Security Center：系統基準風險常見問題

使用系統基準風險功能，需要購買Security Center哪個版本？

• 購買Security Center的進階版、企業版或旗艦版（可選訂用帳戶的進階版、企業版、旗艦版或隨用隨付開啟主機及容器安全後綁定進階版、企業版、旗艦版），即可獲得基準風險檢查功能，無需額外付費。

  進階版、企業版和旗艦版支援的基準檢查項不同：

  • 進階版：僅可使用預設策略，僅支援弱口令檢查項。

  • 企業版和旗艦版：可使用全部檢查策略。企業版不支援容器安全檢查項，旗艦版支援基準檢查的全部檢查項。支援一鍵修複Linux系統的阿里雲標準和等保標準基準相關檢查項。

• 如果當前使用的是防病毒版或僅採購增值服務版本，可購買雲安全態勢管理付費版功能，購買完成後即可獲得基準風險檢查功能，並支援全部的檢查項。

具體操作，請參見開通基準風險檢查功能。

基準檢查驗證失敗如何處理？

使用Security Center系統基準風險功能驗證已修複風險項失敗可能是因為Security Center用戶端離線。

如果您伺服器上的Security Center用戶端顯示為離線，Security Center系統基準風險檢查將無法執行。建議您對用戶端離線進行排查，確保您伺服器上的Security Center用戶端線上。用戶端離線排查的詳細內容，請參見用戶端離線排查。

基準和漏洞有什麼區別？

• 基準一般指配置和管理系統的詳細描述，或者說是最低的安全要求，包括服務和應用程式設定、作業系統組件的配置、許可權分配、管理規則等。Security Center的系統基準風險功能支援檢測作業系統和服務（資料庫、伺服器軟體、容器等）的弱口令、帳號許可權、身份鑒別、密碼原則、存取控制、安全審計和入侵防範等安全配置，針對存在的風險配置給出加固建議。具體的檢測項，請參見基準檢查內容。

• 漏洞是指在作業系統實現或安全性原則上存在的缺陷，例如作業系統軟體或應用軟體在邏輯設計上存在的缺陷或在編寫時產生的錯誤。攻擊者可以利用這類缺陷或錯誤，從而能夠在未獲得授權的情況下訪問和竊取您的系統資料或破壞系統。系統漏洞需要系統管理員及時處理並修複，否則將帶來嚴重的安全隱患。具體內容，請參見漏洞管理。

“應對登入的使用者進行身份標識和鑒別，身份標識具有唯一性，身份鑒別資訊具有複雜度要求並定期更換|身份鑒別”一鍵修複驗證後還是未通過，為什嗎？

問題原因：對目標資產進行一鍵修複時，因為存在兩項符合使用者實際應用情境而沒有作為修複項被選中，因此下發一鍵修複任務後，這兩項未被修複，檢查項仍然是未通過。

解決方案：資產統一採用非密碼登入方式時，不能使用Security Center的一鍵修複。您可以在確保其他配置項修複成功的情況下，通過對這些資產的該檢查項配置加白策略完成修複。

“應對登入的使用者指派賬戶和許可權”基準檢查項不通過，為什嗎？

• 問題描述：“應對登入的使用者指派賬戶和許可權”檢查項的狀態是未通過。

  

  查看使用者主機配置（home目錄許可權、使用者數量和umask值）如下圖所示，判斷伺服器配置符合“應對登入的使用者指派賬戶和許可權”檢查項的加固建議。

  

• 解決方案：通過以下命令進一步確認基準風險檢查掃描到的umask值和系統管理員之外的賬戶數量。

  grep umask /etc/bashrc |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1
  grep umask /etc/profile |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1
  
  cat /etc/passwd | egrep -v '(root|halt|sync|shutdown)' | awk -F: '($7!="/bin/false"&&$7!="/sbin/nologin"&&$7!="/usr/sbin/nologin"&&$6!="/var/lib/libuuid"&&$6!="") { print $6 }' |wc -l

  如下圖所示，發現基準風險檢查掃描到系統管理員之外的賬戶數量為2，實際上不滿足該檢查項的加固建議。

  按照加固建議在伺服器側新增一個非系統管理員許可權的使用者，然後在Security Center重新驗證該檢查項。

建立基準檢查策略報錯“illegal auth”，為什嗎？

可能原因和解決方案如下表所示。

【等保合規】等級保護二級的Windows合規基準檢查中出現“應關閉不需要的系統服務、預設共用和高危連接埠”提示

• 問題描述：部分使用者通過設定防火牆或安全性群組，阻斷指定連接埠後，在等級保護二級的Windows合規基準檢查中，出現“應關閉不需要的系統服務、預設共用和高危連接埠”的提示。

• 問題原因：指定連接埠對應的服務未關閉，基準風險檢查掃描任務就會檢測到這些連接埠和對應的服務。

• 解決方案：登入您的伺服器執行個體，關閉以下連接埠的服務。下文以Windows 10 64位作業系統為例。

  關閉135連接埠

  1. 按Windows+R鍵，輸入dcomcnfg，然後單擊確定，開啟元件服務對話方塊。

  2. 在左側導覽列，單擊元件服務 > 電腦 > 我的電腦，然後單擊滑鼠右鍵，單擊屬性。

  3. 在彈出的對話方塊中，單擊預設屬性頁簽，取消選中在此電腦上啟用分布式COM（E）。

  4. 單擊預設協議頁簽，選中連線導向的TCP/IP，單擊移除。

  5. 單擊確定。

  關閉136、137和138連接埠

  1. 按Windows+S鍵，在搜尋方塊中輸入控制台，然後單擊控制台。

  2. 在控制台對話方塊中，單擊網路和Internet。

  3. 單擊網路和共用中心，然後單擊已串連的網路。

  4. 在彈出的對話方塊中，單擊屬性。

  5. 在彈出的對話方塊中，取消選中Microsoft網路的檔案和印表機共用和Microsoft網路用戶端。

  6. 單擊確定，然後逐步關閉開啟的對話方塊。

  關閉139連接埠

  1. 按Windows+S鍵，在搜尋方塊中輸入控制台，然後單擊控制台。

  2. 在控制台對話方塊中，單擊網路和Internet。

  3. 單擊網路和共用中心，然後單擊左側的更改適配器設定。

  4. 在彈出的對話方塊中，通過滑鼠右鍵單擊當前使用的網路（例如，乙太網路），單擊屬性。

  5. 在彈出的對話方塊中，雙擊網際網路通訊協定 (IP)版本 4 (TCP/IPv4)。

  6. 在彈出的對話方塊中，單擊進階，切換到WINS頁簽。

  7. 選中禁用 NetBIOS over TCP/IP，單擊確定。

  8. 返回後再次逐步單擊確定，然後關閉所有對話方塊。

  關閉445連接埠

  1. 按Windows+R鍵，輸入regedit，然後單擊確定，開啟登錄編輯程式對話方塊。

  2. 在左側導覽列，單擊電腦 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > NetBT > Parameters，按右鍵Parameters。

  3. 單擊建立 > 字串值，輸入數值名稱為SMBDeviceEnabled，然後雙擊建立的數值名稱。

  4. 在彈出的對話方塊中，輸入數值資料為0，單擊確定，然後關閉登錄編輯程式。

  5. 按Windows+R鍵，輸入services.msc，進入服務管理對話方塊。

  6. 找到並雙擊server服務，在彈出的對話方塊中，選擇啟動類型為禁用，設定服務狀態為停止，然後單擊應用，關閉服務管理對話方塊。