终端设备
控制点
3.
入侵防范
基于终端的入侵检测,重点在于终端安装的组件、端口等高危风险点。
a)
安全要求:应遵循最小安装的原则,仅安装需要的组件和应用程序。
要求解读:在安装Windows操作系统时,会默认安装许多非必要的组件和应用程序,为了避免多余的组件和应用程序带来的安全风险,通常应遵循最小安装的原则,仅安装需要的组件和应用程序等。
检查方法
1.询问系统管理员,了解安装的各组件的用途及有无多余的组件。在命令行窗口输入dcomcnfg命令,打开“组件服务”界面,选择“控制台根节点”—>
“组件服务”—>“计算机”—>“我的电脑”选项,查看右侧组件列表中的内容。
2.询问系统管理员,了解安装的应用程序的用途及有无多余的应用程序。在命令行窗口输入appwiz.cpl命令,打开“程序和功能”界面,查看右侧程序列表中已安装的应用程序。
期望结果
1.未安装非必要的组件。
2.未安装非必要的应用程序。
b)
安全要求:应关闭不需要的系统服务、默认共享和高危端口。
要求解读:在安装Windows操作系统时,默认会开启许多非必要的系统服务。为了避免多余的系统服务带来的安全风险,通常可以将其禁用或卸载。Windows会开启默认共享(例如C$、D$),为了避免默认共享带来的安全风险,应关闭Windows硬盘默认共享。查看监听端口,可以直观地发现并对比系统中运行的服务和程序。关闭高危端口是操作系统常用的安全加固方式。
检查方法
1.查看系统服务。在命令行窗口输入services.msc命令,打开系统服务管理界面。查看右侧的服务详细列表中是否存在多余的服务(应为不存在),例如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动(应为否)。
2.查看监听端口。在命令行窗口输入“netstat - an”,查看列表中的监听端口是否包括高危端口(应为否),如TCP 135、139、445、593、1025端口,UDP135、137、138、445端口,以及一些流行病毒的后门端口,如TCP 2745、3127、6129端口。
3.查看默认共享。在命令行窗口输入“net share”命令,查看本地计算机上所有共享资源的信息,核查是否打开了默认共享(应为否),例如C$、D$。
4.查看主机防火墙策略。在命令行窗口输入firewall.cpl命令,打开Windows防火墙界面,查看Windows防火墙是否已启用。单击左侧列表中的“高级设置”选项,打开“高级安全Windows防火墙”窗口。单击左侧列表中的“入站规则”,将显示Windows防火墙的入站规则,查看入站规则是否已阻止访问多余的服务或高危端口。
期望结果
1.未安装非必要的服务。
2.未打开非必要的端口。
3.未开启默认共享。
4.防火墙规则已阻止访问多余的服务或高危端口。
c)
安全要求:应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
要求解读:攻击者可能利用操作系统中的安全漏洞对操作系统进行攻击。因此,应对操作系统进行漏洞扫描,及时发现操作系统中的已知漏洞,并在经过充分的测试和评估后更新系统补丁,避免由系统漏洞带来的风险。
检查方法
访谈系统管理员,了解是否定期对操作系统进行漏洞扫描,是否已对扫描发现的漏洞进行评估和补丁更新测试,是否能及时进行补丁更新,并了解更新的方法。
在命令行窗口输入appwiz.cpl命令,打开“程序和功能”界面,单击左侧列表中的“查看已安装的更新”选项,打开“已安装更新”界面,查看右侧列表中的补丁更新情况。核查针对终端操作系统的漏洞扫描报告及后续更新情况报告。
期望结果
已对操作系统补丁进行测试和安装,安装的补丁为较新的稳定版本。