終端裝置
終端安全測評主要涉及五個方面的內容,分別是:身份鑑別、訪問控制、入侵防範、惡意**防範、可信驗證。以下以windows終端為例進行說明。
控制點
1.
身份鑑別
為確保連線終端的安全,必須對終端的每個使用者或與之相連的裝置進行有效的標識與鑑別。只有通過鑑別的使用者,才能被賦予相應的許可權,進入終端,並在規定的許可權範圍內操作。
a)
安全要求:應對登入的使用者進行身份標識和鑑別,身份標識具有唯一性,身份鑑別資訊具有複雜度要求並定期更換。
要求解讀:使用者的身份標識和鑑別是指使用者以一種安全的方式向作業系統提交自己的身份證明,然後由作業系統確認使用者的身份是否屬實的過程。身份標識應具有唯一性。在使用者進入windows桌面前,系統會彈出乙個使用者登入介面,要求使用者輸入使用者名稱和密碼,使用者通過驗證才可以登入作業系統。
檢查方法
1.核查是否使用者需要輸入使用者名稱和密碼才能登入。
2.核查windows預設使用者名稱是否具備唯一性。
3.選擇「控制面板」—>「管理工具」—>「計算機管理」—> 「本地使用者和組」選項,檢查有哪些使用者,並嘗試以空口令登入(應為無法登入)。
4.選擇「控制面板」—> 「管理工具」—> 「本地安全策略」—>「賬戶策略」—>「密碼策略」選項,核查密碼策略的配置是否合理。
期望結果
1.使用者登入需要輸入使用者名稱和密碼才能登入。
2.使用者需要具備唯一性才能登入。
3.嘗試使用空口令登入,未成功。
4.密碼策略如下。
b)
要求解讀:由於非法使用者能夠通過反覆輸入密碼達到猜測使用者密碼的目的,因此,應該限制使用者登入過程中連續輸入錯誤密碼的次數。如果使用者多次輸入錯誤密碼,作業系統應自動鎖定該使用者或在一段時間內禁止該使用者登入,從而提高非法使用者猜測密碼的難度。
windows作業系統具有登入失敗處理功能,可以通過適當配置賬戶鎖定策略來對使用者的登入行為進行限制。
檢查方法
1.選擇「控制面板」—>「管理工具」—>「本地安全策略」—>「賬戶策略」—>「密碼鎖定策略」選項,核查密碼鎖定的策略是否合理。
2.在桌面上單擊右鍵,在彈出的快捷選單中選擇「個性化」—>「螢幕保護程式」選項,檢視「等待時間」,以及「在恢復時顯示登入螢幕」核取方塊是否被勾選。
期望結果
1.密碼鎖定策略如下。
賬戶鎖定閾值:不為不適用。
2.已啟了遠端登入連線超時自動退出的功能。
c)
安全要求:當進行遠端管理時,應採取必要措施防止鑑別資訊在網路傳輸過程中被竊聽。
要求解讀:為方便管理員進行管理操作,許多作業系統都採用了網路登入的方式。windows作業系統一般使用遠端桌面進行遠端管理。《基本要求》規定,對傳輸的資料需要進行加密處理,目的是保障賬戶和口令的安全。
檢查方法
1.如果採用本地管理或kvm等硬體管理方式,則此要求預設滿足。
2.如果採用遠端管理,則需採用帶有加密管理的遠端管理方式。在命令列視窗輸入gpedit.msc命令,在彈出的「本地組策略編輯器」視窗檢視「本地計算機策略
—>計算機配置—>管理模板—>windows 元件—>遠端桌面服務—>遠端桌面會話主機—>安全」中的相關專案。
期望結果
1.本地或kvm預設符合此項。
2.遠端運維採用加密的rdp協議。
安全計算環境 (四)終端裝置 2
終端裝置 控制點 2.訪問控制 在作業系統中實施訪問控制的目的是保證系統資源 作業系統 受控 合法地被使用。使用者只能根據自己的許可權來訪問終端資源,不得越權訪問。a 安全要求 應對登入的使用者分配賬戶和許可權。要求解讀 訪問控制是安全防範和保護的主要策略,作業系統訪問控制的主要任務是保證作業系統中...
linux 終端裝置
終端解釋 終端是一種字元型裝置,它有多種型別,通常使用tty來簡稱各種型別的終端裝置。tty是teletype的縮寫。teletype是最早出現的一種終端裝置,很象電傳打字機 或者說就是 是由teletype公司生產的。在linux系統的裝置特殊檔案目錄 dev 下,終端特殊裝置檔案一般有以下幾種 ...
linux 終端裝置
早期計算機通常用電傳印表機充當終端裝置,終端裝置的作用就是接受使用者的輸入並傳遞給計算機,接受計算機的反饋返回給使用者。如下圖所示 後來電傳印表機被鍵盤和顯示器取代,linux為了支援這種外部終端裝置的連線,提供了終端裝置介面 tty 下面以海思hi3559開發板為例說明串列埠終端。在除錯開發板的時...