一项一项教你测等保2.0——Windows入侵防范
一项一项教你测等保2.0——Windows入侵防范
原创 科技兴 2020-09-23 18:32:55
一、前言
随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多年的等保测评经验,为大家解读等保测评2.0的相关内容。
二、 测评项
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
b)应关闭不需要的系统服务、默认共享和高危端口;
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
三、测评项a
a)应遵循最小安装的原则,仅安装需要的组件和应用程序;
这一项比较简单,但是也是最容易扣分的一项,最小安装原则因人而异,要具体情况具体分析,哪些是安装服务器所必需的的组件和应用程序,哪些组件和应用程序应该删除或者停用,需要通过访谈了解服务器的主要用途和业务需求再做判断。
我们可以在控制面板-程序-程序和功能中查看服务器或计算机已经安装的程序和功能,如下图所示:
程序和功能
在测评的过程中,我们很少见到把工作和生活分得非常清楚的情况,这最直接的反应就是服务器或者计算机中安装了一些与生活相关的应用程序,比如微信、QQ、迅雷等,这些软件比较常见,如果是一些不常见或者不清楚用途的软件,需要通过访谈来进行确认。
四、测评项b
b)应关闭不需要的系统服务、默认共享和高危端口;
这一项的主要目的是为了限制外部对服务器或者计算机的访问进行限制,来达到最小化的管理,开启的服务、共享和端口越多对外部的访问就越难控制。
这一项与上一项紧密相连,如果上一项没有遵循最小安装原则,那么这一项也不会通过的,因为程序是和服务、进程以及端口是相关的,运行某个程序,就需要开启某项服务,开启某项服务就会运行某项进程,运行某项进程就会监听某项端口,所以如果安装了某款不必要的应用程序,不可避免的就会开启各项服务和端口,我们可以在任务管理器中直观的查看他们的关系。
程序-进程-服务
4.1. 不需要的系统服务
系统服务我们可以在控制面板-系统和安全-管理工具-服务中查看,如下图所示:
服务
一般来说Telnet服务如果开启,它会允许远程终端访问服务器,对服务器进行管理和控制,当然需要输入用户名和密码,如果没有远程控制需求最好不要开启此项功能,另外IIS服务是网站服务器和应用服务器所必需的,如果服务器没有承担这两项任务,那么开启IIS服务也是不必要的,其他的要视情况而定。
4.2. 默认共享
至于默认共享,我们可以先看看共享服务是否开启了,如下图所示开启了共享服务:
共享服务
然后我们可以在命令提示符里输入命令:net share,查看开启的共享到底有哪些,如下图所示:
开启的共享
对于windows系统而言,默认是会开启共享的,一个磁盘一个共享,c盘多一个ADMIN$共享,然后都会有一个IPC$共享,这里我自己开的就只有Users共享了。
默认共享和一般共享的区别在于,它的共享名后面会有一个$,这代表它是一个隐藏共享,也就是说在计算机的网络中是看不到的,但是,仅仅是隐藏而已,可以在文件夹地址栏中输入地址进行正常的共享访问(期间要输入用户名、口令)。
对于默认共享,有几种关闭的方式:
直接关闭Server服务,这个是将共享服务全部关闭了,要注意是否会影响到实际业务需要的共享。
使用net share 共享名 /delete命令删除共享,比如net share ipc$ /delete。这里说删除ipc$共享,不会对其它的共享造成影响。另外这只是暂时的删除,服务器重启后又会关闭。
4.3. 高危端口或多余端口
其实端口如果不做终端ip限制,那么基本都存在漏洞,至于监听了多余的端口,那就更危险了。
那么这里说一下常见的多余端口(就是那种windows默认给你开启的端口):
80端口,对于windows而言,大概率是开启了IIS服务,如果本身没有这个业务,即为多余端口;
135端口,是微软RPC远程过程调用使用的端口号,没有涉及到远程过程调用的,即为多余端口。WebService是RPC的一种实现,这里是一个公用的WebService接口,看了之后就知道大概是干嘛的了:http://www.webxml.com.cn/WebServices/WeatherWebService.asmx;
137、138、139端口(TCP、UDP),是NetBIOS名称服务(NetBIOS Name Service)使用的端口号,用于局域网中提供计算机的名字或IP地址查询服务以及文件共享服务。换句话说,共享服务可能使用这三个端口,如果没有业务上不需要共享服务,那么肯定是多余端口;
445端口,共享服务可能使用的端口,如果没有业务上不需要共享服务,那么肯定是多余端口;
47001端口,Windows Remote Management服务用到的端口,只能说一般用不到,大概率是多余端口。
常见的高危端口:
一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),还有593端口,是针对DCOM(Distributed Component Object Model,分布式组件对象模型)协议的。它允许C/S结构的应用通过DCOM使用RPC over HTTP service。
至于初级教材里说的1025端口,不明白是用来干嘛的,因为它是一个动态端口,分配给哪个进程是不确定的(1024的下一个就是1025):
其实还是那句话,大部分端口都有问题(如果你不进行ip限制),windows常见的3389、22、21等端口,都存在一定的危险性(如果你不进行ip限制),所以多余端口好判断,但高危端口要根据具体情况进行判断。
我们可以使用netstat -ano命令来查看端口情况:
端口情况
然后对于已经监听了的端口,一个一个通过访谈询问端口的作用。
4.5. Windows防火墙
另外windows自带的防火墙可以对端口的通信进行限制,所以说不是开启了某个端口就是危险的,也要看防火墙是否对此端口通信进行了限制,我之前写过一篇《防火墙的设置-win7版》,里边有防火墙的详细配置,windows防火墙配置大同小异,大家感兴趣的可以看看我的这篇文章,如果是第三方防火墙或者访问控制软件就需要具体情况具体分析了。
五、 测评项c
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
这一项是对远程访问终端进行网络地址限制,注意并不是物理地址限制,也就是IP地址限制,远程访问有几种方式。
5.1. 使用远程桌面的
Windows远程桌面是一种最常见的远程访问方式,我们可以在windows防火墙入站规则里找到对远程桌面的限制,看是否对3389的端口进行了ip限制,远程桌面端口一般是默认值3389,如下图所示是限制指定ip进行远程桌面连接的设置。
ip限制
注意,这里限制的粒度最好达到ip地址级别,也就是具体的数个或者十几个ip地址,或者至少是一个比较小的网段级别,如果粒度不够小,限制的意义就大大减弱了。
5.2. 使用第三方工具的
在实际测评中,我们会见到许多第三方的远程访问工具,那就要看这个工具本身有没有这个功能了,或者用其他的软件来协助实现管理终端IP限制的效果。
5.3. 不存在远程管理的
也就是实际上什么策略也没有做,但是从外部网络无法远程登录该服务器,只能在机房中对直接在服务器上进行本地登录和操作,这种个人觉得至少应该给一个部分符合,或者不适用,因为不存在远程管理。
六、测评项e
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
这一项有一点需要注意的是,我们平常所使用的杀毒软件并没有专业的漏洞扫描功能,要达到此项要求就必须使用专业的漏洞扫描工具进行扫描,或者进行专业的渗透测试,测评的时候,就需要向对方提供扫描报告或者渗透测试报告。
对于进行了漏洞扫描和渗透测试的来说,要重点查看扫描到的漏洞是否已经修补,如果仅仅是进行了漏洞扫描但是对于漏洞置之不理,那肯定是不行的。
七、测评项f
f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
这一项需要通过第三方软件或者硬件来实现了,windows系统并没有这项功能,一些杀毒软件具备入侵防范检测和报警功能(通过邮箱、短信等),或者在网络中部署有IPS等设备具有相关功能也可以。
以上就是一项一项教你测等保2.0——Windows入侵防范的所有内容,希望对大家有所帮助,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。