等保测评2.0:Windows身份鉴别结果记录描述(上) – 作者:起于凡而非于凡

1. 前言

与以前的文章不同的是,结果记录描述类的文章主要写实际测评中,我是如何写测评项的结果记录的,所以重点并不在测评项的判定上。
测评结果记录的描述,个人有个人的风格,也没有统一的标准,我在这里也只是说说自己的一些思路、想法,错误肯定很多啦,主要是抛砖引玉。

2. 对结果记录的思考

测评项的结果记录是测评报告的重要基础之一,从资产表到测评对象再到测评对象的测评结果记录,然后才会有风险分析、整体测评、主要问题、测评结论等一些列东西。
如果测评项的结果记录写得有问题,整个报告的质量和最终结论是很值得怀疑的。
每年一度的报告抽查中,结果记录的检查是很重要的一部分。

常见的结果记录描述中的错误大概有以下几种:
1600957959_5f6cae0772815d59c2a1b.png!small

所以我们在写结果记录的时候,要尽量避免出现这4个问题,我的大概解决思路如下:

2.1. 问题1-3

1、结果记录无针对性;

2、照抄测评项;

3、直接下结论。

其实这三个问题基本的根源是一样的,就是缺少细节。
缺少现场测评中的各种细节,只会让人觉得有些空,泛泛而谈。
解决方法也很简单,就是增加一些细节信息,如:写到到账户、用户方面,可以加上具体的用户名;写到权限、访问控制方面,可以加上具体的权限名称、角色名称等;写到策略配置方面,可以放上具体的配置信息;等等。
虽然实际上还是会有雷同的地方(因为很多时候都用的默认配置),但是针对性是相对的,只要有足够的细节的填充,就能让人确信这是你在现场进行实际测评后得到的真实的信息。

2.2. 问题4

未完全覆盖测评项

这种就是没有将测评项的理解不深,或者嫌麻烦没写全要求。
这个只要把测评要求好好看一看就可以解决了。

3. 测评项a

a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

关于windows身份鉴别涉及到的知识点,可以看之前的文章:
等保测评2.0:Windows身份鉴别

测评要求中的描述如下:

1) 应核查用户在登录时是否采用了身份鉴别措施;

2) 应核查用户列表确认用户身份标识是否具有唯一性;

3) 应核查用户配置信息或测试验证是否不存在空口令用户;

4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

所以结果记录中就要把这4点完全覆盖,对于windows而言,我的描述格式大概类似于下面这种:

1.用户登录时,使用用户名进行身份标识,使用口令进行身份鉴别,用户名具有唯一性;

2.存在Administrator账户,其口令由大小写字母、数字、特殊字符组成,长度为14位;

3.口令策略中,口令必须符合复杂性要求已启用,口令长度最小值未设置,口令最短使用期限为0天,口令最长使用期限为42天,强制口令历史为0个;

4.已定期更换口令,Administrator账户上次设置口令时间为2020年5月。

注意,我在这里这么写是方便阅读,实际写记录表的过程中,可以不要换行(方便粘贴进入测评能手中),也可以没有1、2、3、4。

3.1. 结果记录第1项

1.用户登录时,使用用户名进行身份标识,使用口令进行身份鉴别,用户名具有唯一性;

这里提一下,身份标识和身份鉴别是两个过程,所以这里分开描述,也算是体现专业性了吧。
这方面等保测评

来源:freebuf.com 2020-09-24 22:32:18 by: 起于凡而非于凡

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论