信息安全等级保护测评作业指导书Windows主机(三级)版号:第2版修改次数:第0次生效日期:2010年01月06日中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第1页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日修改页修订号控制编号版号/章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA29-10毛澍按公安部要求修订詹雄2010.3.8中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第2页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日一、身份鉴别1.用户身份标识和鉴别测评项编号ADT-OS-WIN-01对应要求a)应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1:查看登录是否需要口令或其他认证方式操作步骤在系统管理员登录系统过程中,查看是否需要输入口令或采用其他认证方式适用版本任何版本实施风险无符合性判定如果需要输入口令或采用其他认证方式,判定结果为符合;如果不需要任何认证过程,判定结果为不符合。测评分项2:检查操作系统是否允许开机自动登录操作步骤在“开始\运行\”窗口内运行注册表编辑器应用程序“Regedit.exe”,对目录“我的电脑HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon”下的内容进行记录。适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定AutoAdminLogon的值为0,表示不允许开机自动登录,判定结果为符合;AutoAdminLogon的值为1,表示允许开机自动登录,判定结果为不符中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第3页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日合。备注2.账号口令强度测评项编号ADT-OS-WIN-02对应要求b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。测评项名称账号口令强度测评分项1:检查系统是否存在弱口令操作步骤1)尝试典型弱口令,2)参见扫描结果,3)询问管理员口令位数和复杂度适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定系统所有帐户密码都在8位以上,数字字母混合,判定结果为符合;系统所有帐户密码都在6位—8位,判定结果为基本符合;系统存在空口令或密码小于6位的帐户,判定结果为不符合。测评分项2:检查系统密码策略操作步骤开始|程序|管理工具|本地安全设置|安全设置|帐号策略|密码策略:密码必须符合复杂性要求;密码长度最小值;密码最长存留期;适用版本Windows2000、WindowsXP、Windows2003中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第4页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日实施风险无符合性判定“密码必须符合复杂性要求”设置为启用;“密码长度最小值”设置为8位或8位以上,“密码最长存留期”设置为42天以下,判定结果为符合;否则为不符合。备注3.检查帐户锁定策略测评项编号ADT-OS-WIN-03对应要求c应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。测评项名称检查帐户锁定策略测评分项1:检查帐户锁定策略操作步骤开始|程序|管理工具|本地安全设置|安全设置|帐号策略|帐户锁定策略:帐户锁定时间;帐户锁定阀值;适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定“帐户锁定时间”设置为30分钟或30分钟以下;“帐户锁定阀值”设置为3次或3次以上,判定结果为符合;否则为不符合。4.远程管理方式测评项编号ADT-OS-WIN-04对应要求d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。测评项名称远程管理方式测评分项1:远程管理方式操作步骤询问系统管理员,系统采用何种远程管理方式,并记录远程管理软件的版本。中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第5页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定不允许远程登录或采用ssh等加密方式,判定结果为符合;采用FTP、Telnet等明文校验协议的远程管理方式,判定结果为不符合。5.用户名具有唯一性测评项编号ADT-OS-WIN-05对应要求e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。测评项名称用户名具有唯一性测评分项1:用户名具有唯一性操作步骤“管理工具”-“计算机管理”-“本地用户和组”中的“用户”,检查其中的用户名是否出现重复。适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定无重命名用户,判定结果为符合;有重命名用户,判定结果为不符合。6.身份鉴别测评项编号ADT-OS-WIN-06对应要求f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。测评项名称身份鉴别测评分项1:身份鉴别操作步骤访谈管理员,询问系统是否采用了两种或两种以上的身份鉴别方式。适用版本Windows2000、WindowsXP、Windows2003实施风险无中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第6页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日符合性判定采用两种或两中以上加密方式,判定结果为符合;否则判定结果为不符合。二、访问控制1.控制用户对资源的访问测评项编号ADT-OS-WIN-07对应要求a)应启用访问控制功能,依据安全策略控制用户对资源的访问。测评项名称控制用户对资源的访问测评分项1:是否开启默认共享或Admin共享操作步骤在命令提示符窗口,执行以下命令:netshare适用版本任何版本实施风险无符合性判定没有开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为符合;开启不需要的共享,如IPS$、ADMIN$、C$等,判定结果为不符合。测评分项2:共享文件的访问控制操作步骤打开“开始\所有程序\管理工具\计算机管理\系统工具\共享文件夹\共享”窗口,对窗口右侧的共享信息栏目进行查看,对存在的共享进行记录,并对建立的应用共享进行访问权限的检查。此外,需对建立的应用共享进行应用状况的询问,以决定该应用共享的建立是否具有实际的应用意义。适用版本Windows2000、WindowsXP、Windows2003实施风险无10中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第7页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日符合性判定系统没有开启不需要的共享,对于开启的共享设置访问权限,允许管理员通过密码访问,判定结果为符合;系统开启不需要的共享,判定结果为不符合。备注测评分项3:重要数据的访问控制操作步骤首先进入到提供应用服务的文件、目录,对该文件、目录点击“右键\属性”,打开属性页的“安全”选项卡,对用户“Users、EveryOne”的权限进行记录。适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定重要的文件、目录只允许管理员访问通过密码访问,判定结果为符合;对重要的文件、目录的访问没有限制,判定结果为不符合。备注2.用户权限检查测评项编号ADT-OS-WIN-08对应要求b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。测评项名称用户权限检查测评分项1:用户权限检查操作步骤开始\所有程序\管理工具\计算机管理\系统工具\本地用户和组\用户(组)”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第8页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定各帐户根据最小权限分配原则,帐户的权限分配合理,判定结果为符合;帐户没有最小权限分配原则,判定结果为不符合。3.用户的权限分离测评项编号ADT-OS-WIN-09对应要求c)应实现操作系统和数据库系统特权用户的权限分离。测评项名称用户的权限分离测评分项1:用户的权限分离操作步骤结合系统管理员的组成情况,判定是否实现了该项要求。对安装了数据库的操作系统,检查操作系统中的数据库管理账号的权限。适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定使用的数据库帐户只能登录数据库,不能登录操作系统,判定结果为符合;数据库帐户可以登录操作系统,判定结果为不符合。4.账户权限配置测评项编号ADT-OS-WIN-10对应要求d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。测评项名称账户权限配置测评分项1:administrator是否更名操作步骤执行以下命令:netuser适用版本任何版本中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第9页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日实施风险无符合性判定系统不存在administration帐户,判定结果为符合;系统存在administration帐户,且为管理员帐户,判定结果为不符合。测评分项2:检查系统Guest帐号操作步骤执行以下命令:netuserguest适用版本Windows2000、WindowsXP、Windows2003实施风险无符合性判定系统中guest帐户被禁用,判定结果为符合;系统存在guest帐户且没有禁用,判定结果为不符合。备注5.系统是否存在多余帐号测评项编号ADT-OS-WIN-11对应要求e)应及时删除多余的、过期的帐户,避免共享帐户的存在。测评项名称系统是否存在多余帐号测评分项1:检查系统是否存在多余帐号操作步骤执行以下命令:netuser访谈系统管理员,是否存在无用的多余帐号。打开“开始\所有程序\管理工具\计算机管理\系统工具\本地用户和组\用户(组)”窗口,对窗口右侧的用户(组)信息栏目进行查看,对存在的关键用户及用户组进行记录,并对其拥有的权限进行查看。此外,对于系统内新建的用户(组)需进行其存在意义的询问,以决定该用户(组)是否具有存在意义。适用版本任何版本中国电力科学研究院信息安全实验室控制编号:SGISL/OP-SA29-10第10页共21页Windows等级保护测评作业指导书(三三)第2版第0次修订发布日期:2010年01月06日实施风险无符合性判定系统不存在无用的帐户,判定结果为符合;系统中存在无用的帐户,判定结果为不符合。6.资源敏感标记设置检查测评项编号ADT-OS-WIN-12对应要求f)应对重要信息资源设置敏感标记。测评项名称资源敏感标记设置检查测评分项1:资源敏感标记设置检查操作步骤询问管理员系统是否对重要信息资源设置了敏感标记。适用版本任何版本实施风险无符合性判定对重要信息资源设置了敏感标记,判定结果为符合;对重要信息资源没有设置敏感标记,判定结