63.网络安全等级保护测评2.0作业指导书（Windows）V1.0.xlsxVIP

序号 测评指标 控制项 检查对象 检查方法 推荐值 判断标准

1 身份鉴别 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； Windows 1、在运行中输入rundll32netplwiz.dll,UsersRunDll，查看是否勾选了“要使用本机，用户必须输入用户名和密码”；

2、渗透测试主要服务器，探测系统是否存在身份认证绕过的情况；

3、查看控制面板－管理工具－本地安全策略－帐户策略－密码策略；

4、查看控制面板－管理工具－计算机管理－系统工具－本地用户和组－用户-右键-属性-是否勾选“密码永不过期”；

5、渗透测试主要服务器，进行弱口令扫描和弱口令暴力破解，探测主机操作系统是否存在弱口令。

1)勾选了“要使用本机，用户必须输入用户名和密码”；

2)不存在身份认证被绕过的情况；

3)启用了密码必须符合复杂性要求，密码长度最小值8字符，密码最短使用期限2天，密码最长使用期限42天，强制密码历史5；

4)所有用户均未勾选“密码永不过期”；

5）系统不存在弱口令账户。 符合：如果1）-5）均为肯定，则符合；

部分符合：1）符合，2)-5）部分符合，则部分符合；

不符合：1)-5)均不符合。

2 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； Windows 1)查看控制面板－管理工具－本地安全策略－帐户策略－帐户锁定策略；

2)应核查是否配置并启用了登录连接超时及自动退出功能。 1)账户锁定时间30分钟，锁定阈值无效登录次数5次，重置账户锁定计数器30分钟；

2)配置并启用了登录连接超时（30分钟以内）及自动退出功能。 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

3 c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； Windows 1)查看控制面板－管理工具－服务；

2)查看控制面板－管理工具－服务；

3)询问是否采取了其它安全可靠的远程管理方式；

4)对远程链接时的管理数据包进行嗅探，查看传输数据是否及进行了加密。 1、禁用telnet服务；

2、采取3389远程桌面方式管理；

3、采取了加密鉴别信息的方式进行远程管理。 符合：1符合，2或3符合时结果为符合；

部分符合：2或3符合，1不符合，结果判定为部分符合；

不符合：其他为不符合。

4 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 Windows 1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；

2)应核查其中一种鉴别技术是否使用密码技术来实现 1)采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；2)其中一种鉴别技术使用密码技术来实现 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

5 访问控制 a)应对登录的用户分配账户和权限； Windows 1)应核查是否为用户分配了账户和权限及相关设置情况；

2)应核查是否已禁用或限制匿名、默认账户的访问权限。 1)为用户分配了账户和权限，权限设置合理；

2)已禁用或限制Guest账户的访问权限。 符合：如果1）-2）均为肯定，则符合；

部分符合：1）-2）部分符合，则部分符合；

不符合：1)-2)均不符合。

6 b)应重命名或删除默认账户，修改默认账户的默认口令； Windows 查看控制面板－管理工具－本地安全策略－安全选项：

1、“帐户：重命名来宾帐户”；

2、“帐户：重命名系统管理员帐户”。 1)将系统管理员帐户Administrator重命名，并修改口令；

2)将来宾帐户Guest重命名，并修改口令或禁用。 符合：如果1）或2）均符合，则符合；

不符合：1)-2)均不符合。

7 c)应及时删除或停用多余的、过期的账户，避免共享账户的存在 Windows 查看控制面板－管理工具－计算机管理－系统工具－本地用户和组－用户。 1）禁用Guest帐户，删除其他不需要的帐户；

2）现存账户均有所属人员。 符合：如果1）2）符合，则符合；

不符合：1)2）不符合。

8 d)应授予管理用户所需的最小权限，实现管理用户的权限分离； Windows 1)应核查是否进行角色划分；

2)应核查管理用户的权限是否已进行分离；

3)应核查管理用户权限是否为其工作任务所需的最小