Windows测评指导书讲解.docx
《Windows测评指导书讲解.docx》由会员分享,可在线阅读,更多相关《Windows测评指导书讲解.docx(37页珍藏版)》请在冰豆网上搜索。
Windows测评指导书讲解
序号
类别
测评项
测评实施
预期结果
说明
1
身份鉴别
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
1)查看登录是否需要密码
2)命令提示符中输入netuser或运行lusrmgr.msc检查用户标识符列表,是否提供了身份标识。
1)用户需要输入用户名和密码才能登录。
1、操作系统的身份标识与鉴别机制采取何种措施实现
2、是否必须输入密码才能登录。
3、登录过程中系统帐号是否进行验证登陆.
b)操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
1)依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:
a)复杂性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。
2)执行gpedit.msc中查看是否配置操作系统安全策略。
a)复杂性要求已启用;
b)长度最小值至少为8位;
c)最长存留期不为0;
d)最短存留期不为0;
e)强制密码历史至少记住3个密码以上。
1、身份鉴别信息是否如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制。
2、所有的项只要不为默认的0或未启用就可以。
3、操作系统用户口令复杂度是否已经启用
c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
1)依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略];
2)查看以下项的情况:
a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。
a)设置了“复位账户锁定计数器”时间;
b)设置了“账户锁定时间”;
c)设置了“账户锁定阈值”。
1、主要服务器操作系统,是否已配置了鉴别失败处理功能。
2、.本地安全策略->帐户策略->帐户锁定策略中的相关项目,查看是否启用了登录失败处理功能。
3、所有的项只要不为默认的0或未启用就可以。
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
1)访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。
1)如果是本地管理或KVM等硬件管理方式,此要求默认满足;
2)如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389远程管理桌面或修改远程登录端口。
1、操作系统是否采用了远程管理。
2、如采用了远程管理,是否采用了防止鉴别信息在网络传输过程中被窃听的措施。
3、终端服务器是否使用了SSL加密。
4、关注远程管理方式及传输协议。
e)为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性;
1)依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户];查看用户列表,询问每个账户的使用情况。
1)无多人共用同一个账号的情况。
1、服务器操作系统帐户列表,管理员用户名分配是否唯一。
(EG:
应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性)
2、运行lusrmgr.msc检查用户标识符列表,是否存在相同的用户名。
3、是否存在一个用户使用多个用户名的情况。
4、是否存在过期的或是多余的用户名。
5、WindowsServer2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。
f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
1)访谈系统管理员,询问系统除密码外有无其他身份鉴别方法,如令牌、智能卡等。
1)有两种或以上组合的鉴别技术。
1、以远程方式登录主机设备主要服务器操作系统,身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别。
2、通过本地控制台管理主机设备操作系统时,是否采用一种或一种以上身份鉴别技术。
3、不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。
2
访问控制
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
1)文件权限:
a)右键点击[开始],打开[开资源管理器(X)],[工具]->[文件夹选项]->[查看]中的“使用简单文件共享(推荐)”是否选中;
b)右键单击下面两个文件夹的[属性]->[安全],查看users的权限。
%systemdrive%\programfiles%systemroot%\system32\config
2)用户权限:
a)[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[组]
b)双击“名称”列中Administrators用户,查看成员。
e)看注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous的值,restrictanonymous的值是否为0
1)a)未选中“使用简单文件共享(推荐)”选项。
b)programfiles文件夹的users权限只允许“读取和运行”、“列出文件夹目录”、“读取”三种权限;config文件夹的users权限只允许“列出文件夹目录”权限;
2)普通用户、应用账户等非管理员账户不属于管理员组。
1、服务器操作系统的是否配置了安全策略。
2、安全策略是否对重要文件的访问权限进行了限制。
3、是否对系统不需要的服务、共享路径等进行了禁用或删除。
4、服务器操作系统的权限设置情况,是否依据安全策略对用户权限进行了限制。
5、选%systemdrive%\windows\system、%systemroot%\system32\config、等相应的文件夹,右键选择“属性”>“安全”,查看users组和administrators组的权限设置,是否为不同级别的用户组,赋予不同的权限,如完全控制、修改、读取及运行、列出文件夹目录、读取、写入权限不同。
6、在命令行模式下输入netshare,查看是否存在共享文件。
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
1)访谈并查看管理用户及角色的分配情况。
2)“管理工具”->“本地安全策略”->“安全设置”->“本地策略”中的“用户权利指派”是否为不同的用户指派了不同的权限。
1)系统管理员、安全管理员、安全审计员由不同的人员和用户担当。
1、是否根据管理用户的不同角色分配了权限。
2、主要数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。
3、指派的权限是否为管理用户的最小权限。
4、是否只在备份文件和目录,创建记号对象,创建页面文件,从网络访问此计算机,调试程序和更改系统时间做设置。
5、至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。
验证操作:
按照3安全审计->f->1)的操作,查看“管理审核和安全用户”中的用户组是否只有安全审计员。
c)应实现操作系统和数据库系统特权用户的权限分离;
1)访谈并查看管理用户及角色的分配情况。
1)操作系统除具有管理员账户外,至少还有专门的审计管理员账户,且他们的权限互斥。
1)操作系统的特权账户应包括管理员、安全员和审计员。
至少应该有管理员和审计员,并且他们的权限是互斥关系的。
2)应保证操作系统管理员和审计员不为同一个账号,且不为同一个人。
3)服务器操作系统,特权用户的权限是否进行分离。
4)服务器操作系统权限划分分为哪些职位
5)服务器操作系统各个特权用户,是否采用最小授权原则。
6)数据库管理员与操作系统管理员是否由不同管理员担任。
d)应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令;
1)依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户];
2)查看用户列表中是否有SUPPORT_388945a0、GUEST账户,如果有这些账户,则右键点击该[账户]->[属性],查看账户是否停用。
3)“管理工具”->“计算机管理”->“系统工具”->“本地用户和组”中的“用户”查看查看默认用户名Administrator是否重命名。
1)用户列表中没有名为GUEST、SUPPORT_388945a0的账户,或已经禁用。
1、服务器操作系统,匿名/默认用户的访问权限是否已被禁用或者严格限制。
(EG:
系统无法修改访问权限的特殊默认账户,可不修改访问权限;系统无法重命名的特殊默认账户,可不重命名。
)
2、账户的默认口令是否被修改。
e)应及时删除多余的、过期的账户,避免共享账户的存在;
1)依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户],查看是否存在过期账户;)依据用户账户列表询问主机管理员,每个账户是否为合法用户;
2)依据用户账户列表询问主机管理员,是否存在多人共用的账户。
1)无多余账户、过期账户;
2)无多人共享账户。
1、服务器操作系统,是否删除了系统中多余的、过期的以及共享的帐户。
2、询问是否存在多余的帐户。
3、关注是否未清理已离职员工的账户。
f)应对重要信息资源设置敏感标记;
1)询问系统管理员,是否实现了该功能,具体措施是什么。
1)如果没有采取任何措施,则该项要求为不符合。
1、服务器操作系统,是否对重要信息资源设置敏感标记。
2、询问管理员是否对重要信息资源设置敏感标记。
g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
1)询问系统管理员,是否实现了该功能,具体措施是什么。
1)如果没有采取任何措施,则该项要求为不符合。
1、是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
2、询问管理员是否对敏感标记进行策略设置。
3、是否对敏感标记进行分类。
4、是否对敏感标记进行设定访问权限。
3
安全审计
a)安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
1)依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策略]->[本地策略]->[审核策略];
2)查看是否有审核策略启用。
3)开始-运行Secpol.msc,查看"安全设置"->"本地策略"->"审核策略"系统是否开启了安全审计功能。
1)至少启用一项审核策略。
1、服务器操作系统、重要终端操作系统,是否配置安全审计策略。
2、安全审计策略是否覆盖到服务器和重要终端操上的每个操作系统用户。
3、是否采用第三方安全设计产品实现审计要求。
4、是否具有日志服务器或审计服务器。
5、询问系统管理员,并查看是否有第三方审计工具或系统。
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
1)依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策略]->[本地策略]->[审核策略];
2)查看各审核策略对哪些操作进行审核。
3)windows在“安全设置”中,展开“本地策略”,显示“审核策略”、“用户权利指派”以及“安全选项”策略。
a)审计账户登录事件:
成功,失败
b)审计账户管理:
成功,失败
c)审计目录服务访问:
失败
d)审计登录事件:
成功,失败
e)审计对象访问:
成功,失败
f)审计策略更改:
成功,失败
g)审计特权使用:
失败
h)审计系统事件:
成功,失败
至少应包含
a)审计账户登录事件、b)审计账户管理、d)审计登录事件、f)审计系统事件、g)审计系统事件的成功与失败行为。
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
1)默认满足。
1)默认满足。
d)应能够根据记录数据进行分析,并生成审计报表;
1)访谈系统管理员是否有第三方日志分析软件。
1)使用第三方日志分析软件或Windows事件查看器,定期分析审计报表。
1、服务器和重要终端操作系统,是否为授权用户提供浏览和分析审计记录的功能。
2、是否有对审计记录的查看、分析和审计报表。
3、是否有第三方报表工具。
e)应保护审计进程,避免受到未预期的中断;
1)默认满足。
1)默认满足。
1、服务器操作系统、重要终端操作系统,是否可通过非审计员的其他帐户试图中断审计进程。
2、审计进程是否受到保护。
3、是否有第三方审计进行保护的工具。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
1)如果日志数据本地保存,则
a)依次展开[开始]->([控制面板]->)[管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配],右键点击策略“管理审核和安全日志”点属性,查看是否只有审计。
系统审计账户所在的用户组是否在本地安全设置的用户列表中。
b)依次展开[开始]->([控制面板]->)[管理工具]->[事件查看器];查看“安全性”和“系统”日志“属性”的存储大小和覆盖策略。
2)若部署了日志服务器,则查看日志保存策略。
1)如果日志数据本地保存,则
a)只有系统管理员组在本地安全设置的用户列表中
b)“安全性”和“系统”日志“属性”的存储大小不小于512KB;覆盖周期不小于15天。
2)如果日志数据存放在日志服务器上并且审计策略合理,则该要求为符合。
1)关注“管理审核和安全日志”的权限用户,关注“安全性”和“系统”日志“属性”的存储大小和覆盖周期。
2)如果日志数据存放在日志服务器上,则该要求向为符合。
3)服务器操作系统、重要终端操作系统,是否对审计记录实施了保护措施,使其避免受到未预期的删除、修改或覆盖等未授权的操作。
4)是否有对审计记录的存储、备份和保护的措施。
5)是否有日志服务器。
4
剩余信息保护
a)应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
1)打开“本地安全策略”->“安全设置”->“本地策略”中的安全选项查看是否启用“不显示上次登录用户名”。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
登陆操作系统是否获得其他用户的标识或鉴别信息。
b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。
1)打开“本地安全策略”->“安全设置”->“本地策略”中的安全选项查看是否选中“关机前清除虚拟内存页面”或打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement,查看“关机前清除虚拟内存页面”是否启用。
2)打开“本地安全策略”->“安全设置”->“帐户策略”中的密码策略,“帐户策略”中的密码策略中“用可还原的加密来存储密码”是否启用。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
主要操作系统维护操作手册中是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程。
5
入侵防范
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
1)访谈系统管理员是否经常查看磁盘等资源的使用状况,有哪些性能监控手段。
1)启用入侵检测系统,参考网络全局部分的“入侵检测系统”部分。
1、是否采取入侵防范措施。
2、是否有入侵检测记录。
3、询问系统管理员是否经常查看系统日志。
4、是否安装了主机入侵检测软件。
5、是否有第三方入侵检测系统。
b)应能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;
1)检查产品的测试报告、用户手册或管理手册,确认其是否具有相关功能;或由第三方工具提供了相应功能。
1)如果测试报告、用户手册或管理手册中没有相关描述,且没有提供第三方工具增强该功能,则该项要求为不符合。
1、服务器是否提供对重要程序的完整性进行检测。
2、是否在检测到完整性受到破坏后具有恢复的措施的功能。
3、是否对使用一些文件完整性检查工具对重要文件的完整性进行检查。
4、是否对重要的配置文件进行备份。
c)操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
1)组件最小化:
访谈系统安装的组件和应用程序是否遵循了最小安装的原则;
2)服务最小化:
a)依次展开[开始]->([控制面板]->)[管理工具]->[服务];
b)查看已经启动的或者是手动的服务,一些不必要的服务如Alerter、RemoteRegistryService、Messenger、TaskScheduler是否已启动;
3)服务端口:
依次展开[开始]->[运行],在文本框中输入cmd点确定,输入netstat–an查看是否有不必要端口开启,如139、445。
4)默认共享:
a)依次展开[开始]->[运行],在文本框中输入cmd点确定,输入netshare,查看共享;
b)依次展开[开始]->[运行],在文本框中输入regedit点确定,查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为“0”
5)补丁更新
访谈系统补丁升级的方法,[开始]->[运行],在文本框中输入regedit,查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates下的安装补丁列表。
6)访谈并查看系统补丁升级方式,以及最新的补丁更新情况:
“开始”->“控制面板”->“程序和功能”->“查看已安装的更新”
1)系统安装的组件和应用程序遵循了最小安装的原则;
2)不必要的服务没有启动;
3)不必要的端口没有打开;
4)a)“共享名”列为空,无C$、D$、IPC$等默认共享。
b)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值不为“0”(0表示共享开启)
5)系统补丁先测试,再升级;补丁号为较新版本。
1)关注系统安装的组件和应用程序情况;
2)关注补丁是否先测试,补丁号是否为较新版本。
3)操作系统是否遵循最小安装的原则,仅安装需要的组件和应用程序。
4)主要服务器操作系统中所安装的系统组件和应用程序是否都是必须的。
5)否设置了专门的升级服务器实现对主要服务器操作系统补丁的升级。
6)服务器操作系统的补丁是否得到了及时安装。
7)是否持续跟踪厂商提供的系统升级更新情况。
8)是否在经过充分的测试评估后对必要补丁进行及时更新。
9)查看目前系统中运行的服务如:
Alerter、RemoteRegistryService、Messenger、TaskScheduler是否已启动。
6
恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
1)查看系统中安装的防病毒软件。
询问管理员病毒库更新策略。
查看病毒库的最新版本更新日期是否超过一个星期。
1)安装了防病毒软件,病毒库经常更新,是最新版本。
1、主机系统是否采取恶意代码实时检测与查杀措施。
2、服务器是否安装了实时检测与查杀恶意代码的软件产品。
3、系统中是否安装了防病毒软件。
4、关注防病毒软件的同时还应该保证病毒库是否及时更新。
b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库;
1)访谈系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。
1)主机防恶意代码产品与网络防恶意代码产品的恶意代码库不同
1、是否有与主机防恶意代码产品有不同的恶意代码库。
2、是否具有网络防病毒软件。
3、网络上若没有网络防恶意代码产品则本条不符合
c)应支持恶意代码防范的统一管理。
访谈防恶意代码的管理方式,例如升级方式。
防恶意代码统一管理,统一升级。
1、防恶意代码产品是否具有统一的管理平台。
2、是否采有统一的病毒更新策略。
3、是否采有统一的病毒查杀策略。
7
系统资源控制
a)应通过设定终端接入方式、网络地址范围等条件限制终端登录;
1)访谈系统管理员了解系统对登录终端的接入方式进行限制的措施;
2)依次展开[开始]->[控制面板]->[网络连接]->[本地连接]属性->[Internet协议]属性中[高级]->[选项]->[TCP/IP筛选]中有没有对端口做限制;
3)如果安装有主机防火墙则查看有无登录地址限制。
1)如果安装有主机防火墙则通过防火墙对登录地址进行限制;如果无主机防火墙,则在“TCP/IP筛选”中对端口做了限制。
1、主要服务器操作系统,是否设定了终端接入方式、网络地址范围等条件限制终端登录。
2、是否开启了主机防火墙TCP/IP筛选。
3、是否有硬件防火墙限制终端接入、网络地址范围。
b)应根据安全策略设置登录终端的操作超时锁定;
1)依次展开[开始]->[控制面板]->[显示]的屏幕保护程序,查看登录该服务器的终端是否设置了屏幕锁定。
2)打开“组策略”,在“计算机配置”->“管理模板”->“Windows组件”->“终端服务”->“终端服务器”中,查看在“会话时间限制”中,是否配置了空闲的会话(没有客户端活动的会话)继续留在服务器上的最长时间,是否配置了空闲的会话继续留在服务上的最长时间。
1)等待时间应在10分钟以下,在恢复时使用密码保护的选项勾选。
1、是否通过安全策略设置登录终端的操作超时锁定。
2、服务器的终端是否都设置了操作超时锁定的配置。
3、登录终端是否开启了带密码的屏幕保护功能。
c)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
1)访谈系统管理员了解是否经常查看“系统资源监控器”或第三方监控软件。
1)每日至少三次查看“系统资源监控器”及磁盘使用状况并记录。
或使用集中监控平台实时监控系统资源使用情况。
1、服务器操作系统,对服务器硬件的哪些部件使用情况进行监控。
2、访谈系统管理员是否经常查看“系统资源监控器”。
3、是否有第三方工具实现要求。
4、关注监视的方式,主要目的是了解通过这些监视方式能否使管理员及时、准确了解到服务器的资源使用情况
d)应限制单个用户对系统资源的最大或最小使用限度;
1)访谈管理员针对系统资源控制的管理措施,询问服务器是否为专用服务器;
2)同时按下CRL、ALT、Delete键打开[Windows任务管理器]->[性能],查看CPU使用率。
1)CPU使用率不超过70%。
1、服务器操作系统,是否通过安全策略设置了单个用户对系统资源的最大或最小使用限度。
2、磁盘配额是否有限制。
3、主要应了解服务器资源的分配是否能满足其业务需求。
如果服务器不是多业务竞争使用硬件资源且实时利用率不是很高,那么认为不存在资源紧张情况。
确实需要多业务公用资源的,应判断当前的资源分配方式能否满足业务需求。
e)应能够对系统的服务水平降低到预先规定的最小值进行检
升级会员 