相关信息(06002)编号:06002名称:检查系统事件相关信息说明:检查系统日志大小、覆盖天数检查方法:开始|运行|eventvwr|右键“系统”检查风险(对系统的影响,请具体描述):检查结果:适用版本:All备注:3.6.3检查应用事件相关信息(06003)编号:06003名称:检查应用事件相
15、关信息说明:检查应用日志大小、覆盖天数检查方法:开始|运行|eventvwr|右键“应用”检查风险(对系统的影响,请具体描述):检查结果:适用版本:All备注:3.6.4检查安全事件相关信息(06004)编号:06004名称:检查安全事件相关信息说明:检查安全日志大小、覆盖天数检查方法:开始|运行|eventvwr|右键“安全”检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.7.安全增强性3.7.1保护注册表,防止匿名访问(07001)编号:07001名称:保护注册表,防止匿名访问说明:默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限,因
16、为默认情况下 Windows 2000 注册表编辑工具支持远程访问。检查方法:开始|运行|regedt32|转到HKLM SYSTEMCurrentControlSetControlSecurePipeServerswinreg|安全|权限检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.7.2对匿名连接的额外限制(07002)编号:07002名称:对匿名连接的额外限制说明:默认情况下,Windows系统允许匿名用户枚举主机帐号列表,获得一些敏感信息。检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检查风险(对系统的影响,请具体描
17、述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.3是否自动注销用户(07003)编号:07003名称:是否自动注销用户说明:检查是否登陆时间用完后自动注销用户检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.4是否显示上次成功登陆用户名(07004)编号:07004名称:是否显示上次成功登陆用户名说明:是否显示上次成功登陆的用户名检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检查风险(
18、对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.5是否允许未登陆关机(07005)编号:07005名称:是否允许未登陆关机说明:是否允许未登陆系统执行关机命令检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.6仅登陆用户允许使用光盘(07006)编号:07006名称:仅登陆用户允许使用光盘说明:仅登陆用户允许使用光盘检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检
19、查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.7仅登陆用户允许使用软盘(07007)编号:07007名称:仅登陆用户允许使用软盘说明:仅登陆用户允许使用软盘检查方法:开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项 检查风险(对系统的影响,请具体描述):无检查结果:适用版本:Windows 2000及以上版本备注:3.7.8是否安装和使用防病毒软件(07008)编号:07008名称:是否安装和使用防病毒软件说明:安装防病毒软件,预防和查杀计算机病毒。检查方法:查看主机上是否有防病毒软件存在,查看防病毒软件的配
20、置和查杀记录。检查结果:适用版本:All备注:3.8.后门与日志检查3.8.1检查注册表中自动启动选项(08001)编号:08001名称:检查注册表中自动启动选项说明:注册表中可以隐藏的后门太多,但我们无法一一进行检查,只能检查较为常见的一些注册表项。检查方法:reg query 注册表键检查风险(对系统的影响,请具体描述):无检查结果:适用版本:All备注:3.8.2应用程序日志记录内容分析(08002)编号:08002名称:应用程序日志记录内容分析说明:查看应用程序日志记录详细内容检查方法:计算机管理-事件查看器-导出应用程序日志检查结果:适用版本:ALL备注:3.8.3安全日志记录内容分析(08003)编号:08003名称:安全日志记录内容分析说明:查看安全日志记录详细内容检查方法:计算机管理-事件查看器-导出安全日志检查结果:适用版本:ALL备注:3.8.4系统日志记录内容分析(08004)编号:08004名称:系统日志记录内容分析说明:查看系统日志记录详细内容检查方法:计算机管理-事件查看器-导出系统日志检查结果:适用版本:ALL备注:
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 