第四章-主机安全测评分析课件.ppt

1、第4章 主机安全测评技术2022年6月9日星期四本章要点从“计算”到“计算安全”信息安全与信息系统安全 信息安全：回答的是what 信息系统安全：回答的是how 主机安全：是信息系统安全的分支 主机安全：是信息系统安全的“最后一道防线”穿越时空的畅想古代信息安全：古代信息安全：阴符、阴书、阴符、阴书、江湖切口江湖切口密语、密码密语、密码现代信息安全：现代信息安全：对称加密对称加密非对称加密非对称加密信息隐藏信息隐藏古代古代“主机主机”安全安全传令兵的口令传令兵的口令传令兵的身体传令兵的身体现代主机安全现代主机安全 身份鉴别、自主和强制访问控制身份鉴别、自主和强制访问控制 安全审计、剩余信息保护

2、区、安全审计、剩余信息保护区、 入侵防范、恶意代码防范、入侵防范、恶意代码防范、资源控制资源控制防御体系主机安全测评的要点1. 身份鉴别-进大门低级：口令和密码高级：数字证书、指纹识别、虹膜识别2. 自主访问控制-进一些重要部门 用户按照自己的意愿对主机的参数做适当修改以决定哪些用户可以访问他的文件。3. 强制访问控制 用户与文件都有一个事先设置的、非经授权不能修改的安全属性。4. 安全审计-“做了跑不掉” 包括对主机系统安全日志的保护，对用户行为的记录，以及对主机资源的异常记录等方面。5.剩余信息保护 主机存储敏感信息的空间被释放给其他用户的时候，原来存储在主机里的重要信息要保证及时清理掉。

3、6.入侵防范-正在干的要及时发现 包括对入侵行为的记录（攻击的目的地、攻击的时间、攻击者的IP、重要程序是否被破坏以及破坏后是否及时恢复）。7. 恶意代码防范 主要检查主机是否配备相关的防恶意代码的机制，包括杀毒软件等。 恶意代码：病毒，木马，间谍软件等。8. 资源控制 用户不能无限制的使用主机资源，也要防止外面的用户非法掠夺这台主机的资源。主机安全测评的实施 测评对象：“天网”的G2G政府内部办公网络“青天”子系统。 属于巴山市政府的内部办公业务，服务对象时政府各部门的公务员，处理的政府公文很多带有敏感性。 定级为3级。主机身份鉴别访谈 第3级安全测评要求主机身份鉴别访谈共3项： 应访谈系统

4、管理员，询问操作系统的身份标识与鉴别机制采取何种措施实现。应访谈数据库管理员，询问数据库的身份标识与鉴别机制采取何种措施实现。应访谈主要操作系统和数据库管理员是否采用了远程管理，如采用了远程管理，查看采用何种措施防止鉴别信息在网络传输过程中被窃听。P79 问卷调查主机安全审计访谈 第3级安全测评要求主机安全审计访谈只有1项： 应访谈安全审计员，询问主机系统是否设置安全审计；询问主机系统对事件进行审计的选择要求和策略是什么？对审计日志的处理方式有哪些？P79 问卷调查主机剩余信息保护访谈 第3级安全测评要求主机剩余信息保护访谈共2项： 应访谈系统管理员，询问操作系统用户的鉴别信息存储空间，被释放

5、或再分配给其他用户前是否得到完全清除；系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除。应访谈数据库管理员，询问数据库管理员用户的鉴别信息存储空间，被释放或再分配给其他用户前是否得到完全清除；数据库记录第3级安全测评要求等资源所在的存储空间，被释放或重新分配给其他用户前是否得到完全清除。P79 问卷调查主机入侵防范访谈 第3级安全测评要求主机入侵防范访谈共2项：应访谈系统管理员，询问是否采取主机入侵防范措施，主机入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测和完整性检测等方面的内容。应访谈系统管理员，询问入侵防范产品的厂家、

6、版本和安装部署情况；询问是否按要求（如定期或实时）进行产品升级。P79 问卷调查主机恶意代码防范访谈 第3级安全测评要求主机恶意代码防范访谈只有1项： 应访谈系统安全管理员，询问主机系统是否采取恶意代码实时监测与查杀措施，恶意代码实时监测与查杀措施的部署情况如何，是否按要求进行产品升级。 P79 问卷调查注意 国家标准关于第3级主机安全访谈规定，没有对“自主访问控制”、“强制访问控制”和“资源控制”的访谈要求（第4级以上才会出现）。 访谈 现场检查：对访谈内容进行核实 包括：一是对各个主机所对应的相关文档资料进行检查；二是对各型主机上运用各种操作指令进行现场检查。 抽样检查 主机安全现场检查1

7、、主机身份鉴别现场检查 第3级安全测评要求主机的身份鉴别现场检查共5项：（1）检查服务器操作系统和数据库管理系统身份鉴别功能是否具有操作系统安全技术要求（GB/T 20272-2006）和数据库管理系统安全技术要求（GB/T 20273-2006）第二级以上或TCSEC C2级以上的测试报告。 文档检查，检查项目建设的招/投标文件来验证是否达到要求。 （2）检查主要服务器操作系统和数据库系统账户列表，查看管理员用户名分配是否唯一。 检查目标：检查操作系统管理员账户是否唯一 检查对象：“青天”子系统Web服务器 检查步骤：开始-运行 cmd 命令：net localgroup administr

8、ators 检查结论：该web服务器（不）符合国家标准关于第3级主机身份鉴别的安全测评要求。 （3）检查主要服务器操作系统和主要数据库管理系统，查看是否提供了身份鉴别措施，其身份鉴别信息是否具有不易被冒用的特点。 检查：用户输入口令来检查，或让系统管理员提供口令设置文件和口令替换记录等资料来核对。第3级：口令长度至少要达到7个字符以上，并混杂有大小写字母、数字和特殊符号。 口令替换至少每月一次 （4）检查主要服务器操作系统和主要数据库管理系统，查看身份鉴别是否采用两个或两个以上身份鉴别技术的组合技术来进行身份鉴别。 比如：口令、生物识别、物理设备、动态口令。数字证书等二选一。 注意：要核对证书

9、产品是否通过了国家权威机构的测评认证。 （5）检查主要服务器操作系统和主要数据库管理系统，查看是否配置了鉴别失败处理功能，并设置了非法登录次数的限制；查看是否设置网络连接登录超时并自动退出功能。 检查目标：查看是否配置了鉴别失败处理功能，并设置了非法登录次数的限制；查看是否设置网络连接登录超时并自动退出功能。检查对象：”青天“子系统内网网站web服务器 检查步骤： 打开”管理工具“-本地安全设置-账户策略-账户锁定策略。打开”管理工具“-本地安全设置-本地策略-安全选项检查结论：该web服务器（不）符合国家标准关于第3级主机身份鉴别检查的安全策略要求。2、主机自主访问控制现场检查 第3级安全测

10、评要求主机的自主访问控制现场检查项共6项： （1）检查服务器操作系统和数据库管理系统的自主访问控制功能是否具有操作系统安全技术要求（GB/T 20272-2006）和数据库管理系统安全技术要求（GB/T 20273-2006）第2级以上或TCSEC C2级以上的测试报告。 （2）检查主要服务器操作系统的安全策略，查看是否对重要文件的访问权限进行了限制，对系统不需要的等可能被非授权访问者（人或 程序）进行了限制。 检查目标：查看是否对重要文件的访问权限进行了限制；对系统不需要的服务是否进行了限制；是否对共享路径进行了限制 检查对象：”青天“子系统内网WEB服务器 检查步骤：管理工具-计算机管理-

11、共享文件夹-共享管理工具-服务 检查结论：该服务器未对共享资源进行控制，但禁用了不需要的服务，重要文件的访问权限进行了限制。不符合第3级要求。 （3）检查主要服务器操作系统和数据库管理系统的访问控制列表，查看授权的用户中是否存在过期的账号和无用的账号等；访问控制列表中的用户和权限，是否与安全策略相一致。检查目标：查看授权用户是否存在过期账号和无用账号检查对象：”青天“子系统内网网站web服务器 检查步骤：管理工具-计算机管理-本地用户和组-用户查看用户权限并与安全策略相对比 (4)检查主要数据库服务器的数据库管理人员与操作系统管理员是否由不同管理员担任。 （5）检查主要服务器操作系统和主要数据

12、库管理系统，查看特权用户的权限是否进行分离；查看是否采用最小授权原则。 （6）查看主要服务器操作系统和主要数据库管理系统，查看匿名/默认用户的访问权限是否被禁用或者严格限制。 检查目标：查看匿名/默认用户的访问权限是否被禁用或者严格限制 检查对象：“青天”子系统内网网站web服务器 检查步骤：管理工具-本地安全策略-安全选项“让每个人权限应用与匿名用户”“限制匿名访问命名管道和共享”“允许匿名SID/名称转换”三项禁用检查结论：该服务器符合本条检查要求。3、主机的强制访问控制安全检查 第3级安全测评要求对主机的强制访问控制现场检查共3项，均是检查文档资料。 （1）检查服务器操作系统和数据库管理

13、系统的强制访问控制功能是否具有操作系统安全技术要求（GB/T 20272-2006）和数据库管理系统安全技术要求（GB/T 20273-2006）第2级以上或TCSEC C2级以上的测试报告。 （2）检查服务器操作系统文档，查看强制访问控制管理模型是否采用“向下读，向上写”模型，如果操作系统采用其他强制访问模型，则操作系统文档中是否有对这种模型的详细分析，并有权威机构对这种强制访问控制模型的合理性和完善性的检查证明。 （3）检查主要服务器操作系统和主要数据库管理系统文档，查看强制访问控制是否与用户身份鉴别、识别等安全功能密切配合，是否控制粒度达到主体为用户级、客体为文件和数据库表级。4、安全审

14、计现场检查 第3级安全测评要求对主机的安全审计现场检查共5项，均可进行手动检查。 （1）检查主要服务器操作系统、主要终端操作系统和主要数据库管理系统，查看当前审计范围是否覆盖到每个用户。 检查目标：检查操作系统，查看当前审计范围是否覆盖到每个用户。 检查对象：“青天”子系统内部邮件服务器 检查步骤：管理工具-计算机管理-系统工具-事件查看器-系统管理工具-计算机管理-系统工具-事件查看器-安全性检查结论：该服务器满足主机对用户的安全审计要求 （2）检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看审计策略是否覆盖到系统内重要的安全相关事件。 检查目标：查看操作系统，查看审计策略

15、是否覆盖到系统内重要的安全相关事件。 检查对象：“青天”子系统内部邮件服务器 检查步骤： 管理工具-本地安全设置-本地策略-审核策略 检查结论：该服务器满足第3级安全测评主机对安全审计策略的要求。 （3）检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统，查看审计记录信息是否包括事件发生的日期和事件、触发事件的主体与客体、事件的类型、事件的成功或失败、身份鉴别事件中请求的来源和事件的结果等内容。 检查方式同（1） （4）检查主要服务器和重要终端操作系统，查看是否授权用户浏览和分析审计数据提供专门的审计工具，并能根据需要生成审计报表。 （5）检查主要服务器操作系统、重要终端操作系统和主

16、要数据库管理系统，查看审计跟踪设置是否定义了审计跟踪极限的阈值，当储存空间被耗尽时，能否采取必要的保护措施。 检查目标：检查操作系统和数据库管理系统，查看审计跟踪设置是否定义了审计跟踪极限的阈值，当储存空间被耗尽时，能否采取必要的保护措施。 检查对象：青天”子系统内部邮件服务器 检查步骤：管理工具-本地安全设置-本地策略-安全选项管理工具-计算机管理-系统工具-事件查看器 （右键）应用程序-属性检查结论：从测试过程可以看出，当存储空间耗尽不能记录安全审核时，系统会自动采取相应保护措施，但该项已经禁止，因此测试结果不符合安全审计的要求。对审计日志则设置了限制，并对超过限制采取了必要的保护措施，因

17、此这项测试结果符合要求。5、剩余信息保护现场检查 第3级安全测评要求对主机的剩余信息保护现场检查共2项。 （1）检查服务器操作系统和数据库管理系统的神域嘻嘻保护功能是否具有操作系统安全技术要求（GB/T 20272-2006）和数据库管理系统安全技术要求（GB/T 20273-2006）第2级以上的测试报告。 （2）检查主要操作系统和主要数据库管理系统维护操作手册，查看是否明确用户的鉴别信息存储空间，被释放或再分配给其他用户前的处理方法和过程；文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前的处理方法和过程。6、主机的入侵防范现场检查 第3级安全测评要求对主机的入侵防范

18、现场检查共3项。 （1）检查入侵防范系统，查看能否记录攻击者的源、攻击类型、攻击目标和攻击时间等，在发生严重入侵事件时能否提供报警功能。 检查目标：检查入侵防范系统，查看能否记录攻击者的源、攻击类型、攻击目标和攻击时间等，在发生严重入侵事件时能否提供报警功能。 检查对象：“青天”子系统边界防火墙以及内网某终端 检查步骤： 检查结论：从测试过程可以看出，入侵防范系统可以记录攻击者的源IP、攻击类型、攻击目标和攻击事件等相关重要信息，因此符合检查要求。 （2）检查是否专门设置了升级服务器来实现对重要服务器的补丁升级。 检查目标：检查是否专门设置了升级服务器来实现对重要服务器的补丁升级。 检查对象：

19、“青天”子系统某专门升级服务器 检查步骤：本实验服务器IP192.168.1.67通过远程管理在远端计算机（模拟的补丁下载地址）打开IE浏览器，地址栏输入“http:/192.168.1.67”输入该地址的主机用户名和登录口令，查看其软件补丁升级的界面检查结论：按第3级安全测评要求设置了升级服务器，可以用于对重要服务器的补丁升级，因此符合检查要求。 （3）检查主要服务器是否已经及时更新了操作系统和数据库系统厂商新公布的补丁。 检查目标：检查服务器的补丁升级情况 检查对象：“青天”子系统数据库服务器 检查步骤：首先安装Microsoft Baseline Security Analyzer补丁升

20、级检查软件运行，单击“scan a computer”检查结论：主要服务器对操作系统和数据库系统进行了及时更新，符合检查要求。7、主机的恶意代码现场检查 第3级安全测评要求对主机的恶意代码现场检查共2项。 （1）检查主要服务器系统和重要终端系统，查看是否安装了实时检测和查杀恶意代码的软件产品，查看实时检测与查杀恶意代码的软件产品是否具有恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家、版本号和恶意代码库名称。 （2）检测网络防恶意代码产品，查看厂家、版本号和恶意代码库名称，查看是否与主机恶意点名产品有不同的恶意代码库。 检查目标：查看是否安装了实时检测和查杀恶意代码的软件产品，

21、查看实时检测与查杀恶意代码的软件产品是否具有恶意代码防范的统一管理功能，查看检测与查杀恶意代码软件产品的厂家、版本号和恶意代码库名称。 检查对象：”青天“子系统数据库服务器 检查步骤：先从裸机上查看木马程序是否存在，然后在windows命令行状态下输入命令”netstat -a“，查看当前运行的程序所使用的通信端口。打开”任务管理器“查看进程打开杀毒软件查看该杀毒软件产品的厂家、版本号和恶意代码库名称。检查结论：植入的木马程序被本机上的杀毒软件实时发现并进行了查杀，通过该杀毒软件，可以清楚地了解到该杀毒软件的厂家、版本和恶意代码库的名称，以及日期等信息。因此，符合检查要求。8、主机的资源控制现

22、场检查 第3级安全测评要求对主机的资源控制现场检查共4项。 （1）检查主要服务器操作系统，查看是否设定了终端接入方式和网络地址范围等条件限制终端登录功能。 检查目标：检查主要服务器操作系统，查看是否设定了终端接入方式和网络地址范围等条件限制终端登录功能。 检查对象:“青天”子系统数据库服务器 检查步骤：组策略编辑器（gpedit.msc）-计算机配置-管理模板-windows组件-终端服务-会话管理工具-本地安全策略-IP安全策略。双击安全服务器。检查结论：主要服务器操作系统设定了“仅从原始客户端重新链接”和网络地址范围等条件，从而限制了终端登录。因此符合检查要求。 （2）检查主要服务器操作系

23、统，查看是否限制了单个用户对系统资源的最大和最小使用限度。 检查目标：检查主要服务器操作系统，查看是否限制了单个用户对系统资源的最大和最小使用限度。 检查对象：”青天”子系统数据库服务器 检查步骤： 我的电脑-右键-磁盘-属性 配额 - 配额项 检查结论：主要服务器的操作系统设置了用户对硬盘的使用限制，因此符合检查要求。 （3）检查主要服务器操作系统，查看是否在服务水平降低到预先规定的最小值时，能检测和报警。 检查目标：检查系统是否为服务水平设置了最小值；查看是否在服务水平降低到预先规定的最小值时，能进行检查和报警。 检查对象：“青天”子系统数据库服务器 检查步骤：管理工具-性能-性能日志和报

24、警-报警 右键 - 新建管理工具-事件查看器-应用程序 双击事件源为sysmonlog的应用程序事件检查结论：主要服务器操作系统为服务水平设定了最小值；服务水平降低到预先规定的最小值时，能检测和报警。因此符合检查要求。 （4）检查能够访问主要服务器的终端是否设置了操作超时锁定功能。 检查目标：检查能够访问主要服务器的终端是否设置了操作超时锁定功能。 检查对象：“青天”子系统数据库服务器 检查步骤：管理工具-终端服务配置 终端服务配置-连接 RDP-Tcp 检查结论：操作超时锁定设定了时间。因此，符合检查要求。4.2.3主机安全测试 第3级安全测试要求关于主机的安全测试共8项。1、身份鉴别测试

25、第3级主机安全测试要求关于主机的身份鉴别测试共3项。 （1）测试主要服务器操作系统和主要数据库管理系统，验证鉴别失败处理功能是否有效。 测试目标：测试主要服务器操作系统和主要数据库管理系统，验证鉴别失败处理功能是否有效。 测试对象：”青天“子系统数据库服务器 测试步骤：对已有账号进行错误登录，3次登录无效。 结果P106 图4.33 测试结果：连续3次使用系统已有账户进行错误登录，会使账户被锁定。因此，测试结果符合要求。 （2）渗透测试主要服务器操作系统，对服务器操作系统进行用户口令的强度检测，查看能否破解用户口令，破解口令后能付登录进入系统。 测试目标：如上 测试对象：”青天“子系统数据库服

26、务器 测试步骤：首先安装perl语言执行环境，下载NTCrack口令破解软件使用perl命令行语句启动NTCrack工具获得该机用户口令使用破解的口令，成功登陆系统测试结论：从测试过程可以看出，可以通过口令破解工具，获取系统中的弱口令用户名和密码，并使用该账户名和密码成功登陆主要服务器。因此，不符合要求。 （3）渗透 测试主要服务器操作系统， 测试是否存在绕过认证方式进行系统登陆的方法，如认证程序存在的安全漏洞、社交工程或其他手段。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤：运行nc.exe监听一个没有被系统使用的端口，本实验采用1024端口按照如图所示运行ms06040

27、rpc.exe监听到shell，说明存在成功的绕过认证方式进行系统登录的情况测试结论：从测试过程可以看出，存在绕过认证方式进行成功登录系统的方法，因此不符合要求。2、主机的自主访问控制测试 第3级安全测评要求对主机安全自主访问控制测试只有1项。 测试主要服务器操作系统和主要数据库管理系统，依据系统访问控制的安全策略，并以未授权用户身份/角色进行访问检验，以验证系统是否可以拒绝访问。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤：以管理员身份登录系统，检查用户权限的分配。以较低权限用户身份登录，进行越权操作。 测试结论：从测试过程可以看出，以权限较低用户身份登录系统，进行越权操

28、作，无法安装程序。因此，测试结果符合要求。3、主机的强制访问控制测试 第3级安全测评要求对主机安全强制访问控制测试有2项。 （1）测试主要服务器操作系统和主要数据库管理系统，依据系统文档描述的强制访问控制模块，以授权用户和非授权用户进行访问，验证是否只有授权用户可以进行访问，而非授权用户不能访问。 测试目标：如上 测试对象：”青天“子系统数据库服务器测试步骤： 以任意用户身份登录，然后访问不属于NTFS分区的文件（任何登录的用户都可以读取不属于NTFS分区的磁盘上的文件）。 查看设置了访问控制权限的NTFS文件 以其他用户身份登录系统，访问未授权的文件，被拒绝访问。测试结论：以未授权用户的身份

29、访问设置了强制访问控制的NTFS文件，发现只有文件的所有者才有读取和修改文件的权限；以其他用户身份登录系统，访问未授权的文件，被拒绝访问。因此，测试结果符合要求。（2）渗透测试主要服务器操作系统和主要数据库管理系统，测试强制访问控制是否安全、可靠。测试目标：如上测试对象：”青天“子系统数据库服务器测试步骤：以操作系统的普通账户身份登录系统，进入C盘，以鼠标右键单击WINNT文件夹，选择属性。P113 图4.43测试结果：非法修改强制访问相关规则没有操作成功，说明测试的主要服务器操作系统和主要数据库管理系统的强制访问控制安全、可靠，符合要求。 4、主机的安全审计测试 第3级安全测评要求对主机的安

30、全审计测试有2项。 （1）测试主要服务器操作系统、主要终端操作系统和主要数据库管系统，验证其审计功能是否受到保护。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤：用操作系统普通账户登录系统，进入本地安全设置界面，然后尝试对审计配置中的”组策略“进行修改。 测试结论：用操作系统普通账户登录系统，进入本地安全设置界面，然后尝试对审计配置中的”组策略“进行修改，结果显示，系统拒绝普通账户修改组策略，说明用户无法修改审计配置。因此，审计功能受到保护，符合要求。（2）测试主要服务器操作系统、主要终端操作系统和主要数据库管系统，验证安全审计的保护情况与要求是否一致。测试目标：如上测试对象：”青天“子系统数据库服务器测试步骤：用操作系统的普通账户登录系统，删除系统的审计日志记录，系统反馈。P114测试结论：用操作系统的普通账户登录系统后，无法删除系统的审计日志记录，安全审计的保护情况与要求一致，符合要求。4.3本章小结 主机 安全测评的三种主要方法 身份鉴别测评 自主访问控制测评 强制访问控制测评 安全审计测评 剩余信息保护测评 入侵防范测评 恶意代码防范测评 资源控制测评访谈、检查、测试 Thats all for today!