ISO27001检查表WindowsChecklistISO27001信息审计.docx
《ISO27001检查表WindowsChecklistISO27001信息审计.docx》由会员分享,可在线阅读,更多相关《ISO27001检查表WindowsChecklistISO27001信息审计.docx(49页珍藏版)》请在冰豆网上搜索。
ISO27001检查表WindowsChecklistISO27001信息审计
信息平安加固手册
WINDOWS系统
二零零五年四月
文档修改记录
修改日期
修改人
修改说明
版本号
补丁类
最新的ServicePack
风险描述
是否已经安装了最新的ServicePack
风险等级
风险高
加固建议
从微软的更新网站上下载最新的补丁进行安装
加固存在的风险
需要重启系统
加固风险躲避方法
加固成果
升级后能防止攻击者利用微软已公布的漏洞进行攻击
加固具体方法
WindowsSP补丁〔如WIN2000的SP3〕包可以用介质升级;
最好选择可以恢复系统的安装方式
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
最新的Hotfixs
风险描述
是否已经安装了最新的Hotfixs
风险等级
风险高
加固建议
从微软的更新网站上下载最新的补丁进行安装
加固存在的风险
可能需要重新启动系统
加固风险躲避方法
加固成果
升级后能防止攻击者利用微软已公布的漏洞进行攻击
加固具体方法
WIN2000的HOTFIX可以直接点击开始菜单的WindowsUpdate,直接到升级,最好选择可以恢复系统的安装方式
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
端口效劳类
禁止Messenger效劳
风险描述
用于把Alerter效劳器的消息发送给网络上的其它机器
风险等级
风险低
加固建议
将Messenger效劳停止或者禁用
加固存在的风险
加固成果
不会把Alerter效劳器的消息发送给网络上的其它机器
加固具体方法
1、翻开控制面板->管理工具->效劳窗口
2、查看Messenger效劳是否已启动
3、将效劳停止,将其启动类型由“自动〞改为“手动〞或者“禁用〞。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
禁止Telnet效劳
风险描述
该效劳在缺省时被安装.用于基于命令行方式的远程管理,但是该协议在网络上一明文传输数据.
风险等级
风险高
加固建议
将Telnet效劳停止或者禁用,如果需要进行命令行方式的远程管理,建议使用SSH来作为替代
加固存在的风险
加固成果
防止入侵者通过监控Telnet协议端口获得敏感信息
加固具体方法
1、翻开控制面板->管理工具->效劳窗口
2、查看Telnet效劳是否已启动
3、将效劳停止,将其启动类型由“自动〞改为“手动〞或者“禁用〞。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
3系统参数类
禁止自动登录
风险描述
自动登录会把用户名和口令以明文的形式保存在注册表中,因此需要禁止自动登录
风险等级
风险高
加固建议
修改注册表相关键值来禁止自动登录
加固存在的风险
加固风险躲避方法
加固成果
禁止了系统自动登录,防止其它用户从注册表中获得其它用户及其口令
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon为(REG_DWORD)0
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
3.2禁止在蓝屏后自动启动机器
风险描述
防止有恶意用户成心制造程序错误来重起机器以进行某些操作
风险等级
风险低
加固建议
修改注册表相关键值来禁止在蓝屏后自动启动机器
加固存在的风险
加固风险躲避方法
加固成果
用户在输入口令时都会用星号遮掩
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot为(REG_DWORD)0
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
3.3删除效劳器上的管理员共享
风险描述
每个WindowsNT/2000机器在安装后都缺省存在〞管理员共享〞,它们被限制只允许管理员使用,但是它们会在网络上以Admin$,c$等来暴露每个卷的根目录和%systemroot%目录
风险等级
风险高
加固建议
修改注册表相关键值来删除效劳器上的管理员共享
加固存在的风险
如果在网络上使用管理员共享来进行远程备份,防病毒支持,或其它远程管理,将会使你的应用程序不工作.
加固风险躲避方法
加固成果
无法利用admin$,c$等来访问网络windowsnt/2000机器的共享
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer为(REG_DWORD)0
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
3.4防止计算机浏览器欺骗攻击
风险描述
:
//support.microsoft/default.aspx?
scid=kb;EN-US;q262694查到.
风险等级
风险中
加固建议
修改注册表相关键值来防止计算机浏览器欺骗攻击
加固存在的风险
加固风险躲避方法
加固成果
防止计算机浏览器欺骗攻击
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset为(REG_DWORD)1
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
4网络参数类
4.1防止碎片包攻击
风险描述
帮助防止碎片包攻击
风险等级
风险中
加固建议
修改注册表相关键值来帮助防止碎片包攻击
加固存在的风险
加固风险躲避方法
加固成果
能帮助防止碎片包攻击
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery为(REG_DWORD)1
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
4.2keep-alive时间
风险描述
Keep-alive时间被网络子系统用来判定一个TCP会话是否仍然有效.
风险等级
风险低
加固建议
修改注册表相关键值来设定keep-alive数值
加固存在的风险
加固风险躲避方法
加固成果
能限定一个TCP会话的最大保持时间
加固具体方法
1、运行中输入regedit
2、修改键值HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime为(REG_DWORD)300000〔300000表示5分钟〕
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
5用户管理、访问控制、审计功能类
验证Passwd强度
风险描述
验证系统已经存在的Passwd强度
风险等级
风险高
加固建议
核查具有空口令的用户和弱密码的用户,passwd强度来增强系统平安性
加固存在的风险
可能造成某些其他系统来使用弱口令登陆本系统用户来做同步备份或操作的脚本失效
加固风险躲避方法
加固成果
增强用户密码的强度,大大降低用户密码被猜解的可能性
加固具体方法
验证系统口令强度,对弱口令的用户重新做口令加固。
意见
管理员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
同意
需要修改〔描述修改的意见〕
不同意〔描述不同意的原因〕
签名〔签字确认〕
风险描述
密码长度太短会造成很容易被猜解
风险等级
●风险中
加固建议
设定密码最低长度将能很好增强系统密码平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能增强用户口令保护强度
加固具体方法
●WIN2000系统,
1.运行命令
2.翻开“本地平安设置〞对话框,依次展开“帐户策略-密码策略〞
3.查看是否具有设置
4.密码策略,密码长度大于8位、必须启用密码复杂性要求;
●WINNT系统
没有密码策略,提高平安意识,设置合理口令。
考前须知:
由于WINNT系统没有密码策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.3密码使用时间
风险描述
一个密码长时间使用会比拟容易被猜解
风险等级
风险中
加固建议
设定密码最长使用时间将能很好增强系统密码平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能增强用户口令保护强度
加固具体方法
WIN2000系统,
运行命令
翻开“本地平安设置〞对话框,依次展开“帐户策略-密码策略〞
查看是否具有设置
密码策略,最短存留期大于5天、最长存留期小于90天
WINNT系统
没有密码策略,提高平安意识,设置合理口令。
考前须知:
由于WINNT系统没有密码策略设置选项,管理员应重视手动增强WINNT系统的密码增强设置。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.4账号登录事件审计
风险描述
修改账号登录事件审计
风险等级
风险低
加固建议
增强账号登录事件审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
2、修改审核策略如下:
审核帐户登录事件成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.5账号管理审计
风险描述
修改账号管理审计
风险等级
风险低
加固建议
增强账号管理审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
3、修改审核策略如下:
审核帐户管理成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.6目录效劳访问审计
风险描述
修改目录效劳访问审计
风险等级
风险低
加固建议
增强目录效劳访问审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能掌握更多日志信息便于系统平安审查
加固具体方法
〔仅域控制器才需要审计目录效劳访问〕
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
4、修改审核策略如下:
审核目录效劳访问成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.7登录事件审计
风险描述
修改登录事件审计
风险等级
风险低
加固建议
增强登录事件审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
5、修改审核策略如下:
审核登录事件成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.8对象访问审计
风险描述
修改对象访问审计
风险等级
风险低
加固建议
增强对象访问审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
用于跟踪特定用户对特定文件的访问,加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
6、修改审核策略如下:
审核对象访问失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.9策略更改审计
风险描述
修改策略更改审计
风险等级
风险低
加固建议
增强策略更改审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
7、修改审核策略如下:
审核策略更改成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.10特权使用审计
风险描述
修改特权使用审计
风险等级
风险低
加固建议
增强特权使用审计将能很好增强系统日志审核平安性
加固存在的风险
加固风险躲避方法
加固成果
用于跟踪用户对超出赋予权限的使用,加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
8、修改审核策略如下:
审核特权使用失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5.11进程跟踪审计
风险描述
修改良程跟踪审计
风险等级
风险低
加固建议
该事件的日志将会增长的非常快,建议仅在绝对必须时才使用
加固存在的风险
加固风险躲避方法
加固成果
用于跟踪每次一个用户启动,停止或改变一个进程,加固后能掌握更多日志信息便于系统平安审查
加固具体方法
●WIN2000系统
1、运行中输入命令
2、翻开“本地平安设置〞对话框,依次展开“本地策略-审核策略〞,是否具有审核策略;
9、修改审核策略如下:
审核过程追踪成功,失败
●WINNT系统
1、点击“开始->程序->管理工具->事件查看器〞,
2、选择“查看〞菜单是否为“所有事件〞。
WINNT没有此设置项,查看时通过选择“筛选事件〞可以使管理更加关注系统的异常行为,管理员要密切关注登录事件的失败记录、特权使用的失败记录以及其他异常行为等。
例如C:
\WINNT\system32目录的平安审计。
意见
管理员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
厂商意见
厂商维护人员对本条风险加固的意见:
●同意
●需要修改〔描述修改的意见〕
●不同意〔描述不同意的原因〕
●签名〔签字确认〕
5