等保能力验证2022—Windows主机
2023-10-25 10:50:57 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

在观看文章之前,各位小伙伴可以关注我的公众号,搜索 “等保不好做啊”,在下方菜单栏内找到“能力验证环境”,回复对应关键字即可免费获取2022能力验证作业指导书以及Linux(免费)、Windows、Mysql系统的VMware虚拟环境,配合文章复现食用更佳。

好,咱们废话不多说直接进入正题。

测评开始前,咱们先确定该服务器的重要程度,以及账号口令

1698200685_65387c6d901002230e68e.png!small?1698200690036

一、  身份鉴别

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

1698200705_65387c81424d6eb6f7cbc.png!small?1698200709925

第一条条款中它并没有很明显的坑留着,我们只需要按照测评流程来即可,查看

控制面板-管理工具-本地安全策略-帐户策略-密码策略

1698200737_65387ca14fcfb4b50d345.png!small?1698200741930

接着对照关键资产相应的口令安全策略,发现密码长度最小值、密码最长使用期限这两个参数不满足要求

1698200769_65387cc13517c1b421df7.png!small?1698200773551

第一题还是比较简单的,没有什么疑义

b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

1698200786_65387cd2de8ac56720f62.png!small?1698200791557

我们先看第一点,登录失败处理功能,控制面板-管理工具-本地安全策略-帐户策略-账户锁定策略

1698200800_65387ce03d2e25ba26506.png!small?1698200804728

接着去对比安全策略中关键资产要求的内容,发现要求锁定时间为30分钟,所以违反了安全策略要求

1698200821_65387cf53d3f0f4633326.png!small?1698200825537

接着我们再看操作超时自动退出功能,控制面板 →所有控制面板项 →管理工具 →本地安全策略 →本地策略 →安全选项 →交互式登录: 计算机不活动限制

1698230316_6538f02c215dc070738c8.png!small?1698230316983

在这里配置对应的时间后,会直接反馈到屏幕保护程序上,即使未勾选“再恢复时显示登录屏幕”,到时间后也会要求重新输入口令进行身份鉴别。

1698200846_65387d0e1de8912468d15.png!small?1698200850846

同时安全策略要求关键资产配置超时登录机制时间为15分钟,所以违反安全策略

1698200860_65387d1cf3e7c6aba16f4.png!small?1698200865327

1698200866_65387d22ce0fec343fe97.png!small?1698200871102

c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

1698201015_65387db7a017278b50c6a.png!small?1698201020432

这题就有点意思了,和我们以往的查看方式不相同,我们以往可能查看的都是这里,运行gpedit.msc→Windows组件→远程桌面服务→远程桌面会话主机→安全一看,均未配置,可能就直接下了不符合的结论了。

1698201033_65387dc90ab87e06f01f7.png!small?1698201037613

1698201040_65387dd0b41f277c7e57b.png!small?1698201045339

这边呢,我也是根据发的答案后面测试才发现端倪,我们使用sslscan 工具对目标3389端口采用的协议进行探测,命令:sslscan.exe ip:端口

发现Windows Server 2008 默认仅支持TLS 1.0

1698201055_65387ddf9c6cb65d86576.png!small?1698201060013

而Windows Server 2016,默认情况下Windows Server 2016是支持TLS1.0、TLS1.1和TLS1.2,需要修改注册表强制使用TLS1.2 进行通信,我们使用 sslscan.exe 172.17.200.45:3389

1698201072_65387df0de937e79f06b3.png!small?1698201077215

发现TLS1.1、1.2、1.3均为enabled。并且配置这里 gpedit.msc→Windows组件→远程桌面服务→远程桌面会话主机→安全 内容,探测结果也未发生改变,只能另寻良药。网上资料也比较杂,后续发现一个在注册表的配置证实了可以将目标设置为强制使用TLS1.2。在 Windows Server 2016 上禁用TLS 1.0和TLS 1.1可以通过修改注册表来实现。请按照以下步骤进行操作:

  1. 打开“注册表编辑器”。可以通过在开始菜单中搜索“注册表编辑器”并打开它。
  2. 注册表编辑器窗口中,依次展开以下路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols 
  3. 在“协议”文件夹下,查找名为“TLS 1.0”和“TLS 1.1”的文件夹。如果找不到这些文件夹,则需要手动创建它们。
  4. 在“TLS 1.0”和“TLS 1.1”文件夹下,分别创建名为“Client”和“Server”的文件夹。
  5. 在“Client”和“Server”文件夹下,创建名为“DisabledByDefault”的DWORD值,并将数值数据设置为1。
  6. 在“Client”和“Server”文件夹下,创建名为“Enabled”的DWORD值,并将数值数据设置为0。

1698201133_65387e2d359f49d530e21.png!small?1698201137784

配置好后关闭重启,再用SSL 工具进行探测,发现已经成功仅允许TLS1.2协议进行远程通信了

1698201143_65387e373987c4527d5ab.png!small?1698201


文章来源: https://www.freebuf.com/articles/system/381708.html
如有侵权请联系:admin#unsafe.sh