Windows测评指导书.doc

测评指导书 Windows操作系统测评指导书测评指标测评项测评实施过程预期结果现场记录身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 在Windows操作系统中：查看系统账户登录过程中是否使用了密码进行登录验证操作系统账户登录过程中需要输入密码进行验证记录密码栏为空的用户名。b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；在Windows操作系统中查看：“本地安全策略”“账户策略”“密码策略中的相关项目”。密码历史记录：（建议值：24）双击右侧的详细信息窗格中的“强制密码历史”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“记住的密码”字段中的数据（最高值为24），它反映了系统将记忆的密码的数量。密码最长使用期限：（建议值：70天）双击右侧详细信息窗格中的“密码最长使用期限”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“天”字段中的数字。密码最短使用期限：（建议值：2天）双击右侧详细信息窗格中的“密码最短使用期限”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“天”字段中的数字。最短密码长度：（建议值：8个字符）双击右侧相信信息窗格中的“最短密码长度”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“天”字段中的数字。密码复杂度要求：（建议：启用）要求使用复杂（强）密码。该策略强制要求至少使用以下四个字符集中的三个：（1）大写字母；（2）小写字母；（3）数字；（4）非字母数字字符。密码历史记录值为24，密码最长使用期限为70天，密码最短使用期限为2天，最短密码长度为8个字符，启用了密码复杂度要求。记录内容包括以下几个属性值对应的“安全设置”：密码必须符合复杂性要求、密码长度最小值、密码最长使用期限、密码最短使用期限、强制密码历史、用可还原的加密来存储密码。c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 在Windows操作系统中查看：“本地安全策略”“账户策略”“账户锁定策略”。账户锁定阀值：（建议值：35次）双击右键详细信息窗格中的“账户锁定阀值”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“次”字段中的数字。账户锁定时间：（建议值：30分钟）双击右键详细信息窗格中的“账户锁定时间”，打开相应的“安全策略设置”对话框。对于域级别的策略，选中“定义这个策略设置”。查看“分钟”字段中的数字。账户锁定阀值为35次，账户锁定时间大于或等于30分钟。记录内容应包括以下几个属性值：账户锁定阀值和账户锁定时间。d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 在Windows操作系统中：使用微软的远程终端服务的远程管理防止，检查方式如下。确认操作系统必须是Windows Server 2003 SP1或气候版本，客户端操作系统必须是Windows 2000、Windows XP或Windows Server 2003。终端服务器使用了SSL加密：单击开始，指向所有程序，单击管理工具中的终端服务配置，在弹出的“终端服务配置连接”对话框中，右击右边详细面板中的“RDP-Tcp”，选择“属性”，然后在弹出的“RDP-Tcp属性”对话框上，在“常规”选项卡中查看是否启用了SSL。RDP客户端使用SSL加密，单击开始菜单，选择“所有程序”中的“远程桌面连接”，然后在“安全”选项卡中选择是否使用基于SSL（TLS 1.0）的服务器身份验证，及是否选择了“要求身份验证”。 终端服务器和客户端都启用了SSL，并要求必须进行身份验证。确认服务器是否接受远程管理，若服务器接受远程管理，则记录服务器是否启用了远程管理加密措施。若有第三方的远程管理工具，则记录该工具使用的加密方式。还需记录操作系统的版本，终端服务器是否使用了SSL加密，RDP客户端是否使用了SSL加密。e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 在Windows操作系统中：因Windows的SID是唯一的，所以只需检查Windows系统用户名是否有重复。在“管理工具”“计算机管理”“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。本地用户和组中，没有重复的用户名。记录重复出现的用户名。因为Windows的用户标识一定满足唯一性，所以，本条一定满足要求。但如果有重复的用户名可记录下来作为一个安全隐患。f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。检查系统管理员使用了何种措施进行双因子鉴别，是否使用令牌或证书等。系统使用令牌或证书失效了双因子鉴别。若有除用户名/口令以外的其他身份鉴别方法，则记录这种方法，否则记录“只使用用户名/口令”。访问控制a)应启用访问控制功能，依据安全策略控制用户对资源的访问； 在Windows系统中：文件权限：选择%systemdrive%windowssystem、%systemroot%system32config、等相应的文件夹，右键选择“属性”“安全”，查看everyone组、users组和administrators组的权限设置。默认共享：1）在命令行模式下输入net share，查看共享；2）查看注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous值是否为“0”（0表示共享开启）。everyone没有这些重要文件的权限，users组有读取和执行文件的权限但无写和修改的权限，administrators组有所有权限。默认共享已关闭。文件权限：记录everyone组，users组和administrators组的权限设置。默认共享：记录默认共享是否开启。b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限； 在Windows操作系统中1）查看用户分组情况。2）查看权力指派。l 打开相应的安全策略。l 展开安全设置。l 在“安全设置中”，展开“本地策略”，显示“审核策略”、“用户权力指派”以及“安全选项”策略。l 单击“用户权力指派”。右侧的详细信息窗格即显示可配置的用户权限策略设置。每个角色的权限相互制约，每个系统用户被赋予了相应的角色。记录主要有哪些角色、每个角色的权限是否相互制约、每个系统用户是否被赋予相应的角色。记录权限分配情况。c)应实现操作系统和数据库系统特权用户的权限分离； 结合系统管理员的组成情况，判定是否实现了该项要求，本条基本要求是检查是否存在多个管理员共用一个账户的情况。分两个层次，首先自然人与其管理员要做到一一对应，不存在多人共用一个账户的情况，其次，每个管理员账户应只负责管理某一方面的内容，不能同时管理操作系统和数据库系统。不存在多人共用一个账户的情况，也不存在一个管理员管理多个方面内容的情况。若主机运行了数据库，则询问并记录操作系统管理员和数据库系统管理员是否为同一自然人。若主机未运行数据库，此项则标记为不适用。d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； 在Windows操作系统中：1）查看默认账户是否重命名。2）查看默认账户已修改默认口令。3）查看是否已经禁用了guest账户。默认账户已经重命名，并修改了默认口令。guest账户已禁用。记录未重命名的默认账户，未禁用的默认账户。e)应及时删除多余的、过期的帐户，避免共享帐户的存在。 在Windows操作系统中：查看系统账户，询问系统账户的用途，确认账户是否属于多余的、过期的账户或共享账户名。不存在多余的、过期的账户或共享账户名。记录多余的、过期的账户和共享账户名。f)应对重要信息资源设置敏感标记； 在Windows操作系统中：1)查看操作系统功能手册或相关文档，确认操作系统是否具备能对信息资源设置敏感标记的功能。2)询问管理员是否对重要信息资源设置敏感标记。操作系统具备能对信息资源设置敏感标记的功能。记录访谈和查看的内容。g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；询问或查看当前的敏感标记策略的相关设置，如：如何划分敏感标记分离，如何设定访问权限等。敏感标记的资源，只有具有权限的用户才能访问。记录访谈和查看的内容。安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 在Windows操作系统中：1）查看系统是否开启了安全审计功能。2）询问并查看是否有第三方审计工具或系统。系统开启了安全审计功能。记录日志服务和安全审计服务是否运行，若有第三方审计工具或系统则记录其运行状态是否正常。b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 在Windows操作系统中：展开“本地安全策略”中的“审核策略”，查看审计内容中，是否包括审核账户登录事件、审核账户管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核系统事件等内容。审计内容中包括了审核账户登录事件、审核账户管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核系统事件等内容。记录内容应包括以下几个属性值：审核账户登录事件、审核账户管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核系统事件。c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 在Windows操作系统中，查看日志文件是否满足此项要求。审计记录中包括了时间的日期、时间、类型、主体标识、客体标识和结果。记录查看的审计记录，是否包括日期、时间、类型、主体标识、客体标识和结果等必要的审计要素，若有第三方审计工具或系统，则查看其审计日志是否包括必要的审计要素。d)应能够根据记录数据进行分析，并生成审计报表； 访谈并查看对审计记录的查看、分析和生成审计报表的情况。能根据记录数据进行分析并生成审计报表记录访谈内容和对审计记录的查看、分析和生成审计报表情况进行记录，e)应保护审计进程，避免受到未预期的中断； 访谈对审计进程监控和保护的措施。同时查看审计进程的访问权限设置是否合理。访谈是否有第三方对审计进程监控和保护的措施。Windows系统具备了再审计进程方面进行自我保护的能力。记录访谈和查看的内容。f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。访谈审计记录的存储、备份和保护的措施，如配置日志服务器等。配置了专门的日志服务器。记录日志存储空间大小，更新模式，日志文件权限设置以及有日志服务器等相关措施。剩余信息保护a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中； 在Windows操作系统中：打开“本地安全策略”“本地策略”中的安全选项，查看是否选中“不显示上次登录用户名”。本地策略中的安全选项，已选中“不显示上次登录用户名”。记录是否启用“不显示上次登录用户名”，建议启用。b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。在Windows操作系统中：1）清楚虚拟内存页面：打开“本地安全策略”“本地策略”中的安全选项，查看是否已选中“关机前清除虚拟内存页面”。2）打开“本地安全策略”“账户策略”中的密码策略，查看是否已选中“用可还原的加盟来存储密码”。已选中“关机前清除虚拟内存页面”，为启用“用可还原的加密来存储密码”。记录内容应包括以下几个属性值：是否启用“关机前清除虚拟内存页面”，建议启用。是否启用“用可还原的加密来存储密码”，建议不启用。入侵防范a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警； 在Windows操作系统中：可以通过自带的防火墙来实现入侵防范功能。已开启Windows防火墙。记录访谈和查看的内容，系统管理员查看日志的频率，是否启用并合理配置系统自带的防火墙或第三方的防火墙软件，是否部署并合理配置了入侵检测系统，入侵检测系统是否具备了报警功能。b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施； 访谈是否使用一些文件完整性检查工具或脚本定时对重要文件的完整性进行检查，如对比校验值等；是否对重要的配置文件进行备份，查看备份演示。使用校验值对重要文件的完整性进行检查。对重要的配置文件进行了备份记录放他内容和演示结果。c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。在Windows操作系统中：1）系统服务单击“开始”“控制面板”双击“管理工具”然后双击“服务”：在列表框中显示的是系统可以使用的服务；也可以在命令行中输入services.msc打开系统服务管理界面。2）监听端口在命令行模式下输入“netstat -an”，查看列表中的监听端口。NetBIOS 名称服务 UDP137NetBIOS 数据报服务 UDP138NetBIOS 会话服务 TCP139等3）补丁升级访谈并查看系统补丁升级方式，以及最新补丁更新情况：“开始”“控制面板”“添加删除程序”“更改或删除程序”，按照记录的系统安全补丁编号KBxxxxxx。仅启动了必要的服务和开启了必须的端口，系统补丁通过升级服务器得到更新，已为当前最新的补丁。记录已经启动的或者是手动的服务中一些不必要的服务，如？：Aletter、Remote Register Service、Messenger、TaskScheduler等。记录多余的组件、应用程序等。恶意代码防范a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；查看系统中安装了什么防病毒软件。询问系统管理员是否经常更新病毒库。查看病毒库的最新版本更新日期是否超过一星期。系统中安装了防病毒软件，病毒库经常更新，且最新版本不超过一星期。记录系统是否安装了防病毒软件，询问管理员软件的名称、版本、最新病毒库更新时间，且确认病毒库的最新版本更新日期距离检查当日是否超过一个星期。b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库； 询问系统管理员，网络防病毒产品和主机防病毒产品分别采用什么病毒库。网络防病毒产品和主机防病毒产品采用了不同的病毒库。记录网络防病毒产品型号和病毒库最新更新日期，以及是否与主机防病毒产品使用同一病毒库。c)应支持防恶意代码的统一管理。询问系统管理员有统一的病毒更新策略和查杀策略。有统一的更新策略和查杀策略。若采用了网络版的防病毒软件，则记录防病毒管理策略，如是否同一更新、查杀频率，乃至整个防病毒平台的架构等的相关配置。资源控制a)应通过设定终端接入方式、网络地址范围等条件限制终端登录； 在Windows操作系统中：1）询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能。2）询问并查看是否通过网络设备或硬件防火墙实现了此项要求。系统那个开启了主机防火墙或TCP/IP筛选功能。或通过网络设备或硬件防火墙实现了该项要求。记录访谈和检查获取的相关安全配置参数。若有其他的方式实现此项要求的，如通过路由