本文介绍使用系统基线风险功能时的常见问题及解决方案。
使用系统基线风险功能,需要购买云安全中心哪个版本?
购买云安全中心的高级版、企业版或旗舰版(可选包年包月的高级版、企业版、旗舰版或按量付费开启主机及容器安全后绑定高级版、企业版、旗舰版),即可获得基线风险检查功能,无需额外付费。
高级版、企业版和旗舰版支持的基线检查项不同:
高级版:仅可使用默认策略,仅支持弱口令检查项。
企业版和旗舰版:可使用全部检查策略。企业版不支持容器安全检查项,旗舰版支持基线检查的全部检查项。支持一键修复Linux系统的阿里云标准和等保标准基线相关检查项。
如果当前使用的是防病毒版或仅采购增值服务版本,可购买云安全态势管理付费版功能,购买完成后即可获得基线风险检查功能,并支持全部的检查项。
具体操作,请参见开通基线风险检查功能。
基线检查验证失败如何处理?
使用云安全中心系统基线风险功能验证已修复风险项失败可能是因为云安全中心客户端离线。
如果您服务器上的云安全中心客户端显示为离线,云安全中心系统基线风险检查将无法执行。建议您对客户端离线进行排查,确保您服务器上的云安全中心客户端在线。客户端离线排查的详细内容,请参见客户端离线排查。
基线和漏洞有什么区别?
基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限分配、管理规则等。云安全中心的系统基线风险功能支持检测操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,针对存在的风险配置给出加固建议。具体的检测项,请参见基线检查内容。
漏洞是指在操作系统实现或安全策略上存在的缺陷,例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以利用这类缺陷或错误,从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复,否则将带来严重的安全隐患。具体内容,请参见漏洞管理。
“应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换|身份鉴别”一键修复验证后还是未通过,为什么?
问题原因:对目标资产进行一键修复时,因为存在两项符合用户实际应用场景而没有作为修复项被选中,因此下发一键修复任务后,这两项未被修复,检查项仍然是未通过。
解决方案:资产统一采用非密码登录方式时,不能使用云安全中心的一键修复。您可以在确保其他配置项修复成功的情况下,通过对这些资产的该检查项配置加白策略完成修复。
“应对登录的用户分配账户和权限”基线检查项不通过,为什么?
问题描述:“应对登录的用户分配账户和权限”检查项的状态是未通过。
查看用户主机配置(
home目录权限、用户数量和umask值)如下图所示,判断服务器配置符合“应对登录的用户分配账户和权限”检查项的加固建议。
解决方案:通过以下命令进一步确认基线风险检查扫描到的
umask值和系统管理员之外的账户数量。grep umask /etc/bashrc |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1 grep umask /etc/profile |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1 cat /etc/passwd | egrep -v '(root|halt|sync|shutdown)' | awk -F: '($7!="/bin/false"&&$7!="/sbin/nologin"&&$7!="/usr/sbin/nologin"&&$6!="/var/lib/libuuid"&&$6!="") { print $6 }' |wc -l如下图所示,发现基线风险检查扫描到系统管理员之外的账户数量为2,实际上不满足该检查项的加固建议。
按照加固建议在服务器侧新增一个非系统管理员权限的用户,然后在云安全中心重新验证该检查项。
新建基线检查策略报错“illegal auth”,为什么?
可能原因和解决方案如下表所示。
问题原因 | 解决方案 |
新开通基线风险检查功能时,新订单未立即生效,无法立即新增基线检查策略。 | 请稍后重试。 |
当前使用的云安全中心实例已不在有效期内,无法配置基线检查策略。 | 续费当前云安全中心实例。具体操作,请参见续费说明。 |
【等保合规】等级保护二级的Windows合规基线检查中出现“应关闭不需要的系统服务、默认共享和高危端口”提示
问题描述:部分用户通过设置防火墙或安全组,阻断指定端口后,在等级保护二级的Windows合规基线检查中,出现“应关闭不需要的系统服务、默认共享和高危端口”的提示。
问题原因:指定端口对应的服务未关闭,基线风险检查扫描任务就会检测到这些端口和对应的服务。
解决方案:登录您的服务器实例,关闭以下端口的服务。下文以Windows 10 64位操作系统为例。
关闭135端口
按Windows+R键,输入dcomcnfg,然后单击确定,打开组件服务对话框。
在左侧导航栏,单击,然后单击鼠标右键,单击属性。
在弹出的对话框中,单击默认属性页签,取消选中在此计算机上启用分布式COM(E)。
单击默认协议页签,选中面向连接的TCP/IP,单击移除。
单击确定。
关闭136、137和138端口
按Windows+S键,在搜索框中输入控制面板,然后单击控制面板。
在控制面板对话框中,单击网络和Internet。
单击网络和共享中心,然后单击已连接的网络。
在弹出的对话框中,单击属性。
在弹出的对话框中,取消选中Microsoft网络的文件和打印机共享和Microsoft网络客户端。
单击确定,然后逐步关闭打开的对话框。
关闭139端口
按Windows+S键,在搜索框中输入控制面板,然后单击控制面板。
在控制面板对话框中,单击网络和Internet。
单击网络和共享中心,然后单击左侧的更改适配器设置。
在弹出的对话框中,通过鼠标右键单击当前使用的网络(例如,以太网),单击属性。
在弹出的对话框中,双击Internet 协议版本 4 (TCP/IPv4)。
在弹出的对话框中,单击高级,切换到WINS页签。
选中禁用 TCP/IP 上的 NetBIOS,单击确定。
返回后再次逐步单击确定,然后关闭所有对话框。
关闭445端口
按Windows+R键,输入regedit,然后单击确定,打开注册表编辑器对话框。
在左侧导航栏,单击,右键单击Parameters。
单击,输入数值名称为SMBDeviceEnabled,然后双击新建的数值名称。
在弹出的对话框中,输入数值数据为0,单击确定,然后关闭注册表编辑器。
按Windows+R键,输入services.msc,进入服务管理对话框。
找到并双击server服务,在弹出的对话框中,选择启动类型为禁用,设置服务状态为停止,然后单击应用,关闭服务管理对话框。
确保`设备:允许对可移动媒体进行格式化并弹出`策略设置为`Administrators`,该基线风险项未通过时应如何处理?
检查项说明
云安全中心系统基线风险检查功能中的上述检查项,可确保Windows系统中的`设备:允许对可移动媒体进行格式化并弹出`策略设置为`Administrators`,防止未经授权的用户对可移动媒体进行格式化和弹出操作,用于增强系统的安全性。
Windows服务器本地策略里面的‘设备:允许对可移动媒体进行格式化并弹出’属性值为空或者为Administrators时,该检查项即为通过状态。
在企业环境中,未经授权的用户对可移动媒体进行格式化和弹出操作可能会导致数据丢失或泄露。通过将该策略设置为仅允许`Administrators`组成员执行,可以有效减少这种风险。
风险项处理方法
使用系统基线风险功能检查出该风险项时,您可以参考下述步骤修改相关配置。
按
Win+R输入gpedit.msc,打开本地组策略编辑器。在左侧导航栏选择,找到策略设备:允许对可移动媒体进行格式化并弹出。
双击该策略,确保该策略值为管理员或空,并单击确定。
验证风险项是否已被处理。
方法一:在云安全中心控制台验证
在资产的风险项面板,单击目标检查项操作列的验证,对已处理风险项的资产进行验证。如果验证通过,表示风险问题已修复。具体操作,请参见查看并处理基线风险项。
方法二:在本地服务器中验证
按
Win+R输入regedit,进入注册表编辑器。在
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon目录查看AllocateDASD的值,值是空或者0,表示风险问题已修复。