03.操作系统_Windows_2003_测评指导书(修改111).docVIP

序号 测评指标 测评项 检查方法 预期结果 1 身份鉴别 a）应对登录操作系统和数据库系统的用户进行身份标识和鉴别 1.访谈系统管理员都有那些登录系统的用户并记录用户名，以及用户是否已设置密码。 2.查看登录过程中系统帐户是否使用了密码进行验证登录。 需要输入用户名和密码才可登录系统 2 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。 1.开始-运行-gpedit.msc或检查管理工具-》本地安全策略-》帐户策略-》密码策略中的相关项目。 2.询问管理用户输入的密码复杂度中是否包含大小写字母.数字和字符。 1.强制密码历史：建议值为24。 2.密码最长使用期限限制：建议值为70天。 3．密码最短使用期限限制：建议值为2天。 4.密码长度最小值：建议值最短8个字符。 5．密码必须符合复杂性要求：建议值启用。 6.用可还原的加密来存储密码：建议值为不启用。 7.输入的密码复杂度中包含大小写字母.数字和字符。 3 c)应启用登录失败处理功能，可采取结束会话，限制非法登陆次数和自动退出等措施。 1.开始-》运行-gpedit.msc或检查管理工具-》本地安全策略-》账户策略-》账户锁定策略。 账户锁定阈值：建议值3-5次 帐户锁定时间：建议值30分钟 4 d)当对服务器进行远程管理时，应采用必要措施，防止鉴别信息在网络传输过程中被窃听。 1.询问系统管理员是否开启远程管理功能？（如果未开启则不适用） 2.如果开启，采用何种远程管理方式？ 3.在服务器端，查看系统属性远程选项卡中是否启动远程桌面，如果开启查看“管理工具” - 》终端服务配置- RDP-Tcp选择属性- 常规 - 安全层 – 是否选“协商”. 4.在客户端，查看：开始-程序-附件-通讯-远程桌面连接-选项-安全-身份验证-是否选择“要求身份验证。” 使用远程终端服务的远程管理方式，检查服务器端系统版本必须是Windows Server 2003 Sp1或更高版本，终端服务器组件版本必须是RDP 5.2或以上。客户端操作系统必须是 Windows 2000/WindowsXP或Windows Server 2003。 终端服务器和客户端都要使用SSL（TLS1.0） 5 e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 检查Windows 的用户是否有重复，“管理工具-》计算机管理-》本地用户和组”中的用户，检查其中的用户名是否出现重复。 无重复的用户名 6 f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 1.访谈系统管理员，询问操作系统除用户名口令外有无其他身份鉴别方法，如令牌、智能卡等。 2.查看实际登录时需要的鉴别方法 采用用户名/口令.动态口令. 物理设备、指纹识别系统. 令牌、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合或两个以上组合。 7 访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问. 1.查看系统重要文件Users组用户的权限设置: %systemdrive%\program files\system %systemroot%\system32\config文件夹-属性-安全- 查看Users组用户的权限设置: 2.在命令行模式下输入 net share或管理工具-计算机管理-系统工具-共享文件夹 开始命令输入 regedit，查看注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值是否为“0”（0标识共享开启，为不符。1为关闭共享，为符合） 3.查看“网上连接”里“本地连接”属性的“Microsoft 网络客户端”和“Miscrosoft 网络的文件和打印机共享”是否把复选框里的对号选掉。 1.重要目录不对everyone开放 2.programe files对于users只允许“读取和运行”、“列出文件夹目录”、“读取” 3.对重要文件访问要根据不同组的权限控制其访问和操作，并禁止默认共享。 8 b)应依据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限 查看用户分组情况； 管理工具-计算机管理-本地用户和组。 查看用户权限分配 开始-管理工具-点击本地（或“域”）安全策略-安全设置-本地策略-用户权利分配 -查看配置的用户权限策略设置情况。 管理用户的角色对权限作出标准了细致的划分，仅授予管理用户所需的最