安骑士基线检查功能自动检测您服务器上的系统、数据库、账号配置存在的风险点,并针对所发现的问题项为您提供修复建议。

概述

安骑士企业版支持基线检查功能,更多可检查的风险类型详情,请参见基线检查项目列表基线检查

检测周期:默认每天00:00-06:00点进行一次全面自动检查。您可以在安全设置页面设置检测周期和检测执行的时间。

说明
  • 基础版用户需要升级到服务器安全(安骑士)企业版才能使用此功能。升级
  • 某些检测项,例如:Mysql弱密码检测、sqlserver弱密码检测,采用尝试登录方式进行检查,会占用一定的服务器资源以及生产较多的登录失败记录,因此这些项目是默认不开启基线检查的。如果需要对这些项目执行基线检查,您可在确认上述风险后,在基线检查设置中勾选这些项目。

基线检查项目列表

分类 检测项 说明
系统 系统自启动项检测(Windows) 检测 Windows 系统服务器中的注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit中的键值是否包含可疑的可执行文件。
系统共享配置检测(Windows) 检测 Windows 系统服务器中的注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous中的键值,查看该键值控制是否允许远程操作注册表。
组策略检测(Windows) 检测 Windows 系统服务器中以下账号相关的安全策略:
  • 账号密码长度最小值
  • 密码复杂度(数字、大小写字母、特殊字符组合)
  • 密码更新时必须与原密码不同
  • 登录框是否显示上次登录账号
  • 登录事件记录是否开启
  • 登录过程中事件记录是否开启
SSH 登录基线检测 检测 Linux 系统服务器中以下 SSH 登录安全策略配置:
  • 登录端口是否为默认 22 端口
  • root 账号是否允许直接登录
  • 是否使用不安全的 SSH V1 协议
  • 是否使用不安全的 RSH 协议
  • 是否运行基于主机身份验证的登录方式
弱密码检测 Linux 系统登录弱口令检测 检测 Linux 系统服务器的登录账号的密码是否为常见弱口令,及 SSH 登录的密码是否常见弱口令。
SQLServer 登录弱口令检测 检测服务器上 SQLServer 登录账号的密码是否为常见弱口令。
Windows 系统登录弱口令检测 检测 Windows 系统服务器中系统登录账号的密码是否为常见弱口令,及 RDP 登录的密码是否为常见弱口令。
FTP 匿名登录检测 检测服务器上的 FTP 服务是否开启匿名登录。
MySQL 弱口令检测 检测服务器上的 MySQL 服务的登录账户是否为常见弱口令。
PostgreSQL 登录弱口令检测 检测服务器中 PostgreSQL 登录账号的密码是否为常见弱口令。
账号 风险账号扫描 检测服务器系统中可疑的隐藏账号、及克隆账号。
密码策略合规检测 检测 Linux 系统服务器中的以下账户密码策略:
  • 账号密码最大使用期限
  • 密码修改最小间隔时间
  • 密码最小长度
  • 密码到期开始通知时间
空密码账户检测 检测服务器中密码为空的账号。
Linux 账号完整性检测 检测 Linux 系统服务器中新增账号的完整性。
数据库 Redis 监听配置 Redis 监听配置在0.0.0.0容易被外部攻击者入侵,并利用该弱点在内网横向移动渗透其他服务器,建议您尽快修改配置。
CIS基线检查 Linux-Tomcat7基线检测 基于CIS-Tomcat7最新基线标准进行中间件层面基线检测。
Linux-Centos7基线检测 基于CIS-Linux Centos7最新基线标准进行系统层面基线检测。

查看基线检查详情和修复建议

  1. 登录云盾服务器安全(安骑士)管理控制台
  2. 单击左侧导航栏基线检查打开基线检查页面,查看安骑士检测到的您服务器上存在的配置风险项。 配置风险项
    您可在基线检查页面进行以下操作:
    • 单击某个风险项,进入该基线风险项的详情页面,查看该风险项的检测说明、影响的资产信息和基线检查风险项修复建议,并进行相应的处理。
    • 风险修复后,您可以单击验证,一键验证该风险是否已修复成功。如果您未进行手动验证,安骑士会在风险修复成功后 72 小时内执行自动验证。
      说明 您也可单击忽略,忽略该风险,安骑士将不再对此服务器上的该风险项进行上报和告警。

设置基线检查项

您可以在安骑士管理控制台的安全设置页面根据您的实际业务情况设置基线检测项,检测周期、检测风险等级。

  1. 登录云盾服务器安全(安骑士)管理控制台
  2. 在左侧导航栏单击基线检查打开基线检查页面。
  3. 单击右上角基线检查设置
  4. 新建或者编辑默认策略:可选择检测项目、检测周期、对应需要检测的服务器。编辑默认策略
基线检查策略设置完成后,可跳转到资产列表页面,执行一键安全检查快速检测一遍,无需等待周期检测。一键安全检查

基线检查白名单

如果您需要对某些基线检查项目彻底忽略,可以将此检测项添加到基线检查白名单。添加成功后,安骑士将不再对基线检查白名单中的检测项目所发现的风险进行上报并告警。

加入白名单或忽略操作支持填写备注,以便后续查看。

  1. 登录云盾服务器安全(安骑士)管理控制台
  2. 在基线检查列表中勾选单个项目并单击左下角的加入白名单,或单击某个项目进入基线检查详情页面,并选择加入白名单加入白名单
  3. 在加入白名单对话框中对该加白操作进行备注并单击确定完成基线加入白名单设置。确定
    说明 将基线风险项加入白名单后,该风险记录将从基线检查风险列表中删除,并且后续不再对该风险项进行告警。如需取消该风险项白名单设置,需在基线检查设置页面进行操作。

导出基线检查风险列表

单击基线检查页面右上角的导出按钮,可将Excel格式的基线检查风险列表下载到本地。导出