夜雨聆风
全文可下载|网络安全等级保护测评作业指导书Windows Server
编者:本文篇幅过长,尤其是涉及到大量截图,未完全列出(仅列出了第一章),感兴趣的朋友可以下载全文进行阅读。特别适合初学者进行阅读,如果是测评的老法师,也可以参考。如果有问题或者疑问,还是欢迎大家反馈给我。如果喜欢,也希望大家转发出去并给个关注、点个爱心❤️。再次感谢大家。
依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级“安全计算环境“条款,给出Windows Server 2012 R2/2016/2019/2022的现场测评速查命令与快捷操作清单。同时根据公网安【2025】1001号《关于进一步做好网络安全等级保护有关工作的函》(主要是附件3.网络安全等级测评报告模板(2025版))和公网安[2025]2391号关于印发《网络安全等级保护测评高风险判定实施指引(试行)》的通知(主要是《网络安全等级保护测评高风险判定实施指引(试行)》),对涉及到的高风险测评项以及重大风险隐患测评项进行标识。也对一些测评项常见难点进行汇总。
可直接在CMD、PowerShell、图形界面(MMC 控制台)中执行,覆盖身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护十大控制点。
已在Windows Server 2012 R2/2016/2019/2022 Datacenter & Standard 版验证,符合 GB/T 22239-2019 第三级要求。
(一)测评项汇总及实操难点说明
|
控制点 |
测评项 |
高风险 |
重大风险隐患 |
|
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
■ |
■ |
|
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
|||
|
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; |
■ |
||
|
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
■ |
■ |
|
|
访问控制 |
a)应对登录的用户分配账户和权限; |
||
|
b)应重命名或删除默认账户,修改默认账户的默认口令; |
■ |
||
|
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在; |
|||
|
d)应授予管理用户所需的最小权限,实现管理用户的权限分离; |
|||
|
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
■ |
■ |
|
|
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; |
|||
|
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 |
|||
|
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
||
|
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; |
|||
|
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
|||
|
d)应对审计进程进行保护,防止未经授权的中断。 |
|||
|
入侵防范 |
a)应遵循最小安装的原则,仅安装需要的组件和应用程序; |
||
|
b)应关闭不需要的系统服务、默认共享和高危端口; |
■ |
■ |
|
|
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; |
|||
|
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; |
■ |
||
|
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
■ |
■ |
|
|
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 |
|||
|
恶意代码防范 |
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
■ |
■ |
|
可信验证 |
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
||
|
数据完整性 |
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
||
|
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
|||
|
数据保密性 |
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
■ |
■ |
|
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
■ |
■ |
|
|
数据备份恢复 |
a)应提供重要数据的本地数据备份与恢复功能; |
■ |
■ |
|
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
■ |
||
|
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
■ |
||
|
剩余信息保护 |
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; |
||
|
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 |
|||
|
个人信息保护 |
a)应仅采集和保存业务必需的用户个人信息; |
■ |
|
|
b)应禁止未授权访问和非法使用用户个人信息。 |
■ |
实操中的难点:
1、身份鉴别A项(应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;):
如果被测对象未开启口令复杂度策略,测评记录往往会忽略是否存在空口令、弱口令以及相同口令,尤其是相同口令。想通口令包括多个不同被测对象的管理账户口令相同或同一被测对象中多个不同管理账户口令相同两个场景。在实际测评记录中均要体现出来。按照新版报告模板以及高风险判定指引,被测对象未开启口令复杂度策略,需要提问题。在报告第五种撰写问题汇总时,需要明确描述出被测对象不存在空口令、弱口令以及相同口令等情况,然后再明确该问题未触发高风险判定中的场景。否则,因为描述不到位,而触发高风险判定指引中的高风险。
2、身份鉴别D项(应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。):
被测对象往往通过用户名和口令的方式进行身份鉴别。如果被测对象通过堡垒机或者跳板机方式进行登录,且堡垒机或者跳板机采用了满足要求的双因素身份鉴别措施,很多人就会觉得被测对象也满足了双因素身份鉴别措施。这是一个普遍的错误处理方式。双因素身份鉴别措施具有很严格的技术限定,是要被测对象自身存在两种身份鉴别措施,且两种身份鉴别措施在被测对象上同时起到鉴别作用,而非通过串接的方式达到双因素的身份鉴别措施。串接方式存在物理和逻辑上的绕过可能性。按照标准的要求,双因素认证方式中,其中一种鉴别技术至少应使用密码技术来实现,实施难度更大了。
既然堡垒机或者跳板机自身满足双因素身份鉴别措施,无法满足管理对象实现双因素身份鉴别措施。堡垒机或者跳板机自身满足双因素身份鉴别措施,是否可以判定被测对象未触发高风险判定指引中的高风险场景?我个人的观点是无法满足。因为高风险判定指引中已经给出明确的场景信息(1、在登录和访问过程中,多次进行身份鉴别,且每次鉴别信息动态变化;2、在完成重要业务操作前的不同阶段采用不同的鉴别方式进行身份鉴别;3、仅限本地登录或具有带外管理等措施。)。如果我们强行判定未触发高风险场景,属于扩大解读。作为一份正式发布的、权威的文件,扩大解读会存在很大问题。会逐步架空文件的实施效力,影响政府部门权威。还是期待大家实施求实判罚,否则不同机构之间判罚尺度也会越来越大,也违反了制定高风险判定指引的初衷。
3、安全审计C项(应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;):
如果审计日志通过在线方式进行实时或者定时备份,就存在重要审计数据传输的情况,其测评结果记录需要与数据完整性A项测评记录保持一致(应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;)。很多人在撰写数据完整性A项的测评记录时,往往只关注鉴别信息是否采取了校验技术或密码技术保证重要数据在传输过程中的完整性,而忽略重要数据不仅仅只有鉴别数据。可能会有人反驳,重要数据还包括重要业务数据、重要配置数据、重要视频数据和重要个人信息等,测评记录是否都要涵盖。我个人认为,正确的做法是把枚举的这些类别的数据均要体现。待会介绍该测评项时,我们详细讨论。
4、入侵防范B项(应关闭不需要的系统服务、默认共享和高危端口;):
在进行是否触发高风险判定指引中的场景时(具有登录地址限制、登录终端限制、物理位置限制等远程访问管控措施,使得多余系统服务、默认共享和高危端口相关漏洞难以利用;),不仅仅是3389、22等这类服务应该具有登录地址限制、登录终端限制、物理位置限制等远程访问管控措施,而是应该关闭的不需要的系统服务、默认共享和高危端口自身应具有登录地址限制、登录终端限制、物理位置限制等远程访问管控措施。希望大家在进行整体分析的时候,不要忽略这一点。
5、数据完整性A项(应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;):
前面讨论过,该测评项的记录不仅仅是鉴别数据,还应该体现重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。但是不是所有类型的数据都会涉及到每个对象,故需要在测评记录中进行明确,本测评对象是否涉及该该数据,如果不涉及,可以明确描述该测评对象未涉及这类数据。比如重要业务数据,一般通过业务端口进行访问(比如443端口),通过TLS协议对重要业务数据进行加密传输,可以保证传输数据的完整性。还有业务数据的备份(一般涉及数据库服务器),如果存在异机或者异地(数据备份和恢复B项),需要考虑传输协议是否采取了校验技术或密码技术保证重要数据在传输过程中的完整性(如果不存在通过在线的方式进行备份,则关于业务数据传输完整性,可以不适用)。重要审计数据,大家知道Windows操作系统的日志格式与syslog日志不同,在进行传输备份时,可以通过Windows 事件转发 (WEF),一般是HTTP/HTTPS(5985 / 5986端口)协议,需要看是否采用了校验技术或密码技术。如果是syslog协议(一般需要借助第三方转换),通过UDP/TCP(514端口)协议,默认情况下不启用TLS协议,无法满足传输完整性保护措施。当然,还有可能使用了第三方厂商的agent,需要具体问题具体分析了。至于重要配置数据、重要视频数据和重要个人信息等,需要先访谈被测对象是否涉及,如果涉及具体是通过什么协议实施的,来判定是否具备完整性措施。如果均未涉及上述数据的传输,则可以明确该测评对象针对这类数据不适用。需要注意,数据前面有“重要”两个字,即数据资源中重要及以上的数据资源均要考虑。在数据资源调研时,务必准确判定每类数据的重要程度。
6、数据保密性A项(应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等):
处理方法,可以参考数据完整性A项。
7、数据备份恢复A项(应提供重要数据的本地数据备份与恢复功能):
在撰写该项测评记录时,往往只关注具备备份功能以及具体的备份策略,而忽略是否提供恢复功能,是否实施过恢复性测试等。同时,也把重要数据仅限于数据库,如果不是数据库服务器,把重要数据仅限于配置数据。殊不知,数据完整性A项已明确了重要数据的范畴,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。撰写测评记录时,可以先明确本测评对象涉及到了哪几类数据,然后针对每类数据的备份与恢复情况进行描述,而不用逐一否决本测评对象未涉及哪些类别的数据。
8、数据备份恢复B项(应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;):
撰写该测评项记录时,注意区分二级和三级系统的标准差异。二级系统定时备份即可满足要求,而三级系统要求是实时备份。所以定时备份测评,无法完全满足该测评项要求。还有,就是重要数据的范畴,不仅仅是重要业务数据。
9、重大风险隐患(附录G):
关于重大风险隐患,我个人觉得存在两大难点,首先是严重性的界定,是仅仅针对系统本身,还是针对系统所带来的影响(后果)。如果按照定级指南中的评判准则,二级及以下系统可以不用考虑重大风险隐患的问题。所以,还是按照附录G的描述,综合评价对定级对象造成的重大风险隐患,而非可能带来的影响(后果)。即,仅仅针对被测对象本身,安全事件一旦发生后将造成严重后果,包括导致业务中断、重要数据泄露或被篡改,获得系统管理权限或业务权限等;其次是高发性如何界定,在实际运行中由该问题导致的安全事件发生概率较大。谁来界定,概率是多少算较大。不同对象之间如何横向比较概率大小等。这个原则太主观,不同的人,不同的系统等,判定的结果可能存在巨大差异。
|
业务信息安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全或地区安全、国计民生 |
第四级 |
第五级 |
第五级 |
|
系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全或地区安全、国计民生 |
第四级 |
第五级 |
第五级 |
网络安全等级保护测评过程中,针对等级测评结果中存在的所有安全问题,应采用风险分析的方法进行危害分析和重大风险隐患评估,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价对定级对象造成的重大风险隐患。
基于以下判定原则,同时符合下列所有条件的安全问题应当判定为重大风险隐患:
——相关性原则:基于网络安全等级保护测评中发现的、可能导致系统面临高风险的安全问题,且针对该问题未采取任一缓解措施;
——严重性原则:安全事件一旦发生后将造成严重后果,包括导致业务中断、重要数据泄露或被篡改,获得系统管理权限或业务权限等;
——高发性原则:在实际运行中由该问题导致的安全事件发生概率较大。
下载链接:
网络安全等级保护测评作业指导书-服务器 01 Windows Server.pdf
通过网盘分享的文件:网络安全等级保护测评作业指导书-服务器 01 Windows Server.pdf
链接: https://pan.baidu.com/s/1F7gvNIWKsmAUuVUndCZ0_g?pwd=nphi 提取码: nphi