18SGISLOPSA2910Windows等级保护测评作业指导书三级.docx
- 文档编号:951173
- 上传时间:2022-10-14
- 格式:DOCX
- 页数:13
- 大小:19.40KB
18SGISLOPSA2910Windows等级保护测评作业指导书三级.docx
《18SGISLOPSA2910Windows等级保护测评作业指导书三级.docx》由会员分享,可在线阅读,更多相关《18SGISLOPSA2910Windows等级保护测评作业指导书三级.docx(13页珍藏版)》请在冰豆网上搜索。
18SGISLOPSA2910Windows等级保护测评作业指导书三级
控制编号:
SGISL/OP-SA29-10
信息安全等级保护测评作业指导书
版号:
修改次数:
生效日期:
Windows主机(三级)
第2版
第0次
2010年01月06日
中国电力科学研究院信息安全实验室
修改页
修订号
控制编号
版号/
早节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA
29-10
毛澍
按公安部要求修订
詹雄
2010.3.8
一、身份鉴别
1用户身份标识和鉴别
测评项编号
ADT-OS-WI
N-01
对应要求a)应对登录操作系统的用户进行身份标
识和鉴别。
测评项名称
用户身份标识和鉴别
测评分项1:
查看登录是否需要口令或其他认证方式
操作步骤
在系统管理员登录系统过程中,查看是否需要输入口令或采用其他认证
方式
适用版本
任何版本
实施风险
无
符合性判定
如果需要输入口令或米用其他认证方式,判定结果为符合;如果不需要任何认证过程,判定结果为不符合。
测评分项2:
检查操作系统是否允许开机自动登录
操作步骤
在开始运行”窗口内运行注册表编辑器应用程序“Regedit.exe対目
录我的电脑HKLM\Software\Microsoft\WindowsNT\
AutoAdminLogon”下的内容进行记录。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
AutoAdminLogon的值为0,表示不允许开机自动登录,判疋结果为符
合;
口;
AutoAdminLogon的值为1,表示允许开机自动登录,判疋结果为不符
合
合。
备注
2•账号口令强度
测评项编号
ADT-OS-WI
N-02
对应要求
b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
测评项名称
账号口令强度
测评分项1:
检查系统是否存在弱口令
操作步骤
1)尝试典型弱口令,2)参见扫描结果,3)询问管理员口令位数和复杂度
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
系统所有帐户密码都在8位以上,数字字母混合,判定结果为符合;
系统所有帐户密码都在6位一8位,判定结果为基本符合;
系统存在空口令或密码小于6位的帐户,判定结果为不符合。
测评分项2:
检查系统密码策略
操作步骤
开始|程序|管理工具|本地安全设置|安全设置|帐号策略|密码策略:
密码必须符合复杂性要求;密码长度最小值;密码最长存留期;
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
密码必须符合复杂性要求”设置为启用;密码长度最小值”设置为8位或8位以上,密码最长存留期”设置为42天以下,判定结果为符合;否则为不符合。
备注
3•检查帐户锁定策略
测评项编号
ADT-OS-WI
N-03
对应要求
c应启用登录失败处理功能,可米取结束会话、限制非法登录次数和自动退出等措施。
测评项名称
检查帐户锁定策略
测评分项1:
检查帐户锁定策略
操作步骤
开始|程序|管理工具|本地安全设置|安全设置|帐号策略|帐户锁定策略:
帐户锁定时间;帐户锁定阀值;
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
帐户锁定时间”设置为30分钟或30分钟以下;帐户锁定阀值”设置为3次或3次以上,判定结果为符合;否则为不符合。
4•远程管理方式
测评项编号
ADT-OS-WI
N-04
对应要求
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
测评项名称
远程管理方式
测评分项1:
远程管理方式
询问系统管理员,系统米用何种远程管理方式,,并记录远程管理软件的
操作步骤
版本。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
不允许远程登录或米用ssh等加密方式,判定结果为符合;
米用FTP、Telnet等明文校验协议的远程管理方式,判定结果为不符合。
5•用户名具有唯一性
测评项编号
ADT-OS-WI
N-05
对应要求
e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。
测评项名称
用户名具有唯一性
测评分项1:
用户名具有唯一性
操作步骤
管理工具”〉计算机管理”〉本地用户和组”中的用户”检查其中的用户名是否出现重复。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
无重命名用户,判定结果为符合;有重命名用户,判定结果为不符合。
6•身份鉴别
测评项编号
ADT-OS-WI
N-06
对应要求f)应米用两种或两种以上组合的鉴别技
术对管理用户进行身份鉴别。
测评项名称
身份鉴别
测评分项1:
身份鉴别
操作步骤
访谈管理员,询问系统是否米用了两种或两种以上的身份鉴别方式。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
采用两种或两中以上加密方式,判定结果为符合;否则判定结果为不符合
合0
二、访问控制
1控制用户对资源的访问
测评项编号
ADT-OS-WI
N-07
对应要求
a)应启用访冋控制功能,依据安全策略控制用户对资源的访问。
测评项名称
控制用户对资源的访问
测评分项1:
是否开启默认共享或Admin共享
操作步骤
在命令提示符窗口,执行以下命令:
netshare
适用版本
任何版本
实施风险
无
没有开启不需要的共享,如IPS$、ADMIN$、。
$等,判定结果为符合;
符合性判定
开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为不符合。
测评分项2:
共享文件的访问控制
操作步骤
打开开始所有程序管理工具计算机管理系统工具共享文件夹共享”窗口,对窗口右侧的共享信息栏目进行查看,对存在的共享进行记录,并对建立的应用共享进行访问权限的检查。
此外,需对建立的应用共享进行应用状况的询问,以决定该应用共享的建立是否具有实际的应用意义。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无10
符合性判定
系统没有开启不需要的共享,对于开启的共享设置访问权限,允许管理
员通过密码访问,判定结果为符合;系统开启不需要的共享,判定结果
为不符合。
备注
测评分项3:
重要数据的访问控制
操作步骤
首先进入到提供应用服务的文件、目录,对该文件、目录点击右键
属性”打开属性页的安全”选项卡,对用户“Use、EveryOne”的权限进行记录。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
重要的文件、目录只允许管理员访问通过密码访问,判定结果为符合;对重要的文件、目录的访问没有限制,判定结果为不符合。
备注
2.用户权限检查
测评项编号
ADT-OS-WI
N-08
对应要求
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。
测评项名称
用户权限检查
测评分项1:
用户权限检查
操作步骤
开始所有程序管理工具计算机管理系统工具本地用户和组|用户
(组)”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的
关键用户及用户组进行记录,并对其拥有的权限进行查看。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
各帐户根据最小权限分配原则,帐户的权限分配合理,判定结果为符合;帐户没有最小权限分配原则,判定结果为不符合。
3•用户的权限分离
测评项编号
ADT-OS-WI
N-09
对应要求c)应实现操作系统和数据库系统特权用
户的权限分离。
测评项名称
用户的权限分离
测评分项1:
用户的权限分离
操作步骤
结合系统管理员的组成情况,判定是否实现了该项要求。
L对安装了数据库的操作系统,检查操作系统中的数据库管理账号的权限。
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
使用的数据库帐户只能登录数据库,不能登录操作系统,判定结果为符
合;
数据库帐户可以登录操作系统,判定结果为不符合。
4•账户权限配置
测评项编号
ADT-OS-WI
N-10
对应要求
d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。
测评项名称
账户权限配置
测评分项1:
administrator是否更名
操作步骤
执行以下命令:
netuser
适用版本
任何版本
实施风险
无
符合性判定
系统不存在administration帐户,判定结果为符合;
系统存在administration帐户,且为管理员帐户,判定结果为不符合。
测评分项2:
检杳系统Guest帐号
操作步骤
执行以下命令:
netuserguest
适用版本
Windows2000、WindowsXP、Windows2003
实施风险
无
符合性判定
系统中guest帐户被禁用,判定结果为符合;系统存在guest帐户且没有禁用,判定结果为不符合。
备注
5.系统是否存在多余帐号
测评项编号
ADT-OS-WI
N-11
对应要求e)应及时删除多余的、过期的帐户,避
免共享帐户的存在。
测评项名称
系统是否存在多余帐号
测评分项1:
检查系统是否存在多余帐号
操作步骤
执行以下命令:
netuser
访谈系统管理员,是否存在无用的多余帐号。
打开开始所有程序管理工具计算机管理系统工具本地用户和组用户(组)”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。
此外,对于系统内新建的用户(组)需进行其存在意义的询问,以决定该用户(组)是否具有存在意义。
适用版本
任何版本
实施风险
无
符合性判定
系统不存在无用的帐户,判定结果为符合;系统中存在无用的帐户,判定结果为不符合。
6•资源敏感标记设置检查
测评项编号
ADT-OS-WI
N-12
对应要求f)应对重要信息资源设置敏感标记。
测评项名称
资源敏感标记设置检查
测评分项1:
资源敏感标记设置检查
操作步骤
询问管理员系统是否对重要信息资源设置了敏感标记。
适用版本
任何版本
实施风险
无
符合性判定
对重要信息资源设置了敏感标记,判定结果为符合;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 18 SGISLOPSA2910Windows 等级 保护 测评 作业 指导书 三级