1、03操作系统Windows测评指导书修改111序号测评指标测评项检查方法预期结果1身份鉴别a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别1.访谈系统管理员都有那些登录系统的用户并记录用户名,以及用户是否已设置密码。2.查看登录过程中系统帐户是否使用了密码进行验证登录。需要输入用户名和密码才可登录系统2b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。1.开始-运行-gpedit.msc或检查管理工具-本地安全策略-帐户策略-密码策略中的相关项目。2.询问管理用户输入的密码复杂度中是否包含大小写字母.数字和字符。 1.强制密码历史:建议值为2
2、4。2.密码最长使用期限限制:建议值为70天。3密码最短使用期限限制:建议值为2天。4.密码长度最小值:建议值最短8个字符。5密码必须符合复杂性要求:建议值启用。6.用可还原的加密来存储密码:建议值为不启用。7.输入的密码复杂度中包含大小写字母.数字和字符。3c)应启用登录失败处理功能,可采取结束会话,限制非法登陆次数和自动退出等措施。1.开始-运行-gpedit.msc或检查管理工具-本地安全策略-账户策略-账户锁定策略。账户锁定阈值:建议值3-5次帐户锁定时间:建议值30分钟4d)当对服务器进行远程管理时,应采用必要措施,防止鉴别信息在网络传输过程中被窃听。1.询问系统管理员是否开启远程管
3、理功能?(如果未开启则不适用)2.如果开启,采用何种远程管理方式?3.在服务器端,查看系统属性远程选项卡中是否启动远程桌面,如果开启查看“管理工具” - 终端服务配置- RDP-Tcp选择属性- 常规 - 安全层 是否选“协商”.4.在客户端,查看:开始-程序-附件-通讯-远程桌面连接-选项-安全-身份验证-是否选择“要求身份验证。”使用远程终端服务的远程管理方式,检查服务器端系统版本必须是Windows Server 2003 Sp1或更高版本,终端服务器组件版本必须是RDP 5.2或以上。客户端操作系统必须是 Windows 2000/WindowsXP或Windows Server 20
4、03。终端服务器和客户端都要使用SSL(TLS1.0) 加密,而且在远程桌面连接选项中的安全-身份验证里选择“要求身份验证”。5e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。检查Windows 的用户是否有重复,“管理工具-计算机管理-本地用户和组”中的用户,检查其中的用户名是否出现重复。无重复的用户名6f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。1.访谈系统管理员,询问操作系统除用户名口令外有无其他身份鉴别方法,如令牌、智能卡等。2.查看实际登录时需要的鉴别方法采用用户名/口令.动态口令. 物理设备、指纹识别系统. 令牌、生物识别技术和数字证
5、书方式的身份鉴别技术中的任意两个组合或两个以上组合。7访问控制a) 应启用访问控制功能,依据安全策略控制用户对资源的访问.1.查看系统重要文件Users组用户的权限设置:%systemdrive%program filessystem %systemroot%system32config文件夹-属性-安全- 查看Users组用户的权限设置: 2.在命令行模式下输入 net share或管理工具-计算机管理-系统工具-共享文件夹开始命令输入 regedit,查看注册表项:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanon
6、ymous值是否为“0”(0标识共享开启,为不符。1为关闭共享,为符合)3.查看“网上连接”里“本地连接”属性的“Microsoft 网络客户端”和“Miscrosoft 网络的文件和打印机共享”是否把复选框里的对号选掉。1.重要目录不对everyone开放2.programe files对于users只允许“读取和运行”、“列出文件夹目录”、“读取”3.对重要文件访问要根据不同组的权限控制其访问和操作,并禁止默认共享。8b)应依据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限1. 查看用户分组情况;管理工具-计算机管理-本地用户和组。2. 查看用户权限分配 开始
7、-管理工具-点击本地(或“域”)安全策略-安全设置-本地策略-用户权利分配 -查看配置的用户权限策略设置情况。管理用户的角色对权限作出标准了细致的划分,仅授予管理用户所需的最小权限。9c) 应实现操作系统和数据库系统特权用户的权限分离.1.询问是否存在多个管理员共用一个帐户情况2.查看每个管理员帐户是否只负责管理某一个方面内容,不能同时管理操作系统和数据库。对登录系统的用户严格划分了权限,设置了超级用户、管理员、审计员等角色。若主机未安装数据库,则标注为不适用。10d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。1.询问是否对默认账户进行重命名和默认口令的修改2检
8、查系统的默认用户名是否已被禁用。根据服务器的具体使用用途而定,如服务器使用IIS服务,那么IWAM_SUN (启动IIS进程帐户) 默认账户就不能禁用。开始-管理工具-计算机管理-本地用户和组-查看默认用户名是否重命名。不存在默认帐户,严格禁止未授权用户的访问。11e)应及时删除多余的、过期的账户,避免共享账户的存在。1.询问系统管理员是否有多余的、过期的账户,避免共享账户名。管理工具-计算机管理-本地用户和组-查看是否存在多余的、过期的账户,避免共享账户名。无多余的、过期的账户和共享账户12f) 应对重要信息资源设置敏感标记。1.查看操作系统功能手册或相关文档,确认操作系统是否具备能对信息资
9、源设置敏感标记功能。2.询问管理员是否对重要信息资源设置敏感标记。对重要信息资源进行了敏感信息标记。13g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。询问或者查看目前的敏感标记策略的相关设置,如:如何划分敏感标记分类,如何设定访问权限等。对有敏感信息的信息资源进行了相关的安全策略。14安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。1.查看系统是否开启了安全审计功能: 打开cmd终端 - 执行gpedit.msc命令 - 计算机配置- Windows 设置 - 安全设置 - 本地策略 - 审核策略2.询问并查看是否有第三方审计工具或系统。 服务
10、器、重要客户端都已经开启了审计功能,或者使用了第三方审计工具。15b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。打开安全策略中的“审核策略”查看审计策略设置并记录开始-管理工具-本地安全策略-本地策略-审核策略审核策略更改:成功审核登录事件: 成功、失败审核对象访问: 成功、失败审核进程跟踪:审核目录服务访问:成功、失败审核特权使用:审核系统事件:成功审核帐户登录事件: 成功、失败审核帐户管理:成功、失败16c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等.1.在计算机管理的事件查看器中查看记录的日志是否满足对事件的日期
11、、时间、类型、主体标识、客体标识和结果等。(审计范围应是服务器和重要客户端。) 开始-管理工具-事件查看器-事件属性事件的日期、时间、类型、主体标识、客体标识和结果符合要求。17d) 应能够根据记录数据进行分析,并生成审计报表;访谈并检查审计记录的查看、分析和生成审计报表情况。对审计产生的记录数据进行统一管理与处理,并将日志关联起来,来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。18e) 应保护审计进程,避免受到未预期的中断。1.访谈是否有第三方对审计进程监控和保护的措施2.如果存在查看具体措施如何实现并记录保护好审计进程,当避免当事件发生时,能够及时记录事件发生的详细内容。Wi
12、ndows系统具备了在审计进程自我保护方面功能。19f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。1.访谈审计记录的存储、备份和保护的措施,是否配置日志服务器等。2.如果存在查看具体措施如何实现并记录3. 菜单 - 所有程序 - 管理工具 - 事件查看器 - Windows日志 - 应用程序/安全/系统 - 属性以非法或未授权用户登录系统无法删除、修改或覆盖审计记录和审计文件。20剩余信息保护a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。1. 在运行中输入gpedit.msc -组策略编辑
13、器 -安全设置- 本地安全策略-安全选项-(是否启用)不显示上次登录用户名 操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除。21b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。1. 在运行中输入gpedit.msc -组策略编辑器-安全设置-本地安全策略-安全选项-(是否启用)关机前清除虚拟内存页面 2. 在运行中输入gpedit.msc -组策略编辑器-安全设置-本地安全策略-账户策略-(是否启用)用可还原的加密来存储密码 系统内的文件、目录等资源所在的存储空间,被释放或从新分配给其他用户前应该
14、完全清除。22入侵防范a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP.攻击的类型.攻击的目的.攻击的时间,并在发生严重入侵事件时报警。1.询问系统管理员是否经常查看系统日志并对其进行分析。询问是否安装了主机入侵检测软件。2.查看已安装的主机入侵检查系统的配置情况,是否具备报警功能。询问并查看是否有第三方入侵检测系统,如IDS。应安装主机防火墙。应安装入侵检测系统,发生严重入侵事件时报警。23b)应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。1.访谈是否使用一些文件完整性检查工具对重要文件的完整性进行检查,是否对重要的配置文件进行备份。2.查看备份
15、演示。对系统重要文件备份,或者对整个系统进行全备。 24c)操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新.1.查看系统中运行的服务如:Alerter、Remote、Registry Service、Messenger、Task Scheduler是否已启动。我的电脑-管理-服务和应用程序-服务2.访谈并查看系统补丁升级方式,以及最新的补丁更新情况。开始 - 设置 - 控制面板 - 系统和维护 - Windows Update - 查看已安装的更新,按照记录的系统安全补丁编号KBXXXXXXX 3.检查操作系统安装的系统组件和应用程
16、序是否都是必须的。操作系统仅安装了需要的组件和应用程序和并通过设置升级服务器等方式保持系统补丁及时得到更新。25恶意代码防范a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;查看系统安装了什么防病毒软件。询问管理员病毒库是否经常更新。查看病毒库的最新版本更新日期是否超过一个星期。安装了防病毒软件和操作系统的补丁保持了及时更新。26b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。基于网络的防病毒软件的病毒库应与基于主机的防病毒软件的病毒库不同。27c) 应支持防恶意代码的统一管理。1.了解当前部署的
17、防恶意代码软件是否支持统一的管理2.检查当前所部署的防恶意代码软件是否支持统一的病毒管理策略,如统一更新,定时查杀等。防恶意代码软件支持统一的管理,和统一的更新和定时查杀。28资源控制a)通过设定终端接入方式、网络地址范围等条件限制终端登录1.询问并查看系统是否开启了主机防火墙或TCP/IP筛选功能。2.询问并查看是否通过网络设备或硬件防火墙实现了此项。本地连接-属性-Internet协议(Tcp/ip)-高级-选项-属性-查看是否开启TCP/IP筛选功能Windows防火墙 - 更改设置 打开cmd终端 - 执行gpedit.msc命令 - 计算机配置- Windows 设置 - 安全设置
18、- IP安全策略查看本机是否安装了杀毒软件,杀毒软件中是否有防火墙功能,并且限制终端网络地址范围开启了主机防火墙的地址过滤或TCP/IP筛选功能29b)应该根据安全策略设置登录终端的操作超时的锁定1.查看登录终端是否开启了带密码的屏幕保护功能。 在运行中输入gpedit.msc -计算机配置-管理模板-windows组件-终端服务-会话-是否配置了空闲的会话(没有客户端活动的会话)继续留在服务器上的最长时间。设置了超时限制30c)应对重要的服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况1.询问系统管理员是否经常检查系统资源的利用情况;2.询问是否使用第三方软件;3.运
19、行这些软件,查看是否能对重要的服务器进行监视;4.查看保存的服务器的资源使用情况的文件来验证系统管理员的是否经常检查系统资源的利用情况;5.查看相关的记录文档。有对系统资源的利用情况的经常性查看或者使用第三方软件来自动监测系统资源的利用情况。31d)应限制单个用户对系统资源的最大或最小使用限度1.访谈管理员对系统资源的管理措施;2.验证是否配置了系统资源的管理措施。点击开始-管理工具-系统资源管理器-系统资源策略-查看系统策略是否设置了对系统磁盘的限制和系统内存和cpu的限制并查看系统策略中是否配置了相应的用户。有对单个用户的访问资源控制来防止Dos的攻击和系统资源的耗尽。32e) 应能够对系
20、统的服务水平降低到预先规定的最小值进行检测和报警.1.询问管理员日常如何监控系统服务水平开始 -管理工具-性能-查看-性能日志和警报(是否设置了相关检测和报警功能)。2.若有第三方监控程序,询问并查看它是否有相关功能。对磁盘空间不足、CPU利用率过高、硬件故障等有相应的检测和报警功能。33备份和恢复d) 应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。访谈是否有备份机制,查看备份功能的实现方式可以,参考以下备份方式:1本地备份、本地保存的冷备份。2本地备份、异地保存的冷备份。3本地热备份、站点备份。4异地活动互援备份。5本地活动互援备份。6容灾备份。对于可用性要求较高的信息系统来说,仅仅进行数据备份是远远不够的,还必须进行系统备份。系统备份策略包括本地和远程两种方式。其中,本地备份主要使用容错技术和冗余配置来应对硬件故障;远程备份主要用于应对灾难事件,有热站和冷站两种选择。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1