新版18-SGISLOP-SA29-10 Windows等级保护测评作业指导书(三级).doc

天天开心 控制编号：SGISL/OP-SA 控制编号：SGISL/OP-SA29-10 信息安全等级保护测评作业指导书 Windows主机（三级） 版 号： 第 2 版 修 改 次 数： 第 0 次 生 效 日 期： 2010年01月06日 中国电力科学研究院信息安全实验室 修改页 修订号 控制编号 版号/ 章节号 修改人 修订原因 批准人 批准日期 备注 1 SGISL/OP-SA29-10 毛澍 按公安部要求修订 詹雄 2010.3.8 一、身份鉴别 1．用户身份标识和鉴别 测评项编号 ADT-OS-WIN-01 对应要求 a) 应对登录操作系统的用户进行身份标识和鉴别。 测评项名称 用户身份标识和鉴别 测评分项1：查看登录是否需要口令或其他认证方式 操作步骤 在系统管理员登录系统过程中，查看是否需要输入口令或采用其他认证方式 适用版本 任何版本 实施风险 无 符合性判定 如果需要输入口令或采用其他认证方式，判定结果为符合； 如果不需要任何认证过程，判定结果为不符合。 测评分项2：检查操作系统是否允许开机自动登录 操作步骤 在“开始\运行\”窗口内运行注册表编辑器应用程序“Regedit.exe”，对目录“我的电脑HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon”下的内容进行记录。 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 AutoAdminLogon 的值为0,表示不允许开机自动登录，判定结果为符合； AutoAdminLogon 的值为1,表示允许开机自动登录，判定结果为不符合。 备注 2．账号口令强度 测评项编号 ADT-OS-WIN-02 对应要求 b）操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换。 测评项名称 账号口令强度 测评分项1：检查系统是否存在弱口令 操作步骤 1）尝试典型弱口令，2）参见扫描结果，3）询问管理员口令位数和复杂度 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 系统所有帐户密码都在8 位以上，数字字母混合，判定结果为符合； 系统所有帐户密码都在6 位—8 位，判定结果为基本符合； 系统存在空口令或密码小于6 位的帐户，判定结果为不符合。 测评分项2：检查系统密码策略 操作步骤 开始|程序|管理工具|本地安全设置|安全设置|帐号策略|密码策略：密码必须符合复杂性要求；密码长度最小值；密码最长存留期； 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 “密码必须符合复杂性要求”设置为启用；“密码长度最小值”设置为8 位或8 位以上，“密码最长存留期”设置为42 天以下，判定结果为符合； 否则为不符合。 备注 3．检查帐户锁定策略 测评项编号 ADT-OS-WIN-03 对应要求 c 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。 测评项名称 检查帐户锁定策略 测评分项1：检查帐户锁定策略 操作步骤 开始|程序|管理工具|本地安全设置|安全设置|帐号策略|帐户锁定策略：帐户锁定时间；帐户锁定阀值； 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 “帐户锁定时间”设置为30 分钟或30 分钟以下；“帐户锁定阀值”设置为3次或3 次以上，判定结果为符合；否则为不符合。 4．远程管理方式 测评项编号 ADT-OS-WIN-04 对应要求 d）当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。 测评项名称 远程管理方式 测评分项1：远程管理方式 操作步骤 询问系统管理员，系统采用何种远程管理方式，并记录远程管理软件的版本。 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符合性判定 不允许远程登录或采用ssh 等加密方式，判定结果为符合； 采用FTP、Telnet 等明文校验协议的远程管理方式，判定结果为不符合。 5．用户名具有唯一性 测评项编号 ADT-OS-WIN-05 对应要求 e）应为操作系统的不同用户分配不同的用户名，确保用户名具有唯一性。 测评项名称 用户名具有唯一性 测评分项1：用户名具有唯一性 操作步骤 “管理工具”-“计算机管理”-“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。 适用版本 Windows2000、Windows XP、Windows 2003 实施风险 无 符