《Windows2023年测评指导书模板》由会员分享,可在线阅读,更多相关《Windows2023年测评指导书模板(17页珍藏版)》请在金锄头文库上搜索。
1、. WORD.格式整理.序号类别测评项测评实施预期结果说明.专业.学问.共享.a) 应对登录操作系统和数据库系统的用户进展身份标识和鉴别;b) 操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点,口令应有简洁度要求并定期更换;身份1鉴别c) 应启用登录失败处理功能,可实行完毕会话、限制非法登录次数和自动退出等措施;1查看登录是否需要密码2命令提示符中输入 net user 或运行lusrmgr.msc 检查用户标识符列表,是否供给了身份标识。1) 依次开放开头-把握面板 - 治理工具-本地安全策略- 账户策略-密码策略,查看以下项的状况:a)简洁性要求、b)长度最小值、c)最长存留
2、期、d)最短存留期、e)强 制密码历史。2) 执行 gpedit.msc 中查看是否配置操作系统安全策略。1依次开放开头-把握面板 - 治理工具-本地安全策略-账户策略-账户锁定策略; 2查看以下项的状况:a)复位账户锁定计数器、b)账户锁定时间和 c)账户锁定阈值。1用户需要输入用户名和密码才能登录。a) 简洁性要求已启用;b) 长度最小值至少为 8 位;c) 最长存留期不为 0;d) 最短存留期不为 0;e) 强制密码历史至少记住 3 个密码以上。a) 设置了“复位账户锁定计数器” 时间;b) 设置了“账户锁定时间”; c)设置了“账户锁定阈值”。1、操作系统的身份标识与鉴别机制实行何种措
3、施实现2、是否必需输入密码才能登录。3、登录过程中系统帐号是否进展验证登陆.1、身份鉴别信息是否如对用户登录口令的最小 长度、简洁度和更换周 期进展了要求和限制。 2、全部的项只要不为默认的 0 或未启用就可以。3、操作系统用户口令简洁度是否已经启用1、主要效劳器操作系统,是否已配置了鉴别失败处理功能。2、.本地安全策略-帐户策略-帐户锁定策略中的相关工程,查看是否启用了登录失败处理功能。3、全部的项只要不为默认的 0 或未启用就可以。d) 当对效劳器进展远程治理时,应实行必要措施,防止鉴别信息在网络传输过程中被窃听;1访谈治理员在进展远程治理时如何防止鉴别信息在网络传输过程中被窃听。1假设是
4、本地治理或KVM 等硬件治理方式,此要求默认满足; 2假设承受远程治理,则需承受带加密治理的远程治理方式,如启用了加密功能的 3389 远程治理桌面或修改远程登录端口。1、操作系统是否承受了远程治理。2、如承受了远程治理, 是否承受了防止鉴别信息在网络传输过程中被窃听的措施。3、终端效劳器是否使用了 SSL 加密。4、关注远程治理方式及传输协议。e) 为操作系统和数据库的不同用户安排不同的用户名,确保用户名具有唯一性;1 依次展 开 开 始-( 把握 面 1无多人共用同一个账号的情板 -) 管 理 工 具 - 计 算 机 管 况。理-本地用户和组-用户;查看用户列表,询问每个账户的使用状况。1
5、、效劳器操作系统帐户列表,治理员用户名安排是否唯一。(EG:应为操作系统的不同用户安排不同的用户名,确保用户名具有唯一性)2、运行lusrmgr.msc 检查用户标识符列表,是否存在一样的用户名。 3、是否存在一个用户使用多个用户名的状况。 4、是否存在过期的或是多余的用户名。5、Windows Server 2023 默认不存在一样用户名的用户,但应防止多人f 应承受两种或两种以上组合的鉴别技术对治理用户进展身份鉴 别。2 访问 a) 应启用访问把握功能,依据安全把握 策略把握用户对资源的访问;1访谈系统治理员,询问系统除密码外有无其他身份鉴别方法,如令牌、智能卡等。1文件权限:a) 右键点
6、击开头,翻开开资源治理器(X),工具-文件夹选项-查看中的“使用简洁文件共享推举”是否选中;b) 右键单击下面两个文件夹的 属性-安全,查看users 的权限。%systemdrive%program files%systemroot%system32config 2用户权限:1有两种或以上组合的鉴别技术。1a未选中“使用简洁文件共享推举”选项。bprogram files 文件夹的users 权限只允许“读取和运行”、“列出文件夹名目”、“读取”三种权 限;config 文件夹的 users 权限只允许“列出文件夹名目”权限; 2一般用户、应用账户等非治理员账户不属于治理员组。使用同一个账号
7、。1、以远程方式登录主机设备主要效劳器操作系统,身份鉴别是否承受两个及两个以上身份鉴别技术的组合来进展身份鉴别。2、通过本地把握台治理主机设备操作系统时, 是否承受一种或一种以上身份鉴别技术。3、不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。1、效劳器操作系统的是否配置了安全策略。2、安全策略是否对重要文件的访问权限进展了限制。3、是否对系统不需要的效劳、共享路径等进展了禁用或删除。4、效劳器操作系统的权限设置状况,是否依据b) 应依据治理用户的角色安排权限,实现治理用户的权限分别,仅授予治理用户所需的最小权限;a)开头-把握面板 -治理工具- 计算机治理- 本地用
8、户和组-组b) 双击“名称”列中 Administrators用户,查看成员。e 看 注 册 表 : HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetControlLsarestrictan onymous 的值,restrictanonymous 的值是否为 01) 访谈并查看治理用户及角色的安排状况。2) “治理工具”-“本地安全策略”- “安全设置”-“本地策略”中的“用户权利指派”是否为不同的用户指派了不同的权限。1系统治理员、安全治理员、安全审计员由不同的人员和用户担当。安全策略对用户权限进展了限制。5、选%systemdrive%wind ows
9、system、%systemr ootsystem32config、等相应的文件夹,右键选择“属性”“安全”,查看 users 组和administrators 组的权限设置,是否为不同级别的用户组,赐予不同的权限,如完全把握、修改、读取及运行、列出文件夹名目、读取、写入权限不同。6、在命令行模式下输入net share,查看是否存在共享文件。1、是否依据治理用户的不同角色安排了权限。 2、主要数据库效劳器的数据库治理员与操作系统治理员是否由不同治理员担当。c) 应实现操作系统和数据库系统特权用户的权限分别;1访谈并查看治理用户及角色的安排状况。1操作系统除具有治理员账户外,至少还有特地的审计
10、治理员账户,且他们的权限互斥。3、指派的权限是否为治理用户的最小权限。4、是否只在备份文件和名目,创立记号对象, 创立页面文件,从网络访问此计算机,调试程序和更改系统时间做设置。5、至少应当有系统治理员和安全治理员,安全审计员在有第三方审计工具时可以不要求。验证操作:依据 3 安全审计-f-1)的操作,查看“治理审核和安全用户”中的用户组是否只 有安全审计员。 1操作系统的特权账户应包括治理员、安全员 和审计员。至少应当有 治理员和审计员,并且 他们的权限是互斥关系 的。 2应保证操作系统治理员和审计员不为同一个 账号,且不为同一个人。d) 应严格限制默认账户的访问权限,重命名系统默认账户,并
11、修改这些账户的默认口令;1 依次 开放 开 始-( 把握 面板 -) 管 理 工 具 - 计 算 机 管理-本地用户和组-用户;2 查 看 用 户 列 表 中 是 否 有SUPPORT_388945a0、GUEST 账户,假设有这些账户, 则右键点击该 账户-属性,查看账户是否停用。3“治理工具” -“计算机治理” - “系统工具”-“本地用户和组”中的“ 用户” 查看查看默认用户名Administrator 是否重命名。1用户列表中没知名为 GUEST、SUPPORT_388945a0 的账户,或已经禁用。3) 效劳器操作系统,特权用户的权限是否进展分别。 4效劳器操作系统权限划分分为哪些职
12、位 5效劳器操作系统各个特权用户,是否承受最小授权原则。 6数据库治理员与操作系统治理员是否由不同治理员担当。1、效劳器操作系统,匿名/默认用户的访问权 限是否已被禁用或者严格限制。(EG:系统无法修改访问权限的特别默认账户,可不修改访问权限;系统无法重命名 的特别默认账户,可不重命名。)2、账户的默认口令是否被修改。e) 应准时删除多余的、过期的账户,避开共享账户的存在;1) 依次开放 开头-(把握面板 1无多余账户、过期账户;-)治理工具-计算机治理-本 2无多人共享账户。地用户和组-用户,查看是否存在1、效劳器操作系统,是否删除了系统中多余的、过期的以及共享的f) 应对重要信息资源设置敏
13、感标记;过期账户;依据用户账户列表询问主机治理员,每个账户是否为合法用户; 2依据用户账户列表询问主机治理员,是否存在多人共用的账户。1询问系统治理员,是否实现了该功能,具体措施是什么。1假设没有实行任何措施,则该项要求为不符合。帐户。2、询问是否存在多余的帐户。3、关注是否未清理已离职员工的账户。1、效劳器操作系统,是否对重要信息资源设置敏感标记。2、询问治理员是否对重要信息资源设置敏感标记。g) 应依据安全策略严格把握用户对 1询问系统治理员,是否实现了该功有敏感标记重要信息资源的操作。 能,具体措施是什么。1依次开放开头-(把握面板 -)1) 假设没有实行任何措施,则该项要求为不符合。1、是否依据安全策略严格把握用户对有敏感标记重
