1、信息安全等级保护测评作业指导书Windows 主机(三级)版 号: 第 2 版修 改 次 数: 第 0 次生 效 日 期: 2010 年 01 月 06 日中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 1 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:2010 年 01 月 06 日修改页修订号 控制编号 版号/章节号 修改人 修订原因 批准人 批准日期 备注1 SGISL/OP-SA29-10 毛澍 按公安部要求修订 詹雄 2010.3
2、.8控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 2 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:2010 年 01 月 06 日一、身份鉴别1用户身份标识和鉴别测评项编号 ADT-OS-WIN-01 对应要求 a) 应对登录操作系统的用户进行身份标识和鉴别。测评项名称 用户身份标识和鉴别测评分项 1:查看登录是否需要口令或其他认证方式在系统管理员登录系统过程中,查看是否需要输入口令或采用其他认证方式适用版本 任何版本操作步骤实施风险 无符合性判定如果需要输入口令或采用其他认证方式,判定结果为符合;如果不需要
3、任何认证过程,判定结果为不符合。测评分项 2:检查操作系统是否允许开机自动登录在“开始运行” 窗口内运行注册表编辑器应用程序“Regedit.exe”,对目录“我的电脑 HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogonAutoAdminLogon”下的内容进行记录。适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无符合性判定AutoAdminLogon 的值为 0,表示不允许开机自动登录,判定结果为符合;AutoAdminLogon 的值为 1,表示允许开机自动登录,判定结果为不符控制编
4、号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 3 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:2010 年 01 月 06 日合。备注2账号口令强度测评项编号 ADT-OS-WIN-02 对应要求b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。测评项名称 账号口令强度测评分项 1:检查系统是否存在弱口令1)尝试典型弱口令,2)参见扫描结果,3)询问管理员口令位数和复杂度适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无符
5、合性判定系统所有帐户密码都在 8 位以上,数字字母混合,判定结果为符合;系统所有帐户密码都在 6 位8 位,判定结果为基本符合;系统存在空口令或密码小于 6 位的帐户,判定结果为不符合。测评分项 2:检查系统密码策略开始|程序|管理工具|本地安全设置| 安全设置|帐号策略| 密码策略:密码必须符合复杂性要求;密码长度最小值;密码最长存留期;操作步骤适用版本 Windows2000、Windows XP、Windows 2003控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 4 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)
6、发布日期:2010 年 01 月 06 日实施风险 无符合性判定“密码必须符合复杂性要求” 设置为启用;“密码长度最小值”设置为8 位或8 位以上, “密码最长存留期 ”设置为42 天以下,判定结果为符合;否则为不符合。备注3检查帐户锁定策略测评项编号 ADT-OS-WIN-03 对应要求c 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。测评项名称 检查帐户锁定策略测评分项 1:检查帐户锁定策略开始|程序|管理工具|本地安全设置| 安全设置|帐号策略| 帐户锁定策略:帐户锁定时间;帐户锁定阀值;适用版本 Windows2000、Windows XP、Windows
7、2003操作步骤实施风险 无符合性判定 “帐户锁定时间 ”设置为30 分钟或30 分钟以下;“帐户锁定阀值”设置为3次或3 次以上,判定结果为符合;否则为不符合。4远程管理方式测评项编号 ADT-OS-WIN-04 对应要求d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。测评项名称 远程管理方式测评分项 1:远程管理方式操作步骤 询问系统管理员,系统采用何种远程管理方式,并记录远程管理软件控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 5 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布
8、日期:2010 年 01 月 06 日的版本。适用版本 Windows2000、Windows XP、Windows 2003实施风险 无符合性判定不允许远程登录或采用ssh 等加密方式,判定结果为符合;采用FTP、Telnet 等明文校验协议的远程管理方式,判定结果为不符合。5用户名具有唯一性测评项编号 ADT-OS-WIN-05 对应要求 e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。测评项名称 用户名具有唯一性测评分项 1:用户名具有唯一性“管理工具”-“ 计算机管理”-“本地用户和组” 中的“用户”,检查其中的用户名是否出现重复。适用版本 Windows2000、W
9、indows XP、Windows 2003操作步骤实施风险 无符合性判定 无重命名用户,判定结果为符合;有重命名用户,判定结果为不符合。6身份鉴别测评项编号 ADT-OS-WIN-06 对应要求 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。测评项名称 身份鉴别测评分项 1:身份鉴别访谈管理员,询问系统是否采用了两种或两种以上的身份鉴别方式。操作步骤 适用版本 Windows2000、Windows XP、Windows 2003控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 6 页 共 22 页第 2 版 第 0 次修订Windows 等级保
10、护测评作业指导书(三三)发布日期:2010 年 01 月 06 日实施风险 无符合性判定 采用两种或两中以上加密方式,判定结果为符合;否则判定结果为不符合。二、访问控制1控制用户对资源的访问测评项编号 ADT-OS-WIN-07 对应要求 a) 应启用访问控制功能,依据安全策略控制用户对资源的访问。测评项名称 控制用户对资源的访问测评分项 1:是否开启默认共享或 Admin 共享在命令提示符窗口,执行以下命令:net share适用版本 任何版本操作步骤实施风险 无符合性判定没有开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为符合;开启不需要的共享,如 IPS$、ADMIN$、C
11、$等,判定结果为不符合。测评分项 2:共享文件的访问控制打开“开始所有程序管理工具计算机管理系统工具共享文件夹 共享”窗口,对窗口右侧的共享信息栏目进行查看,对存在的共享进行记录,并对建立的应用共享进行访问权限的检查。此外,需对建立的应用共享进行应用状况的询问,以决定该应用共享的建立是否具有实际的应用意义。适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无 10控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 7 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:201
12、0 年 01 月 06 日符合性判定系统没有开启不需要的共享,对于开启的共享设置访问权限,允许管理员通过密码访问,判定结果为符合;系统开启不需要的共享,判定结果为不符合。备注测评分项 3:重要数据的访问控制首先进入到提供应用服务的文件、目录,对该文件、目录点击“右键属性”,打开属性页的 “安全 ”选项卡,对用户“Users、EveryOne”的权限进行记录。适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无符合性判定 重要的文件、目录只允许管理员访问通过密码访问,判定结果为符合;对重要的文件、目录的访问没有限制,判定结果为不符合。备注2用户权限
13、检查测评项编号 ADT-OS-WIN-08 对应要求b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。测评项名称 用户权限检查测评分项 1:用户权限检查操作步骤开始所有程序管理工具计算机管理系统工具本地用户和组 用户(组) ”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 8 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:2010 年 01 月 06 日适用版本 Wind
14、ows2000、Windows XP、Windows 2003实施风险 无符合性判定各帐户根据最小权限分配原则,帐户的权限分配合理,判定结果为符合;帐户没有最小权限分配原则,判定结果为不符合。3用户的权限分离测评项编号 ADT-OS-WIN-09 对应要求 c)应实现操作系统和数据库系统特权用户的权限分离。测评项名称 用户的权限分离测评分项 1:用户的权限分离结合系统管理员的组成情况,判定是否实现了该项要求。对安装了数据库的操作系统,检查操作系统中的数据库管理账号的权限。适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无符合性判定使用的数据库帐
15、户只能登录数据库,不能登录操作系统,判定结果为符合;数据库帐户可以登录操作系统,判定结果为不符合。4账户权限配置测评项编号 ADT-OS-WIN-10 对应要求d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。测评项名称 账户权限配置测评分项 1:administrator 是否更名执行以下命令:net user操作步骤适用版本 任何版本控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室第 9 页 共 22 页第 2 版 第 0 次修订Windows 等级保护测评作业指导书(三三)发布日期:2010 年 01 月 06 日实施风险 无符合性判
16、定系统不存在administration 帐户,判定结果为符合;系统存在 administration 帐户,且为管理员帐户,判定结果为不符合。测评分项 2:检查系统 Guest 帐号执行以下命令:net user guest适用版本 Windows2000、Windows XP、Windows 2003操作步骤实施风险 无符合性判定 系统中guest 帐户被禁用,判定结果为符合;系统存在guest 帐户且没有禁用,判定结果为不符合。备注5系统是否存在多余帐号测评项编号 ADT-OS-WIN-11 对应要求 e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。测评项名称 系统是否存在多余帐号测评分项 1:检查系统是否存在多余帐号操作步骤执行以下命令:net user访谈系统管理员,是否存在无用的多余帐号。打开“开始所有程序管理工具计算机管理系统工具本地用户和组 用户(组) ”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。此外,对于系统内新建的用户(组)需进行其存在意义的询问,以决定该用户(组)是否具有存在意义。
