Windows测评指导书.docVIP

Windows操作系统测评指导书 测评指标 测评项 测评实施过程 预期结果 现场记录 身份鉴别 a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 在Windows操作系统中：查看系统账户登录过程中是否使用了密码进行登录验证 操作系统账户登录过程中需要输入密码进行验证 记录密码栏为空的用户名。 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 在Windows操作系统中查看： “本地安全策略”“账户策略”“密码策略中的相关项目”。 密码历史记录：（建议值：24） 双击右侧的详细信息窗格中的“强制密码历史”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“记住的密码”字段中的数据（最高值为24），它反映了系统将记忆的密码的数量。 密码最长使用期限：（建议值：70天） 双击右侧详细信息窗格中的“密码最长使用期限”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“天”字段中的数字。 密码最短使用期限：（建议值：2天） 双击右侧详细信息窗格中的“密码最短使用期限”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“天”字段中的数字。 最短密码长度：（建议值：8个字符） 双击右侧相信信息窗格中的“最短密码长度”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“天”字段中的数字。 密码复杂度要求：（建议：启用） 要求使用复杂（强）密码。该策略强制要求至少使用以下四个字符集中的三个：（1）大写字母；（2）小写字母；（3）数字；（4）非字母数字字符。 密码历史记录值为24，密码最长使用期限为70天，密码最短使用期限为2天，最短密码长度为8个字符，启用了密码复杂度要求。 记录内容包括以下几个属性值对应的“安全设置”：密码必须符合复杂性要求、密码长度最小值、密码最长使用期限、密码最短使用期限、强制密码历史、用可还原的加密来存储密码。 c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 在Windows操作系统中查看： “本地安全策略”“账户策略”“账户锁定策略”。 账户锁定阀值：（建议值：3~5次） 双击右键详细信息窗格中的“账户锁定阀值”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“次”字段中的数字。 账户锁定时间：（建议值：30分钟） 双击右键详细信息窗格中的“账户锁定时间”，打开相应的“安全策略设置”对话框。 对于域级别的策略，选中“定义这个策略设置”。 查看“分钟”字段中的数字。 账户锁定阀值为3~5次，账户锁定时间大于或等于30分钟。 记录内容应包括以下几个属性值：账户锁定阀值和账户锁定时间。 d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 在Windows操作系统中： 使用微软的远程终端服务的远程管理防止，检查方式如下。 确认操作系统必须是Windows Server 2003 SP1或气候版本，客户端操作系统必须是Windows 2000、Windows XP或Windows Server 2003。 终端服务器使用了SSL加密：单击开始，指向所有程序，单击管理工具中的终端服务配置，在弹出的“终端服务配置连接”对话框中，右击右边详细面板中的“RDP-Tcp”，选择“属性”，然后在弹出的“RDP-Tcp属性”对话框上，在“常规”选项卡中查看是否启用了SSL。 RDP客户端使用SSL加密，单击开始菜单，选择“所有程序”中的“远程桌面连接”，然后在“安全”选项卡中选择是否使用基于SSL（TLS 1.0）的服务器身份验证，及是否选择了“要求身份验证”。 终端服务器和客户端都启用了SSL，并要求必须进行身份验证。 确认服务器是否接受远程管理，若服务器接受远程管理，则记录服务器是否启用了远程管理加密措施。若有第三方的远程管理工具，则记录该工具使用的加密方式。还需记录操作系统的版本，终端服务器是否使用了SSL加密，RDP客户端是否使用了SSL加密。 e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 在Windows操作系统中： 因Windows的SID是唯一的，所以只需检查Windows系统用户名是否有重复。 在“管理工具”“计算机管理”“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。 本地用户和组中，没有重复的用户名。 记录重复出现的用户名。因为Windows的用户标识一定满足唯一性，所以，本条一定满足要求。但如果有重复的用户名可记录下来作为一个安全隐患