Windows人工评估检查表.xls

1 范围 本checklist适用于Windows server 2003系统的人工评估 3 其它 评评估估人人 sency 电电话话 e maile mail 版版本本1 0 评评估估时时间间 2006 9 8 报报告告时时间间 2006 9 8 第 2 页 检查列表 1 1 ServiceService PacksPacks和和HotfixsHotfixs安安装装情情况况 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 系系统统已已经经安安装装最最新新的的ServiceService PackPack windows 2000为sp4 windows 2003为sp2 2 系系统统已已经经安安装装合合适适的的安安全全hotfixhotfix 最近安装的补丁时间 2 2 审审计计和和帐帐号号策策略略 操操作作 点击开开始始 设设置置 控控制制面面板板 然后双击管管理理工工具具 最后双击本本地地安安全全策策略略 开始进行检查 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 密密码码策策略略 密密码码必必须须符符合合复复杂杂性性要要求求 启启用用 2 密密码码策策略略 密密码码长长度度最最小小值值 8 8 3 密密码码策策略略 密密码码最最长长使使用用期期限限 9090天天 4 密密码码策策略略 密密码码最最短短使使用用期期限限 1 1天天 5 密密码码策策略略 强强制制密密码码历历史史 5 5 避避免免用用户户更更改改口口令令时时使使用用以以前前使使用用过过的的口口令令 可可以以防防止止密密码码 的的泄泄露露 6 密密码码策策略略 用用可可还还原原的的加加密密来来储储存存密密码码 禁禁用用 7 帐帐户户锁锁定定策策略略 复复位位帐帐户户锁锁定定计计数数器器 1515分分钟钟之之后后 8 帐帐户户锁锁定定策策略略 帐帐户户锁锁定定时时间间 1515分分钟钟 9 帐帐户户锁锁定定策策略略 帐帐户户锁锁定定阀阀值值 1010次次无无效效登登录录 第 3 页 检查列表 10 审审核核策策略略 审审核核策策略略更更改改 成成功功和和失失败败 11 审审核核策策略略 审审核核登登录录事事件件 成成功功和和失失败败 12 审 审核核策策略略 审审核核系系统统事事件件 成成功功和和失失败败 系系统统事事件件审审计计相相当当关关键键 它它包包括括启启动动 关关闭闭计计算算机机 或或其其它它 安安全全相相关关的的事事件件 13 审审核核策策略略 审审核核帐帐户户登登录录事事件件 成成功功和和失失败败 18 审 审核核策策略略 审审核核帐帐户户管管理理 成成功功和和失失败败 用用于于跟跟踪踪账账号号的的创创建建 改改名名 用用户户组组的的创创建建和和改改名名 账账号号口口 令令的的更更改改等等 14 事 事件件查查看看器器 改改写写久久于于1515天天的的日日志志 15 事事件件查查看看器器 安安全全日日志志最最大大占占用用空空间间 80Mb80Mb 3 3 安安全全设设置置 操作 点击开开始始 设设置置 控控制制面面板板 然后双击管管理理工工具具 最后双击本本地地安安全全策策略略 选择安安全全选选项项进行检查 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 网网络络访访问问 不不允允许许匿匿名 名枚枚取取SAMSAM帐帐号号与与共共享享 启启用用 2 网网络络访访问问 不不允允许许匿匿名名枚枚取取ASMASM帐帐号号 启启用用 3 设设置置登登录录消消息息提提示示标 标题题 授授权权信信息息 4 设设置置登登录录消消息息提提示示正 正文文 授授权权信信息息 5 交交互互式式登登录录 不不显显示 示上上次次的的用用户户名名 启启用用 4 4 注注册册表表安安全全设设置置 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 第 4 页 检查列表 1 抑抑制制Dr Dr WatsonWatson CrashCrash Dump Dump HKLM Software Microsoft DrWatson HKLM Software Microsoft DrWatson CreateCrashDumpCreateCrashDump REG DWORD REG DWORD 0 0 Dr Dr WatsonWatson 是是MicrosoftMicrosoft用用来来处处理理应应用用程程序序错错误误的的一一个个实实用用程程 序序 它它可可以以DumpDump一一个个出出错错应应用用程程序序的的内内存存以以便便进进行行分分析析 但但是是DumpDump出出来来的的数数据据中中可可能能会会含含有有敏敏感感信信息息 因因此此应应该该防防 止止Dr Dr WatsonWatson crashcrash dumpdump到到磁磁盘盘上上 2 禁禁止止在在任任何何驱驱动动器器上上自自动动运运行行任任何何程程序序 HKLM Software HKLM Software Microsoft Windows CurrentVersion Policies ExploMicrosoft Windows CurrentVersion Policies Explo rer NoDriveTypeAutoRunrer NoDriveTypeAutoRun REG DWORD REG DWORD 255255 自自动动运运行行程程序序可可能能会会导导致致恶恶意意代代码码或或特特洛洛伊伊木木马马的的运运行行 4 禁禁止止自自动动执执行行系系统统调调试试器器 HKLM Software HKLM Software Microsoft WindowsMicrosoft Windows NT CurrentVersion AeDebug AutoNT CurrentVersion AeDebug Auto REG DWORD REG DWORD 0 0 系系统统调调试试器器启启动动以以后后可可能能会会导导致致应应用用程程序序在在特特权权 内内存存空空间间内内执执行行代代码码 5 禁禁止止自自动动登登录录 HKLM Software Microsoft WindowsHKLM Software Microsoft Windows NT NT CurrentVersion Winlogon AutoAdminLogonCurrentVersion Winlogon AutoAdminLogon REG DWORD REG DWORD 0 0 自自动动登登录录会会把把用用户户名名和和口口令令以以明明文文的的形形式式保保存存在在注注册册表表中中 6 禁禁止止在在蓝蓝屏屏后后自自动动启启动动机机器器 HKLM System HKLM System CurrentControlSet Control CrashControl AutoReboCurrentControlSet Control CrashControl AutoRebo otot REG DWORD REG DWORD 0 0 第 5 页 检查列表 防防止止有有恶恶意意用用户户故故意意制制造造程程序序错错误误来来重重起起机机器器以以进进行行某某些些操操 作作 7 禁禁止止CDCD自自动动运运行行 HKLM System CurrentControlSet Services CDromHKLM System CurrentControlSet Services CDrom AutorunAutorun REG DWORD REG DWORD 0 0 防防止止CDCD上上可可能能的的恶恶意意程程序序被被自自动动运运行行 8 删删除除服服务务器器上上的的管管理理员员共共享享 HKLM System CurrentControlSet HKLM System CurrentControlSet Services LanmanServer Parameters AutoShareServerServices LanmanServer Parameters AutoShareServer REG DWORD REG DWORD 0 0 每每个个WindowsWindows NT 2000NT 2000机机器器在在安安装装后后都都缺缺省省存存在在 管管理理员员共共 享享 它它们们被被限限制制只只允允许许管管理理员员使使用用 但但是是它它们们会会在在网网络络上上以以 Admin c Admin c 等等来来暴暴露露每每个个卷卷的的根根目目录录和和 systemroot systemroot 目目录录 5 5 不不必必要要的的服服务务 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 AlerterAlerter 禁禁止止 AlerterAlerter服服务务通通常常用用于于进进程程间间发发送送信信息息 比比如如执执行行打打印印作作业业 它它也也 用用于于和和MessengerMessenger服服务务连连接接来来在在网网络络上上的的计计算算机机间间发发送送同同样样的的 信信息息 2 ClipbookClipbook 禁禁止止 ClipbookClipbook服服务务用用于于在在网网络络上上的的机机器器间间共共享享剪剪裁裁板板上上的的信信息息 大大 多多数数情情况况下下用用户户没没有有必必要要和和其其它它机机器器共共享享这这种种信信息息 3 ComputerComputer BrowserBrowser 禁禁止止 ComputerComputer BrowserBrowser服服务务跟跟踪踪网网络络上上一一个个域域内内的的机机器器 它它允允许许用用 户户通通过过网网上上邻邻居居来来发发现现他他不不知知道道确确切切名名字字的的共共享享资资源源 不不幸幸 的的是是它它可可以以不不通通过过任任何何授授权权就就允允许许任任何何人人浏浏览览这这些些资资源源 6 第 6 页 检查列表 4 InternetInternet ConnectionConnection SharingSharing 禁禁止止 5 MessengerMessenger 禁禁止止 6 RemoteRemote RegistryRegistry ServiceService 禁禁止止 7 RoutingRouting andand RemoteRemote AccessAccess 禁禁止止 8 SimpleSimple MailMail TrasferTrasfer Protocol SMTP Protocol SMTP 禁禁止止 该该服服务务是是IISIIS的的一一部部分分 应应该该被被禁禁止止或或完完全全删删除除 9 SimpleSimple NetworkNetwork ManagementManagement Protocol SNMP Protocol SNMP ServiceService 禁禁止止 10 SimpleSimple NetworkNetwork ManagementManagement Protocol SNMP Protocol SNMP TrapTrap 禁禁止止 11 TelnetTelnet 禁禁止止 n 12 WorldWorld WideWide WebWeb PublishingPublishing ServiceService 禁禁止止 无 6 6 文文件件系系统统 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 所所有有的的磁磁盘盘卷卷使使用用NTFSNTFS文文件件系系统统 NTFS文件系统具有更好的安全性 提供了强大的访问控制机 制 7 7 个个人人版版防防火火墙墙和和防防病病毒毒软软件件 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 已已经经安安装装第第三三方方个个人人版版防防火火墙墙 第 7 页 检查列表 2 已已经经安安装装防防病病毒毒软软件件y 3 防防病病毒毒软软件件的的特特征征码码和和检检查查引引擎擎已已经经更更新新到到最最新新 4 防防病病毒毒软软件件已已设设置置自自动动更更新新 5 应应用用软软件件安安装装情情况况 给给出出列列表表 7 7 入入侵侵检检测测 编编号号检检查查选选项项备备注注 结结果果 状状态态备备注注 1 端端口口检检测测 netstat netstat an an 与与系系统统 标标准准端端 口口以以及及 应应用用端端 口口比比较较 2 进进程程检检测测 2003 tasklist2003 tasklist 2000 taskmgr2000 taskmgr 与与系系统统 标标准准进进 程程以以及及 应应用用进进 程程比比较较 3 帐帐号号 管管理理员员 检检测测 net net useruser与与注注册册表表 HKLM SAM Domains Account Users NamesHKLM SAM Domains Account Users Names下下帐帐 号号名名比比较较 检检查查克克 隆隆帐帐号号 4 日日志志分分析析 1 1 应应用用 安安全全 系系统统日日志志中中分分析析错错误误的的服服务务等等事事 件件 2 2 如如果果存存在在webweb等等服服务务 分分析析webweb日日志志 systemroot system32 logfiles systemroot system32 logfiles 与与系系统统 标标准准服服 务务以以及及 应应用用服服 务务比比较较 第 8 页 检查列表 4 服服务务检检测测 net net start start 与与系系统统 标标准准服服 务务以以及及 应应用用服服 务务比比较较 第 9 页 检查列表 5 自自启启动动程程序序检检测测 1 1 文文件件 SystemRoot win ini boot shell SystemRoot win ini boot shell system ini windows system ini windows run run load load 启启动动文文件件夹夹 所所有有用用户户 2 2 注注册册表表 HKCU HKLM Run RunOnce RunOnceEx RunServHKCU HKLM Run RunOnce RunOnceEx RunServ icesices RunServicesOnceRunServicesOnce HKCU Software Microsoft WindowsNT CurrentVHKCU Software Microsoft WindowsNT CurrentV ersion Windows load