中国电力科学研究院信息安全实验室 Windows等级保护测评作业指导书(三三) 控制编号:SGISL/OP-SA29-10 第 3 页 共 22 页 第 2 版 第 0 次修订 发布日期:2010年01月06日
AutoAdminLogon 的值为0,表示不允许开机自动登录,判定结果为符合; 符合性判定 AutoAdminLogon 的值为1,表示允许开机自动登录,判定结果为不符合。 备注 2.账号口令强度 测评项编号 ADT-OS-WIN-02 测评项名称 账号口令强度 测评分项1:检查系统是否存在弱口令 1)尝试典型弱口令,2)参见扫描结果,3)询问管理员口令位数和复杂度 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 对应要求 b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 系统所有帐户密码都在8 位以上,数字字母混合,判定结果为符合; 符合性判定 系统所有帐户密码都在6 位—8 位,判定结果为基本符合; 系统存在空口令或密码小于6 位的帐户,判定结果为不符合。 测评分项2:检查系统密码策略 操作步骤 开始|程序|管理工具|本地安全设置|安全设置|帐号策略|密码策略:密码必须符合复杂性要求;密码长度最小值;密码最长存留期; 中国电力科学研究院信息安全实验室 Windows等级保护测评作业指导书(三三) 控制编号:SGISL/OP-SA29-10 第 4 页 共 22 页 第 2 版 第 0 次修订 发布日期:2010年01月06日
适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 “密码必须符合复杂性要求”设置为启用;“密码长度最小值”设置为8 “密码最长存留期”设置为42 天以下,判定结果为符合; 符合性判定 位或8 位以上,否则为不符合。 备注 3.检查帐户锁定策略 测评项编号 ADT-OS-WIN-03 对应要求 c 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。 测评项名称 检查帐户锁定策略 测评分项1:检查帐户锁定策略 开始|程序|管理工具|本地安全设置|安全设置|帐号策略|帐户锁定策略:帐户锁定时间;帐户锁定阀值; 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 符合性判定 “帐户锁定时间”设置为30 分钟或30 分钟以下;“帐户锁定阀值”设置为3次或3 次以上,判定结果为符合;否则为不符合。 4.远程管理方式 测评项编号 ADT-OS-WIN-04 测评项名称 远程管理方式 对应要求 d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。 中国电力科学研究院信息安全实验室 Windows等级保护测评作业指导书(三三) 控制编号:SGISL/OP-SA29-10 第 5 页 共 22 页 第 2 版 第 0 次修订 发布日期:2010年01月06日
测评分项1:远程管理方式 询问系统管理员,系统采用何种远程管理方式,并记录远程管理软件的版本。 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 不允许远程登录或采用ssh 等加密方式,判定结果为符合; 符合性判定 采用FTP、Telnet 等明文校验协议的远程管理方式,判定结果为不符合。 5.用户名具有唯一性 测评项编号 ADT-OS-WIN-05 对应要求 e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。 测评项名称 用户名具有唯一性 测评分项1:用户名具有唯一性 “管理工具”->“计算机管理”->“本地用户和组”中的“用户”,检查其中的用户名是否出现重复。 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 符合性判定 无重命名用户,判定结果为符合; 有重命名用户,判定结果为不符合。 6.身份鉴别
测评项编号 ADT-OS-WIN-06 测评项名称 身份鉴别 测评分项1:身份鉴别 对应要求 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 中国电力科学研究院信息安全实验室 Windows等级保护测评作业指导书(三三) 控制编号:SGISL/OP-SA29-10 第 6 页 共 22 页 第 2 版 第 0 次修订 发布日期:2010年01月06日
访谈管理员,询问系统是否采用了两种或两种以上的身份鉴别方式。 操作步骤 适用版本 实施风险 Windows2000、Windows XP、Windows 2003 无 符合性判定 采用两种或两中以上加密方式,判定结果为符合;否则判定结果为不符合。 二、访问控制
1.控制用户对资源的访问 测评项编号 ADT-OS-WIN-07 对应要求 a) 应启用访问控制功能,依据安全策略控制用户对资源的访问。 测评项名称 控制用户对资源的访问 测评分项1:是否开启默认共享或Admin 共享 在命令提示符窗口,执行以下命令:net share 操作步骤 适用版本 实施风险 任何版本 无 没有开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为符合; 符合性判定 开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为不符合。 测评分项2:共享文件的访问控制 打开“开始\\所有程序\\管理工具\\计算机管理\\系统工具\\共享文件夹\\共享”窗口,对窗口右侧的共享信息栏目进行查看,对存在的共享进行记录,并对建立的应用共享进行访问权限的检查。此外,需对建立的应用共享进行应用状况的询问,以决定该应用共享的建立是否具有实际的应用意义。 操作步骤