windows主机检查判断.doc

类别 测评项 核查方法 判断方法 身份鉴别 a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 检查登录是否需要密码； 检查登陆服务器是否需要用户名/口令；检查用户数量、设置密码的用户数量、密码为空的用户数量；一般都符合。 b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 本地安全策略-账户策略-密码策略中的相关项目。 检查密码策略的设置情况，是否支持密码复杂度，含长度、大小写、特殊字符、数字混用，使用期限等（密码最短使用期限非0值）。 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 本地安全策略-账户策略-账户锁定策略 检查账户锁定阈值，非0值即为符合。 d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听； 在远程管理操作中是否使用了SSL协议（RDP协议5.1以后默认为安全的连接协议）。 e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性； “管理工具”-“计算机管理”-“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。 如果多个人共用一个账户或数据库管理账户身份为主机管理员（Administrator）则为不符合；主机与数据库都具有同样的用户名但密码不同应为符合。 f）应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 访谈系统管理员，访谈系统除密码外有无其他身份鉴别方法，如令牌、智能卡等。 是否采用除用户名/口令之外的其他鉴别方式，如生物信息或用户拥有的某项物品，Key或数字证书。 访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； windows依据默认策略启用访问控制功能；默认符合。 b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限； 访谈并检查管理用户及角色的分配情况。 系统存在多用户时应有权限划分，最低限度应有审计员分散管理权限，则为符合；若一项操作必须2人以上完成即为符合。 c) 应实现操作系统和数据库系统特权用户的权限分离； 如果安装了数据库系统，访谈操作系统管理员是否同时担任数据库管理员职责，且数据库管理账户是否付给专门的数据库管理员； 检查是否存在一个账户同时管理操作系统和数据库系统的情况，是否存在数据库与操作系统管理员同一人的情况。 d)应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令； 访谈管理员当前系统用户状况； Windows用户只要设定了密码，即为符合； e）应及时删除多余的、过期的账户，避免共享账户的存在； 检查系统账户列表，访谈管理员是否存在多余的、过期的、共享的账户； 检查是否存在多余、过期、共享的账户。 f）应对重要信息资源设置敏感标记； 访谈系统管理员，检查系统中是否存在如POST技术等系统加固组件；对重要信息资源设置了敏感标记； 询问或查看目前的敏感标记策略的相关设置，如：如何划 分敏感标记分类，如何设定访问权限等Windows默认不符合； g）应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 访谈系统管理员，检查系统中是否存在如POST技术等系统加固组件；对重要信息资源设置了敏感标记； 是否对重要信息资源设置敏感标记。 安全审计 a) 安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 检查“本地安全策略”检查审计功能是否启用； Windows操作系统默认开启审计功能，默认符合；数据库需要检查其是否存在审计功能； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 记录Windows审计功能中开启的项目； 检查审核策略中是否开启对系统的审核，如有即为符合。 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 检查事件检查器相关记录是否包括时间、主客体标识和事件结果等信息； windows默认符合。 d）应能够根据记录数据进行分析，并生成审计报表； 检查Windows“事件检查器”。访谈系统管理员是否还有其他第三方日志分析工具。 Windows默认不符合。 e）应保护审计进程，避免受到未预期的中断； Windows系统自身满足。 windows默认符合。 f）应保护审计记录，避免受到未预期的删除、修改或覆盖等。 1.检查“权限指派”中管理审计日志的权限，看是否只有系统管理员组能删除。 2.检查“事件检查器”中“安全”和“系统”日志的存储大小和覆盖策略。 3.访谈审计记录的存储、备份