官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
起于凡而非于凡- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
一、前言
与以前的文章不同的是,结果记录描述类的文章主要写实际测评中,我是如何写测评项的结果记录的,所以重点并不在测评项的判定上。
测评结果记录的描述,个人有个人的风格,也没有统一的标准,我在这里也只是说说自己的一些思路、想法,错误肯定很多啦,主要是抛砖引玉。
该系列专辑页面如下(不贴链接了,freebuf老是出错):
涉及相关知识点专辑页面如下:
二、测评项a
a)应对登录的用户分配账户和权限;
测评要求里说明如下:
1)应核查是否为用户分配了账户和权限及相关设置情况; 2)应核查是否已禁用或限制匿名、默认账户的访问权限。
对于第1点我觉得主要理解应该不是权限的分配,而是是权限的限制。
也就是得有两个权限不一致的账户,那么如果只有一个Administrator账户,那么权限的分配没有什么意义,虽然从纯理论的字面意思上看,确实分配了账户(administrator)和权限(几乎所有权限)。
我个人的话,这里如果只有一账户,那就只给部分符合。
对于要求里的第二点,其实大家怎么描述都可以,比如从禁用guest账户的角度,或者从限制其权限的角度进行描述。
我这里是从限制guest账户权限的角度进行描述,因为禁用guest账户的描述,会在访问控制的测评项b中出现,我不想让测评项里的内容重复。
个人描述如下(部分符合)
1、仅存在Administrator超级管理员账户,未实现有效的权限分配; 2、已规定Guest、Everyone对C:\windows\system文件夹等重要客体不具备任何权限,实现了默认账户的权限限制。
如果有不同的账户,描述如下(符合)
1、存在Administrator超级管理员账户以及gcris FTP账户,实现了权限分配; 2、已规定Guest、Everyone对C:\windows\system文件夹等重要客体不具备任何权限,实现了默认账户的权限限制。
三、测评项b
b)应重命名或删除默认账户,修改默认账户的默认口令;
测评要求里说明如下:
1)应核查是否已经重命名默认账户或默认账户已被删除; 2)应核查是否已修改默认账户的默认口令。
windows的默认账户一般就是Administrator和guest,这里我一般是按照账户的顺序进行描写的。
至于怎么查这里就不写了,很简单的。
描述如下(部分符合):
1、默认账户Guest已被禁用; 2、默认账户Administrator未进行重命名,其默认口令已修改。
其实Administrator账户没啥默认口令,不过就这么写算了。
四、测评项c
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
测评要求里说明如下:
1)应核查是否不存在多余或过期账户,管理员用户与账户之间是否一一对应; 2)应测试验证多余的、过期的账户是否被删除或停用。
畅读付费文章
已在FreeBuf发表 42 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
渗透测试之地基篇
等保2.0
等保测评2.0系列
- 42 文章数
- 967 关注者