三级windows系统核查表.doc

（三级）Windows操作系统核查表 序号 类别 测评内容 结果记录 符合情况 1 身份鉴别 a) 应对登录操作系统和数据库管理系统的用户进行身份标识和鉴别。 管理员为系统设置了密码，在进入系统时管理员输入了密码。 2 b) 操作系统和数据库管理系统用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换 通过查看本地安全设置中的密码策略，启用密码符合复杂度要求，长度最小值8，最长使用70天，最短使用期限2天，强制记住密码24个，用可还原的加密储存密码已被禁用。 3 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 在账户锁定策略中，设置账户锁定阈值4次，账户锁定时间30分钟，复位锁定时间计时器30分钟。 4 d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 服务器接受远程管理，服务器没有启用远程管理加密措施。没有使用第三方管理工具。终端服务器没有使用SSL加密。 5 e) 应为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性 通过访谈管理员得知，不同用户分配了不同的用户名。用户名唯一。 6 f)应采用两种或两种以上的组合的鉴别技术对管理用户进行身份鉴别 只使用了用户名/口令方式管理用户 7 访问控制 对系统中system32,等重要文件，system、administrator组具有全部权限，user组具有读取和运行、列出文件夹目录、读取权限，everyone组没有任何权限。 8 b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限 系统有，Administrator，everyone administrator，Local service 等角色。系统被授予的权限已经是用户所需的最小权限 9 c) 应实现操作系统和数据库系统特权用户的权限分离 访谈管理员得知。操作系统管理员和数据库管理员为同一人。 10 d) 应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令 访谈操作系统管理员，修改了默认口令。Guest账户被禁用 11 e) 应及时删除多余的、过期的帐户，避免共享帐户的存在 通过访谈管理员得知，系统暂时不存在多余，过期账户，也没有共享账户的存在 12 f) 应对重要信息资源设置敏感标记 没有对重要信息资源设置敏感标记 13 g) 应依据安全策略严格控制用户对有敏感标记重要信息资源的操作 14 安全审计 a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户 通过查找本地安全设置中本地策略中的审核策略，审核登录事件、审核账户登录事件为成功。其他为无审核。 15 b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 审核内容中，审核账户登录事件、目录服务访问、账户管理、登录事件、对象访问为成功，失败。审核策略更改、系统事件为成功 16 c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等 同过事件查看器，查看其安全性，审计记录包括类型、日期、时间、来源、分类、事件、用户、计算机。 17 d) 应能够根据记录数据进行分析，并生成审计报表 系统自动将日志发送给审计服务器。没有使用第三方审计工具。 18 e) 应保护审计进程，避免受到未预期的中断 通过访问管理员得知，管理员权限设置合理，不存在第三方对审计过程的监听。 19 f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等 访谈管理员，没有对审计记录、日志进行备份。 日志只有administrator用户特殊权限。 20 剩余信息保护 a) 应保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中 本地安全设置中本地策略的安全选项中，交互登录：不显示上次的用户名已启用。 可被缓存的前次登录个数10个。 21 b) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除 本地安全设置中本地策略的安全选项中，关机清除虚拟内存页面文件已启用。 22 入侵防范 a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵源IP，攻击的类型、目的、时间，并在发生严重入侵时间时提供报警 通过访谈管理员得知， 管理员经常对系统日志进行查看分析。主机带有自带的windows防火墙，不具有报警功能。没有安装第三方入侵检测系统。 23 b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施