等保测评2.0：Windows入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序;

b)应关闭不需要的系统服务、默认共享和高危端口;

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

d)应提供数据有效性检验功能，保证通过人机接口输人或通过通信接口输入的内容符合系统设定要求;

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞;

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

注意，测评项d的测评对象不包括服务器的操作系统：

3. 测评项a

a)应遵循最小安装的原则，仅安装需要的组件和应用程序;

这一条比较容易理解。即仅安装该服务器需要的组件和应用程序，非必需的组件和应用程序应该删除或者停用。

输入appwiz.cpl可以看到windows中安装的程序：

在进行测评的时候，有一些是明显多余的程序，比如QQ、迅雷等，另外一些，如果是不常见或者不清楚用途的软件，需要通过访谈来进行确认。

4. 测评项b

b)应关闭不需要的系统服务、默认共享和高危端口;

这个测评项总的意思为是否对外部的访问进行管制和最小化处理。

服务、进程、端口的关系是这样的，启用了某个服务，某个服务就会启动一个或者数个进程，然后进程就有可能会监听端口，然后只有当进程监听了端口后，此端口的通信才会存在意义。

外界对一个服务器的某个没有任何进程监听的端口发送信息的话，不会得到任何回应的。

如iis服务会启动w3wp进程，w3wp进程就会监听80端口或者你设置的某个端口。

所以对于这个测评项，可以从多个方面进行判断，一个是开启服务(其中也包括了共享服务)情况，一个是监听端口的情况，其中最直接的是通过服务器监听的端口情况进行判断。

4.1. 不需要的系统服务

一方面，可以查看windows启用的功能，在服务器管理器中的功能节点中，可以看到已启用的windows功能：

这里启用了Telnet服务器功能，明显是多余的(在身份鉴别控制点的c测评项中也是不允许的)，但注意，这不能代表它就一定开启了telnet服务。

另外如果不是网站服务器、应用服务器，未承担网站后台的业务，那么IIS也是多余的。

另外一方面，就是直接查看各个服务的状态：

注意，这里的Telnet服务是关闭的，所以并没有监听相关的端口。

4.2. 默认共享

对于默认共享，也可以先看看共享服务是否开启了：

然后用命令net share查看开启的共享到底有哪些：

这里解释一下，对于windows系统而言，默认是会给你开启共享的，一个磁盘一个共享，c盘多一个Admin$共享，然后都会有一个ipc$共享。

默认共享和一般共享的区别在于，它的共享名后面会有一个$，这代表它是一个隐藏共享，也就是说在计算机的网络中是看不到的：

但是，仅仅是隐藏而已，可以在文件夹地址栏中输入地址进行正常的共享访问(期间要输入用户名、口令)：

服务器上可以在服务器管理器中的共享和存储管理中的会话管理中查看共享连接会话(这里只包括其它终端连自己的)：

也可以用net session命令进行查看(这里只包括其它终端连自己的)：

至于ipc$具体用来干嘛，我不大清楚，它可以实现空用户名、空口令的连接(下面是在其它的终端上连接服务器，net use命令可以查看自己对其它服务器的共享连接会话)：

C:UsersCX>net use \192.168.9.136ipc$ "" /user:""

命令成功完成。

C:UsersCX>net use

会记录新的网络连接。

状态 本地 远程 网络

-----------------------------------------------------------------------------

OK \192.168.9.136ipc$ Microsoft Windows Network

命令成功完成。

ipc$连上了后，基本没有什么权限：

C:UsersCX>net time \192.168.9.136

发生系统错误 5。

拒绝访问。

C:UsersCX>net view \192.168.9.136

发生系统错误 5。

拒绝访问。

ipc$连上了后，再去连c$或者其他共享，实际是直接拿连接ipc$时输入的用户名、口令去验证。