文档介绍：该【SGISLOPSAWindows等级保护测评作业指导说明书 】是由【知识徜徉土豆】上传分享，文档一共【21】页，该文档可以免费在线阅读，需要了解更多关于【SGISLOPSAWindows等级保护测评作业指导说明书 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。控制编号：SGISL/OP-SA29-10
信息安全等级保护测评作业指导书
Windows主机（三级）
版 号：
第 2 版
修 改 次 数：
第 0 次
生 效 日 期：
01月06日
中国电力科学研究院信息安全试验室
修改页
修订号
控制编号
版号/
章节号
修改人
修订原因
同意人
同意日期
备注
1
SGISL/OP-SA29-10
毛澍
按公安部要求修订
詹雄
.
一、身份判别
1．用户身份标识和判别
测评项编号
ADT-OS-WIN-01
对应要求
a) 应对登录操作系统用户进行身份标识和判别。
测评项名称
用户身份标识和判别
测评分项1：查看登录是否需要口令或其它认证方法
操作步骤
在系统管理员登录系统过程中，查看是否需要输入口令或采取其它认证方法
适用版本
任何版本
实施风险
无
符合性判定
假如需要输入口令或采取其它认证方法，判定结果为符合；
假如不需要任何认证过程，判定结果为不符合。
测评分项2：检验操作系统是否许可开机自动登录
操作步骤
在“开始\运行\”窗口内运行注册表编辑器应用程序“”，对目录“我电脑HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon”下内容进行统计。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
AutoAdminLogon 值为0,表示不许可开机自动登录，判定结果为符合；
AutoAdminLogon 值为1,表示许可开机自动登录，判定结果为不符合。
备注
2．账号口令强度
测评项编号
ADT-OS-WIN-02
对应要求
b）操作系统和数据库系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换。
测评项名称
账号口令强度
测评分项1：检验系统是否存在弱口令
操作步骤
1）尝试经典弱口令，2）参见扫描结果，3）问询管理员口令位数和复杂度
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
系统全部帐户密码全部在8 位以上，数字字母混合，判定结果为符合；
系统全部帐户密码全部在6 位—8 位，判定结果为基础符合；
系统存在空口令或密码小于6 位帐户，判定结果为不符合。
测评分项2：检验系统密码策略
操作步骤
开始|程序|管理工具|当地安全设置|安全设置|帐号策略|密码策略：密码必需符合复杂性要求；密码长度最小值；密码最长存留期；
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
“密码必需符合复杂性要求”设置为启用；“密码长度最小值”设置为8 位或8 位以上，“密码最长存留期”设置为42 天以下，判定结果为符合；
不然为不符合。
备注
3．检验帐户锁定策略
测评项编号
ADT-OS-WIN-03
对应要求
c 应启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法。
测评项名称
检验帐户锁定策略
测评分项1：检验帐户锁定策略
操作步骤
开始|程序|管理工具|当地安全设置|安全设置|帐号策略|帐户锁定策略：帐户锁定时间；帐户锁定阀值；
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
“帐户锁定时间”设置为30 分钟或30 分钟以下；“帐户锁定阀值”设置为3次或3 次以上，判定结果为符合；不然为不符合。
4．远程管理方法
测评项编号
ADT-OS-WIN-04
对应要求
d）当对服务器进行远程管理时，应采取必需方法，预防判别信息在网络传输过程中被窃听。
测评项名称
远程管理方法
测评分项1：远程管理方法
操作步骤
问询系统管理员，系统采取何种远程管理方法，并统计远程管理软件版本。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
不许可远程登录或采取ssh 等加密方法，判定结果为符合；
采取FTP、Telnet 等明文校验协议远程管理方法，判定结果为不符合。
5．用户名含有唯一性
测评项编号
ADT-OS-WIN-05
对应要求
e）应为操作系统不一样用户分配不一样用户名，确保用户名含有唯一性。
测评项名称
用户名含有唯一性
测评分项1：用户名含有唯一性
操作步骤
“管理工具”->“计算机管理”->“当地用户和组”中“用户”，检验其中用户名是否出现反复。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
无重命名用户，判定结果为符合；
有重命名用户，判定结果为不符合。
6．身份判别
测评项编号
ADT-OS-WIN-06
对应要求
f) 应采取两种或两种以上组合判别技术对管理用户进行身份判别。
测评项名称
身份判别
测评分项1：身份判别
操作步骤
访谈管理员，问询系统是否采取了两种或两种以上身份判别方法。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
采取两种或两中以上加密方法，判定结果为符合；不然判定结果为不符合。
二、访问控制
1．控制用户对资源访问
测评项编号
ADT-OS-WIN-07
对应要求
a) 应启用访问控制功效，依据安全策略控制用户对资源访问。
测评项名称
控制用户对资源访问
测评分项1：是否开启默认共享或Admin 共享
操作步骤
在命令提醒符窗口，实施以下命令：net share
适用版本
任何版本
实施风险
无
符合性判定
没有开启不需要共享，如IPS$、ADMIN$、C$等，判定结果为符合；
开启不需要共享，如IPS$、ADMIN$、C$等，判定结果为不符合。
测评分项2：共享文件访问控制
操作步骤
打开“开始\全部程序\管理工具\计算机管理\系统工具\共享文件夹\共享”窗口，对窗口右侧共享信息栏目进行查看，对存在共享进行统计，并对建立应用共享进行访问权限检验。另外，需对建立应用共享进行应用情况问询，以决定该应用共享建立是否含有实际应用意义。
适用版本
Windows、Windows XP、Windows
实施风险
无10
符合性判定
系统没有开启不需要共享，对于开启共享设置访问权限，许可管理员经过密码访问，判定结果为符合；系统开启不需要共享，判定结果为不符合。
备注
测评分项3：关键数据访问控制
操作步骤
首优异入到提供给用服务文件、目录，对该文件、目录点击“右键\属性”，打开属性页“安全”选项卡，对用户“Users、EveryOne”权限进行统计。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
关键文件、目录只许可管理员访问经过密码访问，判定结果为符合；
对关键文件、目录访问没有限制，判定结果为不符合。
备注
2．用户权限检验
测评项编号
ADT-OS-WIN-08
对应要求
b）应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限。
测评项名称
用户权限检验
测评分项1：用户权限检验
操作步骤
开始\全部程序\管理工具\计算机管理\系统工具\当地用户和组\用户（组）”窗口，对窗口右侧用户（组）信息栏目进行查看，对存在关键用户及用户组进行统计,并对其拥有权限进行查看。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
各帐户依据最小权限分配标准，帐户权限分配合理，判定结果为符合；
帐户没有最小权限分配标准，判定结果为不符合。
3．用户权限分离
测评项编号
ADT-OS-WIN-09
对应要求
c）应实现操作系统和数据库系统特权用户权限分离。
测评项名称
用户权限分离
测评分项1：用户权限分离
操作步骤
结合系统管理员组成情况，判定是否实现了该项要求。对安装了数据库操作系统，检验操作系统中数据库管理账号权限。
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
使用数据库帐户只能登录数据库，不能登录操作系统，判定结果为符合；
数据库帐户能够登录操作系统，判定结果为不符合。
4．账户权限配置
测评项编号
ADT-OS-WIN-10
对应要求
d）应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。
测评项名称
账户权限配置
测评分项1：administrator 是否更名
操作步骤
实施以下命令：net user
适用版本
任何版本
实施风险
无
符合性判定
系统不存在administration 帐户，判定结果为符合；
系统存在administration 帐户，且为管理员帐户，判定结果为不符合。
测评分项2：检验系统Guest 帐号
操作步骤
实施以下命令：net user guest
适用版本
Windows、Windows XP、Windows
实施风险
无
符合性判定
系统中guest 帐户被禁用，判定结果为符合；
系统存在guest 帐户且没有禁用，判定结果为不符合。
备注
5．系统是否存在多出帐号
测评项编号
ADT-OS-WIN-11
对应要求
e) 应立即删除多出、过期帐户，避免共享帐户存在。
测评项名称
系统是否存在多出帐号
测评分项1：检验系统是否存在多出帐号
操作步骤
实施以下命令：net user
访谈系统管理员，是否存在无用多出帐号。
打开“开始\全部程序\管理工具\计算机管理\系统工具\当地用户和组\用户（组）”窗口，对窗口右侧用户（组）信息栏目进行查看，对存在关键用户及用户组进行统计,并对其拥有权限进行查看。另外，对于系统内新建用户（组）需进行其存在意义问询，以决定该用户（组）是否含有存在意义。
适用版本
任何版本
实施风险
无
符合性判定
系统不存在无用帐户，判定结果为符合；
系统中存在无用帐户，判定结果为不符合。
6．资源敏感标识设置检验
测评项编号
ADT-OS-WIN-12
对应要求
f)应对关键信息资源设置敏感标识。
测评项名称
资源敏感标识设置检验
测评分项1：资源敏感标识设置检验
操作步骤
问询管理员系统是否对关键信息资源设置了敏感标识。
适用版本
任何版本
实施风险
无
符合性判定
对关键信息资源设置了敏感标识，判定结果为符合；
对关键信息资源没有设置敏感标识，判定结果为不符合。
7．有敏感标识资源访问
测评项编号
ADT-OS-WIN-13
对应要求
g)应依据安全策略严格控制用户对有敏感标识信息资源操作。
测评项名称
有敏感标识资源访问
测评分项1：有敏感标识资源访问