Windows系统测评标准

1、测评项身份鉴别a）应对登录操作系统的用户进行身份标识和鉴别；査看：登陆是否需要帐号+密码3b）操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换;分别査看：1）密码最长使用期限，建议70天，默认为42天；2）密码必须符合复杂度要求，建议启用；3）设置最短密码长度，建议8个字符。（重点检査的两项分别不为0、禁用即可）c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；分别査看：1）账户锁定阀值，建议35次；2）账户锁定时间，建议30分钟。d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听;分别査看：査看“安全层”设

2、置，是否为SSL或RDP安全层。e）应为操作系统的不同用户分配不同的用户名，确保用户具有唯一性；査看：是否存在重复的用户名。f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。方法：实践或询问是否采用两种或两种以上组合的鉴别技术，如用户名/口令、USBKEY、挑战应答、动态口令、物理设备、生物识别技术、数字证书方式等。访问控制a）应启用访问控制功能，依据安全策略控制用户对资源的访问；分别查看：1是否存在everyone组，administrators组和users组的权限2是否开启了共享。b）应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；分别查看

3、：1一般包括administrators、BackupOperators、PowerUsers、Users、Everyone等。2査看允许本地登陆装载和卸载设备驱动程序修改固件环境值配置系统性能关闭系统取得文件或其他对象的所有权。c）应实现操作系统和服务器系统特权用户的权限分离；分别査看：判断是否存在数据库系统方法：查看本地用户和组，是否有类似于DB2Admin类似的用户或组的存在；查看程序中是否包含数据库的程序，类似的有Oracle等；查看除了C盘的磁盘中是否含有数据库的文件夹，类似的有DB2等。若存在数据库系统，一般都会实现两个系统特权用户权限分离。d）应严格限制默认帐户的访问权限，重命名

4、系统默认帐户，修改这些帐户的默认口令;査看：默认账户是否重命名。e）应及时删除多余的、过期的帐户，避免共享帐户的存在;f）应对重要信息资源设置敏感标记；g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。注：f和g项一般不做强制要求，为不适用。安全审计a）安全审计应覆盖到服务器和重要客户端上的每个操作系统用户；查看：至少启用一项审计策略b）安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用；分别查看：审计如下事件的成功与失败：审核账户登录事件审计账户管理审计登录事件审计策略更改审计系统事件dou包含最好。c）安全相关事件的记录应包括日期和

5、时间、类型、主体标识、客体标识、事件的结果等；查看：是否包括日期和时间、类型、事件成功或失败d）安全审计应可以根据记录数据进行分析，并生成审计报表；查看：询问是否为授权用户浏览和分析审计数据提供专门的审计工具（如对审计记录进行分类、排序、查询、统计、分析和组合查询等），并能根据需要生成审计报表此项一般为不符合。e）审计进程应受到保护避免受到未预期的中断；查看：查看权限分配是否合理，应为管理员。f）审计记录应受到保护避免受到未预期的删除、修改或覆盖等。查看：日志存储大小一般釆用默认存储大小，win2003为16384K,win2008为20480K。剩余信息保护a）应保证操作系统用户的鉴别信息所

6、在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；分别査看：交互式登录：不显示上次的用户名”是否启用“用可还原的加密来储存密码”是否禁用。b）应确保系统内的文件、目录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。査看：“关机：清除虚拟内存页面文件”是否启用入侵防范查看：与系统管理员访谈，询问主机系统是否采取入侵防范措施，入侵防范内容是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测、完整性检测等方面内容；当采用第三方主机入侵检测系统时，询问入侵防范产品的厂家、版本和在主机系统中的安装部署、升级情况；查看是否具有报警

7、功能。查看：访谈管理员，是否采用文件完整性检查工具或脚本定期对重要文件的完整性进行检查，如校验码等；访谈是否对重要的系统配置文件进行定期备份；当备份时查验备份的文件。C）操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。分别查看：查看安装程序，是否含有不必要的程序；查看启动或手动的服务，不必要的服务如DHCPClient、HELPandSupport、printspooler是否启用；查看更新策略是否合理，应为自动更新或手动更新方式。恶意代码防范a）应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；分别查看：主机操作系统

8、是否安装防病毒软件；査询防病毒软件名称、版本号、更新日期，确认是否进行定期更新；相应査询病毒库版本号、更新日期，确认是否进行定期更新。b）主机系统防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；查看：c）应支持恶意代码防范的统一管理。查看：询问相关人员病毒库是否统一整理统一升级资源控制a）应通过设定终端接入方式、网络地址范围等条件限制终端登录；查看：1询问管理员，确认是否配置了终端接入方式、网络地址范围等条件限制终端登录以及具体的限制措施；b）应根据安全策略设置登录终端的操作超时锁定；c）应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；分别查看：1.询问相关人员，是否有监视重要服务器的第三方主机监视工具或者专职人员定期对重要服务器的CPU、硬盘、内存等资源的使用情况进行查看；若定期查看，则询问查看的方式和频率，并检査其文档记录。