主机安全检查.docx

主机安全检查.docx

《主机安全检查.docx》由会员分享，可在线阅读，更多相关《主机安全检查.docx（25页珍藏版）》请在冰点文库上搜索。

主机安全检查

主机安全检查-

Windows主机安全检查流程

1.设备编号规则

编号规则：

设备类型_客户名称_部门名称_数字编号。

设备类型（SV－服务器；PC-终端；FW－防火墙，RO-路由器，SW-交换机）；

客户名称（拼音缩写）；

部门名称（拼音缩写）；

数字编号使用三位数字顺序号。

2.主机信息

主机信息表

设备名称

设备编号

设备位置

正式域名/主机名

外部IP地址

内部IP地址

网关

域名服务器

操作系统

版本号

中央处理器

内存

外部存储设备

名称

应用服务及版本情况

其他信息

3.安全检查

3.1.系统信息

3.1.1收集主机名、工作组/域信息（01001）

编号：

01001

名称：

收集主机名、工作组/域信息

说明：

获得主机名、工作组/域信息

检查方法：

在“我的电脑”点击右键|属性

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.1.2获得主机IP地址和子网掩码（01002）

编号：

01002

名称：

获得主机IP地址和子网掩码

说明：

获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息

检查方法：

ipconfig/all

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.1.3服务器是否安装多系统（01003）

编号：

01003

名称：

服务器是否安装多系统

说明：

多系统无法保障文件系统的安全

检查方法：

TypeC:

\boot.ini

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.1.4查看主机路由信息（01004）

编号：

01004

名称：

查看主机路由信息

说明：

获得主机的路由信息

检查方法：

Routeprint

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.2.补丁安装情况

3.2.1检查系统安装的补丁以及Hotfix（02001）

编号：

02001

名称：

检查系统安装的补丁以及Hotfix

说明：

检查当前主机所安装的ServicePack以及Hotfix

检查方法：

Psinfo-h

检查风险（对系统的影响，请具体描述）：

检查结果：

适用版本：

All

备注：

3.3.帐号和口令

3.3.1口令复杂度检查（03001）

编号：

03001

名称：

口令复杂度检查

说明：

对主机或域上用户强制进行口令复杂度检查

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

密码必须符合复杂性要求

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析

3.3.2是否有口令最短口令长度要求（03002）

编号：

03002

名称：

是否有口令最短口令长度要求

说明：

对主机或域上用户是否要求最短口令

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

密码长度最小值

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析

3.3.3是否有密码过期策略（03003）

编号：

03003

名称：

是否有密码过期策略

说明：

密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

#密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）

#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议1~7天）

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

可以询问客户管理员进行相关设置。

3.3.4帐户锁定策略检查（03004）

编号：

03004

名称：

帐户锁定策略检查

说明：

对主机或域上帐户检查帐号锁定策略

锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略：

帐户锁定计数器：

（建议为30分钟）

帐户锁定时间：

（建议为30分钟）

帐户锁定阀值：

（建议5次）

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.3.5检查Guest帐号（03005）

编号：

03005

名称：

检查Guest帐号

说明：

Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统

检查方法：

netuserguest

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.3.6系统是否使用默认管理员帐号（03006）

编号：

03006

名称：

系统是否使用默认管理员帐号

说明：

默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。

检查方法：

netuser

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.3.7是否存在可疑帐号（03007）

编号：

03007

名称：

是否存在可疑帐号

说明：

查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。

检查方法：

netuser

检查风险（对系统的影响，请具体描述）：

可能删除系统中重要用户导致某些应用无法正常使用，建议在删除前将可以帐号禁用，禁用方法：

netuserusername/active:

no

检查结果：

适用版本：

All

备注：

3.3.8检查系统中是否存在脆弱口令（03008）

编号：

03008

名称：

检查系统中是否存在脆弱口令

说明：

系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。

检查方法：

安装L0phtcrack4进行检查

检查风险（对系统的影响，请具体描述）：

安装该软件需得到客户管理员许可，执行该软件可能导致系统蓝屏。

检查结果：

适用版本：

All

备注：

3.4.网络与服务

3.4.1查看网络开放端口（04001）

编号：

04001

名称：

查看网络开放端口

说明：

查看网络开放端口

检查方法：

netstat–an

检查风险（对系统的影响，请具体描述）：

在大流量网站执行该命令可能结果较多。

检查结果：

适用版本：

All

备注：

3.4.2网络流量信息（04002）

编号：

04002

名称：

网络流量信息

说明：

得到网络流量信息

检查方法：

netstat–s

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

各版本WindowsServernetstat的不同可能导致结果不一致，在Windows2003中增加了ICMP信息。

3.4.3端口、进程对应信息检查（04003）

编号：

04003

名称：

端口、进程对应信息检查

说明：

检查主机端口、进程对应信息

检查方法：

fport

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以下版本

备注：

在Windows2003中Fport无法执行，可以使用netstat–ano查看端口对应的PID，然后结合04004的检查结果进行整理。

3.4.4主机进程信息检查（04004）

编号：

04004

名称：

主机进程信息检查

说明：

查看主机进程信息

检查方法：

pv–e

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.4.5查看启动服务列表（04005）

编号：

04005

名称：

查看启动服务列表

说明：

查看系统已经启动的服务列表

检查方法：

netstart

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.4.6查看主机开放的共享（04006）

编号：

04006

名称：

查看主机开放的共享

说明：

查看主机是否开放了共享或管理共享未关闭。

检查方法：

netshare

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.4.7检查主机端口限制信息（04007）

编号：

04007

名称：

检查主机端口限制信息

说明：

检查主机是否实施了端口限制

通常的方法是主机受防火墙保护或在主机上实施了相关的措施进行端口限制。

检查方法：

一般的方法为询问管理员或从外部telnet连接主机已开放端口

检查风险（对系统的影响，请具体描述）：

无

检查结果：

无

适用版本：

All

备注：

3.5.文件系统

3.5.1查看主机磁盘分区类型（05001）

编号：

05001

名称：

查看主机磁盘分区类型

说明：

服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。

检查方法：

开始|管理工具|计算机管理|磁盘管理

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.5.2检查特定文件的文件权限（05002）

编号：

05002

名称：

检查特定文件的文件权限

说明：

对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。

检查方法：

caclsfilename

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All（仅适用于NTFS分区）

备注：

3.5.3检查特定目录的权限（05003）

编号：

05003

名称：

检查特定目录的权限

说明：

在检查中我们一般检查各个磁盘根目录权限、Temp目录权限

检查方法：

cacls目录名

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All（仅适用于NTFS分区）

备注：

如修改权限需与管理员进行沟通，因为设置根目录权限后以后新建目录都会积存该权限，可能导致IIS访问需要用户名，此时对新建的目录重新设置权限即可。

3.6.日志审核

3.6.1检查审核情况（06001）

编号：

06001

名称：

检查审核情况

说明：

检查主机的审核情况

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.6.2检查系统事件相关信息（06002）

编号：

06002

名称：

检查系统事件相关信息

说明：

检查系统日志大小、覆盖天数

检查方法：

开始|运行|eventvwr|右键“系统”

检查风险（对系统的影响，请具体描述）：

检查结果：

适用版本：

All

备注：

3.6.3检查应用事件相关信息（06003）

编号：

06003

名称：

检查应用事件相关信息

说明：

检查应用日志大小、覆盖天数

检查方法：

开始|运行|eventvwr|右键“应用”

检查风险（对系统的影响，请具体描述）：

检查结果：

适用版本：

All

备注：

3.6.4检查安全事件相关信息（06004）

编号：

06004

名称：

检查安全事件相关信息

说明：

检查安全日志大小、覆盖天数

检查方法：

开始|运行|eventvwr|右键“安全”

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.7.安全增强性

3.7.1保护注册表，防止匿名访问（07001）

编号：

07001

名称：

保护注册表，防止匿名访问

说明：

默认权限并不限制对注册表的远程访问。

只有管理员才应具有对注册表的远程访问权限，因为默认情况下Windows2000注册表编辑工具支持远程访问。

检查方法：

开始|运行|regedt32|

转到HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

|安全|权限

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.7.2对匿名连接的额外限制（07002）

编号：

07002

名称：

对匿名连接的额外限制

说明：

默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.3是否自动注销用户（07003）

编号：

07003

名称：

是否自动注销用户

说明：

检查是否登陆时间用完后自动注销用户

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.4是否显示上次成功登陆用户名（07004）

编号：

07004

名称：

是否显示上次成功登陆用户名

说明：

是否显示上次成功登陆的用户名

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.5是否允许未登陆关机（07005）

编号：

07005

名称：

是否允许未登陆关机

说明：

是否允许未登陆系统执行关机命令

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.6仅登陆用户允许使用光盘（07006）

编号：

07006

名称：

仅登陆用户允许使用光盘

说明：

仅登陆用户允许使用光盘

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.7仅登陆用户允许使用软盘（07007）

编号：

07007

名称：

仅登陆用户允许使用软盘

说明：

仅登陆用户允许使用软盘

检查方法：

开始|运行|gpedit.msc|计算机配置|Windows设置|安全选项

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

Windows2000及以上版本

备注：

3.7.8是否安装和使用防病毒软件（07008）

编号：

07008

名称：

是否安装和使用防病毒软件

说明：

安装防病毒软件，预防和查杀计算机病毒。

检查方法：

查看主机上是否有防病毒软件存在，查看防病毒软件的配置和查杀记录。

检查结果：

适用版本：

All

备注:

3.8.后门与日志检查

3.8.1检查注册表中自动启动选项（08001）

编号：

08001

名称：

检查注册表中自动启动选项

说明：

注册表中可以隐藏的后门太多，但我们无法一一进行检查，只能检查较为常见的一些注册表项。

检查方法：

regquery注册表键

检查风险（对系统的影响，请具体描述）：

无

检查结果：

适用版本：

All

备注：

3.8.2应用程序日志记录内容分析（08002）

编号：

08002

名称：

应用程序日志记录内容分析

说明：

查看应用程序日志记录详细内容

检查方法：

计算机管理->事件查看器->导出应用程序日志

检查结果：

适用版本：

ALL

备注：

3.8.3安全日志记录内容分析（08003）

编号：

08003

名称：

安全日志记录内容分析

说明：

查看安全日志记录详细内容

检查方法：

计算机管理->事件查看器->导出安全日志

检查结果：

适用版本：

ALL

备注：

3.8.4系统日志记录内容分析（08004）

编号：

08004

名称：

系统日志记录内容分析

说明：

查看系统日志记录详细内容

检查方法：

计算机管理->事件查看器->导出系统日志

检查结果：

适用版本：

ALL

备注：