第四章 主机安全测评

1、第4章 主机安全测评技术 2021年7月25日星期日 本章要点 从“计算”到“计算安全” 信息安全与信息系统安全 信息安全：回答的是what 信息系统安全：回答的是how 主机安全：是信息系统安全的分支 主机安全：是信息系统安全的“最后一道防线” 穿越时空的畅想 古代信息安全：古代信息安全： 阴符、阴书、阴符、阴书、 江湖切口江湖切口 密语、密码密语、密码 现代信息安全：现代信息安全： 对称加密对称加密 非对称加密非对称加密 信息隐藏信息隐藏 古代古代“主机主机”安全安全 传令兵的口令传令兵的口令 传令兵的身体传令兵的身体 现代主机安全现代主机安全 身份鉴别、自主和强制访问控制身份鉴别、自主和

2、强制访问控制 安全审计、剩余信息保护区、安全审计、剩余信息保护区、 入侵防范、恶意代码防范、入侵防范、恶意代码防范、 资源控制资源控制 防御体系 主机安全测评的要点 1. 身份鉴别-进大门 低级：口令和密码 高级：数字证书、指纹识别、虹膜识别 2. 自主访问控制-进一些重要部门 用户按照自己的意愿对主机的参数做适当修改以 决定哪些用户可以访问他的文件。 3. 强制访问控制 用户与文件都有一个事先设置的、非经授权不能 修改的安全属性。 4. 安全审计-“做了跑不掉” 包括对主机系统安全日志的保护，对用户行为的 记录，以及对主机资源的异常记录等方面。 5.剩余信息保护 主机存储敏感信息的空间被释放

3、给其他用户的时 候，原来存储在主机里的重要信息要保证及时清 理掉。 6.入侵防范-正在干的要及时发现 包括对入侵行为的记录（攻击的目的地、攻击的 时间、攻击者的IP、重要程序是否被破坏以及破 坏后是否及时恢复）。 7. 恶意代码防范 主要检查主机是否配备相关的防恶意代码的机制， 包括杀毒软件等。 恶意代码：病毒，木马，间谍软件等。 8. 资源控制 用户不能无限制的使用主机资源，也要防止外面 的用户非法掠夺这台主机的资源。 主机安全测评的实施 测评对象：“天网”的G2G政府内部办公网络 “青天”子系统。 属于巴山市政府的内部办公业务，服务对象时政 府各部门的公务员，处理的政府公文很多带有敏 感性

4、。 定级为3级。 主机身份鉴别访谈 第3级安全测评要求主机身份鉴别访谈共3项： 应访谈系统管理员，询问操作系统的身份标识 与鉴别机制采取何种措施实现。 应访谈数据库管理员，询问数据库的身份标识与 鉴别机制采取何种措施实现。 应访谈主要操作系统和数据库管理员是否采用了 远程管理，如采用了远程管理，查看采用何种措 施防止鉴别信息在网络传输过程中被窃听。 P79 问卷调查 主机安全审计访谈 第3级安全测评要求主机安全审计访谈只有1项： 应访谈安全审计员，询问主机系统是否设置安全 审计；询问主机系统对事件进行审计的选择要求 和策略是什么？对审计日志的处理方式有哪些？ P79 问卷调查 主机剩余信息保护

5、访谈 第3级安全测评要求主机剩余信息保护访谈共2项： 应访谈系统管理员，询问操作系统用户的鉴别 信息存储空间，被释放或再分配给其他用户前是 否得到完全清除；系统内的文件、目录等资源所 在的存储空间，被释放或重新分配给其他用户前 是否得到完全清除。 应访谈数据库管理员，询问数据库管理员用户的 鉴别信息存储空间，被释放或再分配给其他用户 前是否得到完全清除；数据库记录第3级安全测评 要求等资源所在的存储空间，被释放或重新分配 给其他用户前是否得到完全清除。 P79 问卷调查 主机入侵防范访谈 第3级安全测评要求主机入侵防范访谈共2项： 应访谈系统管理员，询问是否采取主机入侵防范 措施，主机入侵防范

6、内容是否包括主机运行监视、 资源使用超过值报警、特定进程监控、入侵行为 检测和完整性检测等方面的内容。 应访谈系统管理员，询问入侵防范产品的厂家、 版本和安装部署情况；询问是否按要求（如定期 或实时）进行产品升级。 P79 问卷调查 主机恶意代码防范访谈 第3级安全测评要求主机恶意代码防范访谈只有1 项： 应访谈系统安全管理员，询问主机系统是否采取 恶意代码实时监测与查杀措施，恶意代码实时监 测与查杀措施的部署情况如何，是否按要求进行 产品升级。 P79 问卷调查 注意 国家标准关于第3级主机安全访谈规定，没有对 “自主访问控制”、“强制访问控制”和“资源 控制”的访谈要求（第4级以上才会出现

7、）。 访谈 现场检查：对访谈内容进行核实 包括：一是对各个主机所对应的相关文档资料进 行检查；二是对各型主机上运用各种操作指令进 行现场检查。 抽样检查 主机安全现场检查 1、主机身份鉴别现场检查 第3级安全测评要求主机的身份鉴别现场检查共5 项： （1）检查服务器操作系统和数据库管理系统身份鉴 别功能是否具有操作系统安全技术要求 （GB/T 20272-2006）和数据库管理系统安全技 术要求（GB/T 20273-2006）第二级以上或TCSEC C2级以上的测试报告。 文档检查，检查项目建设的招/投标文件来验证是 否达到要求。 （2）检查主要服务器操作系统和数据库系统账户 列表，查看管理

8、员用户名分配是否唯一。 检查目标：检查操作系统管理员账户是否唯一 检查对象：“青天”子系统Web服务器 检查步骤： 开始-运行 cmd 命令：net localgroup administrators 检查结论：该web服务器（不）符合国家标准关 于第3级主机身份鉴别的安全测评要求。 （3）检查主要服务器操作系统和主要数据库管理 系统，查看是否提供了身份鉴别措施，其身份鉴 别信息是否具有不易被冒用的特点。 检查：用户输入口令来检查，或让系统管理员提 供口令设置文件和口令替换记录等资料来核对。 第3级：口令长度至少要达到7个字符以上，并混 杂有大小写字母、数字和特殊符号。 口令替换至少每月一次

9、（4）检查主要服务器操作系统和主要数据库管理 系统，查看身份鉴别是否采用两个或两个以上身 份鉴别技术的组合技术来进行身份鉴别。 比如：口令、生物识别、物理设备、动态口令。 数字证书等二选一。 注意：要核对证书产品是否通过了国家权威机构 的测评认证。 （5）检查主要服务器操作系统和主要数据库管理 系统，查看是否配置了鉴别失败处理功能，并设 置了非法登录次数的限制；查看是否设置网络连 接登录超时并自动退出功能。 检查目标：查看是否配置了鉴别失败处理功能， 并设置了非法登录次数的限制；查看是否设置网 络连接登录超时并自动退出功能。 检查对象：”青天“子系统内网网站web服务器 检查步骤： 打开”管理

10、工具“-本地安全设置-账户策略-账 户锁定策略。 打开”管理工具“-本地安全设置-本地策略-安全 选项 检查结论：该web服务器（不）符合国家标准关于 第3级主机身份鉴别检查的安全策略要求。 2、主机自主访问控制现场检查 第3级安全测评要求主机的自主访问控制现场检查 项共6项： （1）检查服务器操作系统和数据库管理系统的自 主访问控制功能是否具有操作系统安全技术要 求（GB/T 20272-2006）和数据库管理系统安 全技术要求（GB/T 20273-2006）第2级以上或 TCSEC C2级以上的测试报告。 （2）检查主要服务器操作系统的安全策略，查看 是否对重要文件的访问权限进行了限制，

11、对系统 不需要的等可能被非授权访问者 （人或 程序）进行了限制。 检查目标：查看是否对重要文件的访问权限进行 了限制；对系统不需要的服务是否进行了限制； 是否对共享路径进行了限制 检查对象：”青天“子系统内网WEB服务器 检查步骤： 管理工具-计算机管理-共享文件夹-共享 管理工具-服务 检查结论：该服务器未对共享资源进行控制，但 禁用了不需要的服务，重要文件的访问权限进行 了限制。不符合第3级要求。 （3）检查主要服务器操作系统和数据库管理系统 的访问控制列表，查看授权的用户中是否存在过 期的账号和无用的账号等；访问控制列表中的用 户和权限，是否与安全策略相一致。 检查目标：查看授权用户是否

12、存在过期账号和无用 账号 检查对象：”青天“子系统内网网站web服务器 检查步骤： 管理工具-计算机管理-本地用户和组-用户 查看用户权限并与安全策略相对比 (4)检查主要数据库服务器的数据库管理人员与操 作系统管理员是否由不同管理员担任。 （5）检查主要服务器操作系统和主要数据库管理 系统，查看特权用户的权限是否进行分离；查看 是否采用最小授权原则。 （6）查看主要服务器操作系统和主要数据库管理 系统，查看匿名/默认用户的访问权限是否被禁用 或者严格限制。 检查目标：查看匿名/默认用户的访问权限是否被 禁用或者严格限制 检查对象：“青天”子系统内网网站web服务器 检查步骤： 管理工具-本地

13、安全策略-安全选项 “让每个人权限应用与匿名用户”“限制匿名访 问命名管道和共享”“允许匿名SID/名称转换” 三项禁用 检查结论：该服务器符合本条检查要求。 3、主机的强制访问控制安全检查 第3级安全测评要求对主机的强制访问控制现场检 查共3项，均是检查文档资料。 （1）检查服务器操作系统和数据库管理系统的强 制访问控制功能是否具有操作系统安全技术要 求（GB/T 20272-2006）和数据库管理系统安 全技术要求（GB/T 20273-2006）第2级以上或 TCSEC C2级以上的测试报告。 （2）检查服务器操作系统文档，查看强制访问控 制管理模型是否采用“向下读，向上写”模型， 如果

14、操作系统采用其他强制访问模型，则操作系 统文档中是否有对这种模型的详细分析，并有权 威机构对这种强制访问控制模型的合理性和完善 性的检查证明。 （3）检查主要服务器操作系统和主要数据库管理 系统文档，查看强制访问控制是否与用户身份鉴 别、识别等安全功能密切配合，是否控制粒度达 到主体为用户级、客体为文件和数据库表级。 4、安全审计现场检查 第3级安全测评要求对主机的安全审计现场检查共 5项，均可进行手动检查。 （1）检查主要服务器操作系统、主要终端操作系 统和主要数据库管理系统，查看当前审计范围是 否覆盖到每个用户。 检查目标：检查操作系统，查看当前审计范围是 否覆盖到每个用户。 检查对象：“

15、青天”子系统内部邮件服务器 检查步骤： 管理工具-计算机管理-系统工具-事件查看器-系统 管理工具-计算机管理-系统工具-事件查看器-安全性 检查结论：该服务器满足主机对用户的安全审计要求 （2）检查主要服务器操作系统、重要终端操作系 统和主要数据库管理系统，查看审计策略是否覆 盖到系统内重要的安全相关事件。 检查目标：查看操作系统，查看审计策略是否覆 盖到系统内重要的安全相关事件。 检查对象：“青天”子系统内部邮件服务器 检查步骤： 管理工具-本地安全设置-本地策略-审核策略 检查结论：该服务器满足第3级安全测评主机对安 全审计策略的要求。 （3）检查主要服务器操作系统、重要终端操作系 统和

16、主要数据库管理系统，查看审计记录信息是 否包括事件发生的日期和事件、触发事件的主体 与客体、事件的类型、事件的成功或失败、身份 鉴别事件中请求的来源和事件的结果等内容。 检查方式同（1） （4）检查主要服务器和重要终端操作系统，查看 是否授权用户浏览和分析审计数据提供专门的审 计工具，并能根据需要生成审计报表。 （5）检查主要服务器操作系统、重要终端操作系 统和主要数据库管理系统，查看审计跟踪设置是 否定义了审计跟踪极限的阈值，当储存空间被耗 尽时，能否采取必要的保护措施。 检查目标：检查操作系统和数据库管理系统，查 看审计跟踪设置是否定义了审计跟踪极限的阈值， 当储存空间被耗尽时，能否采取必

17、要的保护措施。 检查对象：青天”子系统内部邮件服务器 检查步骤： 管理工具-本地安全设置-本地策略-安全选项 管理工具-计算机管理-系统工具-事件查看器 （右键）应用程序-属性 检查结论：从测试过程可以看出，当存储空间耗尽 不能记录安全审核时，系统会自动采取相应保护 措施，但该项已经禁止，因此测试结果不符合安 全审计的要求。对审计日志则设置了限制，并对 超过限制采取了必要的保护措施，因此这项测试 结果符合要求。 5、剩余信息保护现场检查 第3级安全测评要求对主机的剩余信息保护现场检 查共2项。 （1）检查服务器操作系统和数据库管理系统的神 域嘻嘻保护功能是否具有操作系统安全技术要 求（GB/T

18、 20272-2006）和数据库管理系统安 全技术要求（GB/T 20273-2006）第2级以上的测 试报告。 （2）检查主要操作系统和主要数据库管理系统维 护操作手册，查看是否明确用户的鉴别信息存储 空间，被释放或再分配给其他用户前的处理方法 和过程；文件、目录和数据库记录等资源所在的 存储空间，被释放或重新分配给其他用户前的处 理方法和过程。 6、主机的入侵防范现场检查 第3级安全测评要求对主机的入侵防范现场检查共 3项。 （1）检查入侵防范系统，查看能否记录攻击者的 源、攻击类型、攻击目标和攻击时间等，在 发生严重入侵事件时能否提供报警功能。 检查目标：检查入侵防范系统，查看能否记录攻

19、 击者的源、攻击类型、攻击目标和攻击时间 等，在发生严重入侵事件时能否提供报警功能。 检查对象：“青天”子系统边界防火墙以及内网 某终端 检查步骤： 检查结论：从测试过程可以看出，入侵防范系统 可以记录攻击者的源IP、攻击类型、攻击目标和 攻击事件等相关重要信息，因此符合检查要求。 （2）检查是否专门设置了升级服务器来实现对重 要服务器的补丁升级。 检查目标：检查是否专门设置了升级服务器来实 现对重要服务器的补丁升级。 检查对象：“青天”子系统某专门升级服务器 检查步骤： 本实验服务器IP192.168.1.67 通过远程管理在远端计算机（模拟的补丁下载地址） 打开IE浏览器，地址栏输入“ht

20、tp:/192.168.1.67” 输入该地址的主机用户名和登录口令，查看其软件 补丁升级的界面 检查结论：按第3级安全测评要求设置了升级服务器， 可以用于对重要服务器的补丁升级，因此符合检查要 求。 （3）检查主要服务器是否已经及时更新了操作系 统和数据库系统厂商新公布的补丁。 检查目标：检查服务器的补丁升级情况 检查对象：“青天”子系统数据库服务器 检查步骤： 首先安装Microsoft Baseline Security Analyzer补丁 升级检查软件 运行，单击“scan a computer” 检查结论：主要服务器对操作系统和数据库系统进 行了及时更新，符合检查要求。 7、主机的

21、恶意代码现场检查 第3级安全测评要求对主机的恶意代码现场检查共 2项。 （1）检查主要服务器系统和重要终端系统，查看 是否安装了实时检测和查杀恶意代码的软件产品， 查看实时检测与查杀恶意代码的软件产品是否具 有恶意代码防范的统一管理功能，查看检测与查 杀恶意代码软件产品的厂家、版本号和恶意代码 库名称。 （2）检测网络防恶意代码产品，查看厂家、版本 号和恶意代码库名称，查看是否与主机恶意点名 产品有不同的恶意代码库。 检查目标：查看是否安装了实时检测和查杀恶意 代码的软件产品，查看实时检测与查杀恶意代码 的软件产品是否具有恶意代码防范的统一管理功 能，查看检测与查杀恶意代码软件产品的厂家、 版

22、本号和恶意代码库名称。 检查对象：”青天“子系统数据库服务器 检查步骤： 先从裸机上查看木马程序是否存在，然后在windows命令 行状态下输入命令”netstat -a“，查看当前运行的程序所 使用的通信端口。 打开”任务管理器“查看进程 打开杀毒软件 查看该杀毒软件产品的厂家、版本号和恶意代码库名称。 检查结论：植入的木马程序被本机上的杀毒软件实时发现并 进行了查杀，通过该杀毒软件，可以清楚地了解到该杀毒 软件的厂家、版本和恶意代码库的名称，以及日期等信息。 因此，符合检查要求。 8、主机的资源控制现场检查 第3级安全测评要求对主机的资源控制现场检查共 4项。 （1）检查主要服务器操作系统

23、，查看是否设定了 终端接入方式和网络地址范围等条件限制终端登 录功能。 检查目标：检查主要服务器操作系统，查看是否 设定了终端接入方式和网络地址范围等条件限制 终端登录功能。 检查对象:“青天”子系统数据库服务器 检查步骤： 组策略编辑器（gpedit.msc）-计算机配置-管理模 板-windows组件-终端服务-会话 管理工具-本地安全策略-IP安全策略。双击安全服 务器。 检查结论：主要服务器操作系统设定了“仅从原始 客户端重新链接”和网络地址范围等条件，从而 限制了终端登录。因此符合检查要求。 （2）检查主要服务器操作系统，查看是否限制了 单个用户对系统资源的最大和最小使用限度。 检查

24、目标：检查主要服务器操作系统，查看是否 限制了单个用户对系统资源的最大和最小使用限 度。 检查对象：”青天”子系统数据库服务器 检查步骤： 我的电脑-右键-磁盘-属性 配额 - 配额项 检查结论：主要服务器的操作系统设置了用户对 硬盘的使用限制，因此符合检查要求。 （3）检查主要服务器操作系统，查看是否在服务 水平降低到预先规定的最小值时，能检测和报警。 检查目标：检查系统是否为服务水平设置了最小 值；查看是否在服务水平降低到预先规定的最小 值时，能进行检查和报警。 检查对象：“青天”子系统数据库服务器 检查步骤： 管理工具-性能-性能日志和报警-报警 右键 - 新建 管理工具-事件查看器-应

25、用程序 双击事件源为 sysmonlog的应用程序事件 检查结论：主要服务器操作系统为服务水平设定了 最小值；服务水平降低到预先规定的最小值时， 能检测和报警。因此符合检查要求。 （4）检查能够访问主要服务器的终端是否设置了 操作超时锁定功能。 检查目标：检查能够访问主要服务器的终端是否 设置了操作超时锁定功能。 检查对象：“青天”子系统数据库服务器 检查步骤：管理工具-终端服务配置 终端服务配 置-连接 RDP-Tcp 检查结论：操作超时锁定设定了时间。因此，符 合检查要求。 4.2.3主机安全测试 第3级安全测试要求关于主机的安全测试共8项。 1、身份鉴别测试 第3级主机安全测试要求关于主

26、机的身份鉴别测试 共3项。 （1）测试主要服务器操作系统和主要数据库管理 系统，验证鉴别失败处理功能是否有效。 测试目标：测试主要服务器操作系统和主要数据 库管理系统，验证鉴别失败处理功能是否有效。 测试对象：”青天“子系统数据库服务器 测试步骤：对已有账号进行错误登录，3次登录无 效。 结果P106 图4.33 测试结果：连续3次使用系统已有账户进行错误登 录，会使账户被锁定。因此，测试结果符合要求。 （2）渗透测试主要服务器操作系统，对服务器操 作系统进行用户口令的强度检测，查看能否破解 用户口令，破解口令后能付登录进入系统。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤

27、： 首先安装perl语言执行环境，下载NTCrack口令破 解软件 使用perl命令行语句启动NTCrack工具 获得该机用户口令 使用破解的口令，成功登陆系统 测试结论：从测试过程可以看出，可以通过口令破 解工具，获取系统中的弱口令用户名和密码，并 使用该账户名和密码成功登陆主要服务器。因此， 不符合要求。 （3）渗透 测试主要服务器操作系统， 测试是否 存在绕过认证方式进行系统登陆的方法，如认证 程序存在的安全漏洞、社交工程或其他手段。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤： 运行nc.exe监听一个没有被系统使用的端口，本实 验采用1024端口 按照如图所示运行

28、ms06040rpc.exe 监听到shell，说明存在成功的绕过认证方式进行 系统登录的情况 测试结论：从测试过程可以看出，存在绕过认证方 式进行成功登录系统的方法，因此不符合要求。 2、主机的自主访问控制测试 第3级安全测评要求对主机安全自主访问控制测试 只有1项。 测试主要服务器操作系统和主要数据库管理系统， 依据系统访问控制的安全策略，并以未授权用户 身份/角色进行访问检验，以验证系统是否可以拒 绝访问。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤： 以管理员身份登录系统，检查用户权限的分配。 以较低权限用户身份登录，进行越权操作。 测试结论：从测试过程可以看出，以权限较低用 户身份登录系统，进行越权操作，无法安装程序。 因此，测试结果符合要求。 3、主机的强制访问控制测试 第3级安全测评要求对主机安全强制访问控制测试 有2项。 （1）测试主要服务器操作系统和主要数据库管理 系统，依据系统文档描述的强制访问控制模块，以 授权用户和非授权用户进行访问，验证是否只有授 权用户可以进行访问，而非授权用户不能访问。 测试目标：如上 测试对象：”青天“子系统数据库服务器 测试步骤： 以任意用户身份登录，然后访问