Windows208测评指导书.docVIP

Windows2008测评指导书 PAGE 第 PAGE 17 页 共 NUMPAGES 17 页 序号 类别 测评项 测评实施 预期结果 说明 1 身份鉴别 a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 1）查看登录是否需要密码 2）命令提示符中输入net user或运行lusrmgr.msc检查用户标识符列表，是否提供了身份标识。 1）用户需要输入用户名和密码才能登录。 1、操作系统的身份标识与鉴别机制采取何种措施实现 2、是否必须输入密码才能登录。 3、登录过程中系统帐号是否进行验证登陆. b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 1）依次展开[开始]-（[控制面板] -）[管理工具]-[本地安全策略]-[账户策略]-[密码策略]，查看以下项的情况：a)复杂性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。 2）执行gpedit.msc中查看是否配置操作系统安全策略。 a)复杂性要求已启用； b)长度最小值至少为8位； c)最长存留期不为0； d)最短存留期不为0； e)强制密码历史至少记住3个密码以上。 1、身份鉴别信息是否如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制。 2、所有的项只要不为默认的0或未启用就可以。 3、操作系统用户口令复杂度是否已经启用 c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 1）依次展开[开始]-（[控制面板] -）[管理工具]-[本地安全策略]-[账户策略]-[账户锁定策略]； 2）查看以下项的情况：a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。 a)设置了“复位账户锁定计数器”时间； b)设置了“账户锁定时间”； c)设置了“账户锁定阈值”。 1、主要服务器操作系统，是否已配置了鉴别失败处理功能。 2、.本地安全策略-帐户策略-帐户锁定策略中的相关项目，查看是否启用了登录失败处理功能。 3、所有的项只要不为默认的0或未启用就可以。 d) 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 1）访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。 1）如果是本地管理或KVM等硬件管理方式，此要求默认满足； 2）如果采用远程管理，则需采用带加密管理的远程管理方式，如启用了加密功能的3389远程管理桌面或修改远程登录端口。 1、操作系统是否采用了远程管理。 2、如采用了远程管理，是否采用了防止鉴别信息在网络传输过程中被窃听的措施。 3、终端服务器是否使用了SSL加密。 4、关注远程管理方式及传输协议。 e) 为操作系统和数据库的不同用户分配不同的用户名，确保用户名具有唯一性； 1）依次展开[开始]-([控制面板]-)[管理工具]-[计算机管理]-[本地用户和组]-[用户]；查看用户列表，询问每个账户的使用情况。 1）无多人共用同一个账号的情况。 1、服务器操作系统帐户列表，管理员用户名分配是否唯一。(EG:应为操作系统的不同用户分配不同的用户名，确保用户名具有唯一性) 2、运行lusrmgr.msc检查用户标识符列表，是否存在相同的用户名。 3、是否存在一个用户使用多个用户名的情况。 4、是否存在过期的或是多余的用户名。 5、Windows Server 2003默认不存在相同用户名的用户，但应防止多人使用同一个账号。 f） 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 1）访谈系统管理员，询问系统除密码外有无其他身份鉴别方法，如令牌、智能卡等。 1）有两种或以上组合的鉴别技术。 1、以远程方式登录主机设备主要服务器操作系统，身份鉴别是否采用两个及两个以上身份鉴别技术的组合来进行身份鉴别。 2、通过本地控制台管理主机设备操作系统时，是否采用一种或一种以上身份鉴别技术。 3、不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。 2 访问控制 a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； 1）文件权限： a)右键点击[开始]，打开[开资源管理器(X)]，[工具]-[文件夹选项]-[查看]中的“使用简单文件共享（推荐）”是否选中； b)右键单击下面两个文件夹的[属性]-[安全]，查看users的权限。 %systemdrive%\program files%systemroot%\system32\config 2）用户权限： a)[开始]-（[控制面板] -）[管理工具]-[计算机管理]-[本地用户和组]-[组] b)双击“名称”列中Administrators用户，查看成员。 e）看注册表：HKEY_LOCAL_MACHINE\S