SGISLOPSAWindows等级保护测评作业指导说明书.doc

资源描述

控制编号：SGISL/OP-SA29-10 信息安全等级保护测评作业指导书 Windows主机（三级）版号：第 2 版修改次数：第 0 次生效日期： 01月06日中国电力科学研究院信息安全试验室修改页修订号控制编号版号/ 章节号修改人修订原因同意人同意日期备注 1 SGISL/OP-SA29-10 毛澍按公安部要求修订詹雄 .3.8 一、身份判别 1．用户身份标识和判别测评项编号 ADT-OS-WIN-01 对应要求 a) 应对登录操作系统用户进行身份标识和判别。测评项名称用户身份标识和判别测评分项1：查看登录是否需要口令或其它认证方法操作步骤在系统管理员登录系统过程中，查看是否需要输入口令或采取其它认证方法适用版本任何版本实施风险无符合性判定假如需要输入口令或采取其它认证方法，判定结果为符合；假如不需要任何认证过程，判定结果为不符合。测评分项2：检验操作系统是否许可开机自动登录操作步骤在“开始\运行\”窗口内运行注册表编辑器应用程序“Regedit.exe”，对目录“我电脑HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon”下内容进行统计。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定 AutoAdminLogon 值为0,表示不许可开机自动登录，判定结果为符合； AutoAdminLogon 值为1,表示许可开机自动登录，判定结果为不符合。备注 2．账号口令强度测评项编号 ADT-OS-WIN-02 对应要求 b）操作系统和数据库系统管理用户身份标识应含有不易被冒用特点，口令应有复杂度要求并定时更换。测评项名称账号口令强度测评分项1：检验系统是否存在弱口令操作步骤 1）尝试经典弱口令，2）参见扫描结果，3）问询管理员口令位数和复杂度适用版本 Windows、Windows XP、Windows 实施风险无符合性判定系统全部帐户密码全部在8 位以上，数字字母混合，判定结果为符合；系统全部帐户密码全部在6 位—8 位，判定结果为基础符合；系统存在空口令或密码小于6 位帐户，判定结果为不符合。测评分项2：检验系统密码策略操作步骤开始|程序|管理工具|当地安全设置|安全设置|帐号策略|密码策略：密码必需符合复杂性要求；密码长度最小值；密码最长存留期；适用版本 Windows、Windows XP、Windows 实施风险无符合性判定 “密码必需符合复杂性要求”设置为启用；“密码长度最小值”设置为8 位或8 位以上，“密码最长存留期”设置为42 天以下，判定结果为符合；不然为不符合。备注 3．检验帐户锁定策略测评项编号 ADT-OS-WIN-03 对应要求 c 应启用登录失败处理功效，可采取结束会话、限制非法登录次数和自动退出等方法。测评项名称检验帐户锁定策略测评分项1：检验帐户锁定策略操作步骤开始|程序|管理工具|当地安全设置|安全设置|帐号策略|帐户锁定策略：帐户锁定时间；帐户锁定阀值；适用版本 Windows、Windows XP、Windows 实施风险无符合性判定 “帐户锁定时间”设置为30 分钟或30 分钟以下；“帐户锁定阀值”设置为3次或3 次以上，判定结果为符合；不然为不符合。 4．远程管理方法测评项编号 ADT-OS-WIN-04 对应要求 d）当对服务器进行远程管理时，应采取必需方法，预防判别信息在网络传输过程中被窃听。测评项名称远程管理方法测评分项1：远程管理方法操作步骤问询系统管理员，系统采取何种远程管理方法，并统计远程管理软件版本。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定不许可远程登录或采取ssh 等加密方法，判定结果为符合；采取FTP、Telnet 等明文校验协议远程管理方法，判定结果为不符合。 5．用户名含有唯一性测评项编号 ADT-OS-WIN-05 对应要求 e）应为操作系统不一样用户分配不一样用户名，确保用户名含有唯一性。测评项名称用户名含有唯一性测评分项1：用户名含有唯一性操作步骤 “管理工具”->“计算机管理”->“当地用户和组”中“用户”，检验其中用户名是否出现反复。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定无重命名用户，判定结果为符合；有重命名用户，判定结果为不符合。 6．身份判别测评项编号 ADT-OS-WIN-06 对应要求 f) 应采取两种或两种以上组合判别技术对管理用户进行身份判别。测评项名称身份判别测评分项1：身份判别操作步骤访谈管理员，问询系统是否采取了两种或两种以上身份判别方法。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定采取两种或两中以上加密方法，判定结果为符合；不然判定结果为不符合。二、访问控制 1．控制用户对资源访问测评项编号 ADT-OS-WIN-07 对应要求 a) 应启用访问控制功效，依据安全策略控制用户对资源访问。测评项名称控制用户对资源访问测评分项1：是否开启默认共享或Admin 共享操作步骤在命令提醒符窗口，实施以下命令：net share 适用版本任何版本实施风险无符合性判定没有开启不需要共享，如IPS$、ADMIN$、C$等，判定结果为符合；开启不需要共享，如IPS$、ADMIN$、C$等，判定结果为不符合。测评分项2：共享文件访问控制操作步骤打开“开始\全部程序\管理工具\计算机管理\系统工具\共享文件夹\共享”窗口，对窗口右侧共享信息栏目进行查看，对存在共享进行统计，并对建立应用共享进行访问权限检验。另外，需对建立应用共享进行应用情况问询，以决定该应用共享建立是否含有实际应用意义。适用版本 Windows、Windows XP、Windows 实施风险无10 符合性判定系统没有开启不需要共享，对于开启共享设置访问权限，许可管理员经过密码访问，判定结果为符合；系统开启不需要共享，判定结果为不符合。备注测评分项3：关键数据访问控制操作步骤首优异入到提供给用服务文件、目录，对该文件、目录点击“右键\属性”，打开属性页“安全”选项卡，对用户“Users、EveryOne”权限进行统计。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定关键文件、目录只许可管理员访问经过密码访问，判定结果为符合；对关键文件、目录访问没有限制，判定结果为不符合。备注 2．用户权限检验测评项编号 ADT-OS-WIN-08 对应要求 b）应依据管理用户角色分配权限，实现管理用户权限分离，仅授予管理用户所需最小权限。测评项名称用户权限检验测评分项1：用户权限检验操作步骤开始\全部程序\管理工具\计算机管理\系统工具\当地用户和组\用户（组）”窗口，对窗口右侧用户（组）信息栏目进行查看，对存在关键用户及用户组进行统计,并对其拥有权限进行查看。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定各帐户依据最小权限分配标准，帐户权限分配合理，判定结果为符合；帐户没有最小权限分配标准，判定结果为不符合。 3．用户权限分离测评项编号 ADT-OS-WIN-09 对应要求 c）应实现操作系统和数据库系统特权用户权限分离。测评项名称用户权限分离测评分项1：用户权限分离操作步骤结合系统管理员组成情况，判定是否实现了该项要求。对安装了数据库操作系统，检验操作系统中数据库管理账号权限。适用版本 Windows、Windows XP、Windows 实施风险无符合性判定使用数据库帐户只能登录数据库，不能登录操作系统，判定结果为符合；数据库帐户能够登录操作系统，判定结果为不符合。 4．账户权限配置测评项编号 ADT-OS-WIN-10 对应要求 d）应严格限制默认帐户访问权限，重命名系统默认帐户，修改这些帐户默认口令。测评项名称账户权限配置测评分项1：administrator 是否更名操作步骤实施以下命令：net user 适用版本任何版本实施风险无符合性判定系统不存在administration 帐户，判定结果为符合；系统存在administration 帐户，且为管理员帐户，判定结果为不符合。测评分项2：检验系统Guest 帐号操作步骤实施以下命令：net user guest 适用版本 Windows、Windows XP、Windows 实施风险无符合性判定系统中guest 帐户被禁用，判定结果为符合；系统存在guest 帐户且没有禁用，判定结果为不符合。备注 5．系统是否存在多出帐号测评项编号 ADT-OS-WIN-11 对应要求 e) 应立即删除多出、过期帐户，避免共享帐户存在。测评项名称系统是否存在多出帐号测评分项1：检验系统是否存在多出帐号操作步骤实施以下命令：net user 访谈系统管理员，是否存在无用多出帐号。打开“开始\全部程序\管理工具\计算机管理\系统工具\当地用户和组\用户（组）”窗口，对窗口右侧用户（组）信息栏目进行查看，对存在关键用户及用户组进行统计,并对其拥有权限进行查看。另外，对于系统内新建用户（组）需进行其存在意义问询，以决定该用户（组）是否含有存在意义。适用版本任何版本实施风险无符合性判定系统不存在无用帐户，判定结果为符合；系统中存在无用帐户，判定结果为不符合。 6．资源敏感标识设置检验测评项编号 ADT-OS-WIN-12 对应要求 f)应对关键信息资源设置敏感标识。测评项名称资源敏感标识设置检验测评分项1：资源敏感标识设置检验操作步骤问询管理员系统是否对关键信息资源设置了敏感标识。适用版本任何版本实施风险无符合性判定对关键信息资源设置了敏感标识，判定结果为符合；对关键信息资源没有设置敏感标识，判定结果为不符合。 7．有敏感标识资源访问测评项编号 ADT-OS-WIN-13 对应要求 g)应依据安全策略严格控制用户对有敏感标识信息资源操作。测评项名称有敏感标识资源访问测评分项1：有敏感标识资源访问操作步骤问询管理员是否有安全策略严格控制用户对有敏感标识关键信息资源操作。适用版本任何版本实施风险无符合性判定有安全策略严格控制用户对有敏感标识关键信息资源操作，判定结果为符合；没有有安全策略控制用户对有敏感标识关键信息资源操作，判定结果为不符合。三、安全审计 1．审计内容测评项编号 ADT-OS-WIN-14 对应要求 a) 审计范围应覆盖到服务器上每个操作系统用户和数据库用户。 b) 审计内容应包含关键用户行为、系统资源异常使用和关键系统命令使用等系统内关键安全相关事件。 c) 审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等。测评项名称审计内容测评分项1：审计内容操作步骤进入“控制面板/管理工具/当地安全策略”，在“当地策略->审核策略”中，查看当地安全策略审计功效是否启用；查看对应审核，查看事件查看器相关统计是否包含时间、主客体标识和事件结果等信息。访谈安全审计员，问询主机系统是否设置那些安全审计功效，查看审计统计信息是否包含事件发生日期和时间、触发事件主体和客体、事件类型、事件成功或失败、身份判别事件中请求起源（如末端标识符）、事件结果等内容。适用版本任何版本实施风险无符合性判定对于安全审计a：启用当地安全策略，判定结果为符合；没有启用当地安全策略，判定结果为不符合。对于安全审计b：对审核策略更改、审核登录事件、审核帐户登录事件、审核帐户管理成功、失败进行审计，判定结果为符合；对审核策略更改、审核登录事件、审核帐户登录事件、审核帐户管理成功、失败进行审计，判定结果为符合；对审核策略更改、审核登录事件、审核帐户登录事件、审核帐户管理中一个或多个项目进行审计，判定结果为基础符合。对于安全审计c：审计统计包含时间、主客体标识和事件结果等信息，判定结果为符合；审计统计没有包含时间、主客体标识和事件结果等信息，判定结果为不符合。 2．审计日志分析测评项编号 ADT-OS-WIN-15 对应要求 d) 应能够依据统计数据进行分析，并生成审计报表。测评项名称审计日志分析测评分项1：审计日志分析操作步骤问询管理员，查看是否为授权用户浏览和分析审计数据提供专门审计工具（如对审计统计进行分类、排序、查询、统计、分析和组合查询等），并能依据需要生成审计报表。适用版本任何版本实施风险无符合性判定管理员定时对审计日志进行分析，生成审计报表，判定结果为符合；管理员不能定时查看审计日志，没有生成审计报表，判定结果为不符合。 3．保护进程测评项编号 ADT-OS-WIN-16 对应要求 e)应保护审计进程，避免受到未预期中止测评项名称保护进程测评分项1：保护进程操作步骤 Windows系统含有了在审计进程自我保护方面功效。适用版本任何版本实施风险无符合性判定不适用。 4．系统日志存放测评项编号 ADT-OS-WIN-17 对应要求 f) 应保护审计统计，避免受到未预期删除、修改或覆盖等。测评项名称系统日志存放测评分项1：系统日志存放操作步骤开始|运行|eventvwr|或管理工具|事件察看器|系统|右键“属性” 适用版本任何版本实施风险无符合性判定最大日志文件大小：512KB；当达成最大日志大小时：按需要改写事件，判定结果为符合；最大日志文件大小、当达成最大日志大小时没有设置，判定结果为不符合。四、剩下信息保护 1．判别信息保护测评项编号 ADT-OS-WIN-18 对应要求 a）应确保操作系统用户判别信息所在存放空间，被释放或再分配给其它用户前得到完全清除，不管这些信息是存放在硬盘上还是在内存中。测评项名称判别信息保护测评分项1：判别信息保护操作步骤开始|控制面板|管理工具|当地安全策略|安全设置|当地策略|安全选项|交互式登录：不显示上次用户名。适用版本任何版本实施风险无符合性判定交互式登录：不显示上次用户名为“已启用”，则判定结果为符合；交互式登录：不显示上次用户名为“已禁用”，则判定结果为不符合。 2．存放文件剩下信息保护测评项编号 ADT-OS-WIN-19 对应要求 b）应确保系统内文件、目录和数据库统计等资源所在存放空间，被释放或重新分配给其它用户前得到完全清除。测评项名称存放文件剩下信息保护测评分项1：存放文件剩下信息保护操作步骤访谈管理员，问询系统内文件、目录等资源所在存放空间，被释放或重新分配给其它用户前是否得到完全清除。适用版本任何版本实施风险无符合性判定制订剩下信息保护制度，确保系统内文件、目录和数据库统计等资源在被释放或再分配给其它用户前得到完全清除，而且对硬盘就行格式化，则判定结果为符合；没有制订剩下信息保护制度，系统内文件、目录和数据库统计等资源在被释放或再分配给其它用户前没有得到完全清除，则判定结果为不符合。五、入侵防范 1．操作系统补丁及程序安装标准测评项编号 ADT-OS-WIN-20 对应要求 a）操作系统应遵照最小安装标准，仅安装需要组件和应用程序，并经过设置升级服务器等方法保持系统补丁立即得到更新。测评项名称操作系统补丁及程序安装标准测评分项1：操作系统补丁升级情操作步骤开始—运行—systeminfo 适用版本任何版本实施风险无符合性判定定时进行补丁升级，升级到最新安全补丁，则判定结果为符合；没有定时升级补丁，则判定结果为不符合。测评分项2：检验系统开启服务操作步骤使用脚本程序或打开“开始\全部程序\管理工具\计算机管理\服务和应用程序\服务”窗口，对窗口右侧系统服务信息栏目进行查看，对部分启用关键服务进行统计。对于部分应用服务需向系统管理员进行问询，以决定该项服务是否为系统所必需启用服务。适用版本任何版本实施风险无符合性判定没有开启以上无须要服务，则判定结果为符合；开启了以上不需要服务，则判定结果为不符合。测评分项3：检验系统开放端口操作步骤在命令提醒符窗口，键入命令行“netstat –ano 查看并统计系统开放TCP端口和UDP 端口,打开任务管理器查看开启端口进程。对于部分不明端口或进程，需向管理员进行问询，以决定该端口或进程是否为系统服务所必需。适用版本任何版本实施风险无符合性判定没有开启以上无须要端口，则判定结果为符合；开启了以上不需要端口，则判定结果为不符合。测评分项4：检验系统安装软件情况操作步骤开始—设置—控制面板—删除添加程序适用版本任何版本实施风险无符合性判定系统没有安装不需要、和业务无关软件，则判定结果为符合；系统安装了不需要软件，则判定结果为不符合。测评分项5：检验多出Windows 组件操作步骤打开“开始\控制面板\添加删除程序\更改或删除Windows 组件”，对该窗口内安装Windows 组件进行统计，并需要对系统管理员进行相关组件问询，以分辨系统内是否存在安装多出Windows 组件。适用版本任何版本实施风险无符合性判定系统没有安装不需要、和业务无关Windows 组件，则判定结果为符合；系统安装了不需要Windows 组件，则判定结果为不符合。 2．攻击事件纪录情况测评项编号 ADT-OS-WIN-21 对应要求 b）应能够检测到对关键服务器进行入侵行为，能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警。测评项名称攻击事件纪录情况测评分项1：攻击事件纪录情况操作步骤应访谈管理员，问询主机系统是否安装了入侵防范系统，入侵防范内容是否包含主机运行监视、资源使用超出值报警、特定进程监控、入侵行为检测、能够统计入侵源IP、攻击类型、攻击目标、攻击时间，并在发生严重入侵事件时提供报警，提供何种形式报警；是否对特征库进行定时升级。适用版本任何版本实施风险无符合性判定系统安装了入侵防范系统，能够对主机运行情况进行监控，并设定报警功效，能够统计入侵事件相关信息，则判定结果为符合；系统没有安装入侵防范系统，不能对主机运行情况进行监控，不能提供报警，不能九路相关入侵事件信息，则判定结果为不符合。 3．系统完整性及恢复测评项编号 ADT-OS-WIN-22 对应要求 c）应能够对关键程序完整性进行检测，并在检测到完整性受到破坏后含有恢复方法。测评项名称系统完整性及恢复测评分项1：系统完整性及恢复操作步骤应访谈管理员，问询主机系统是否安装了入侵防范系统，查看入侵防范内容是否包含完整性检测；查看系统是否安装了恢复软件，并确保在完整性受到破坏后能够立即恢复。适用版本任何版本实施风险无符合性判定系统安装了入侵防范系统和备份恢复软件，能够检测系统完整性，定时对系统进行备份，并能够对系统进行恢复，则判定结果为符合；系统不能检测关键程序完整性，不能对系统那个进行恢复，则判定结果为不符合。六、恶意代码防范 1．检验系统防病毒软件布署测评项编号 ADT-OS-WIN-23 对应要求 a) 应安装防恶意代码软件，并立即更新防恶意代码软件版本和恶意代码库。测评项名称检验系统防病毒软件布署测评分项1：检验系统防病毒软件布署操作步骤打开“开始\全部程序\”列表，检验系统内是否存在网络版或单机版防病毒软件；对于存在防病毒软件，需统计其软件名称、版本、最近升级日期等信息、系统中是否感染了病毒。适用版本任何版本实施风险无符合性判定系统安装防病毒软件及防火墙，定时对病毒库进行升级，则判定结果为符合；系统没有安装防病毒软件及防火墙，则判定结果为不符合。 2．恶意代码统一管理测评项编号 ADT-OS-WIN-24 对应要求 b) 应支持防恶意代码统一管理。测评项名称恶意代码统一管理测评分项1：恶意代码统一管理操作步骤查看防病毒系统管理情况，是否有防病毒服务器对防病毒系统进行统一管理，服务器端定时下发病毒库，服务器端能随时查看用户端防病毒系统工作情况，立即将发觉问题。适用版本任何版本实施风险无符合性判定有专员负责恶意代码统一管理，有防病毒服务器，定时升级并向用户端下发病毒库，则判定结果为符合。没有对恶意代码进行统一管理，判定结果为不符合。 3．代码库检验测评项编号 ADT-OS-WIN-25 对应要求 c) 主机防恶意代码产品应含有和网络防恶意代码产品不一样恶意代码库。测评项名称代码库检验测评分项1：代码库检验操作步骤访谈管理员，问询主机防恶意代码产品是否含有和网络防恶意代码产品不一样恶意代码库。适用版本任何版本实施风险无符合性判定关键服务器和个人主机所安装恶意代码库和网络防恶意代码产品恶意代码库不一样，则判定结果为符合；不然判定结果为不符合。七、资源控制 1．限制终端登录测评项编号 ADT-OS-WIN-26 对应要求 a)应经过设定终端接入方法、网络地址范围等条件限制终端登录。测评项名称限制终端登录测评分项1：拒绝网络访问用户操作步骤打开“开始\全部程序\管理工具\当地安全设置\当地策略\用户权利指派”窗口，对右侧窗口中“拒绝从网络访问这台计算机”安全项进行检验，并统计该安全项设置用户。适用版本任何版本实施风险无符合性判定 “拒绝从网络访问这台计算机”用户或组应该包含没有必需访问主机用户或组，则判定结果为符合；没有对“拒绝从网络访问这台计算机”用户或组进行设置，则判定结果为不符合。测评分项2：拒绝当地登录用户操作步骤打开“开始\全部程序\管理工具\当地安全设置\当地策略\用户权利指派”窗口，对右侧窗口中“拒绝当地登录”安全项进行检验，并统计该安全项设置用户。适用版本任何版本实施风险无符合性判定 “拒绝当地登录”用户或组应该包含没有必需登录主机用户或组，则判定结果为符合；没有对“拒绝当地登录”用户或组进行设置，则判定结果为不符合。 2．终端超时注销测评项编号 ADT-OS-WIN-27 对应要求 b) 应依据安全策略设置登录终端操作超时锁定。测评项名称终端超时注销测评分项1：屏幕保护程序操作步骤在系统桌面，点击鼠标右键，选择“属性”一栏；进入到“屏幕保护程序” 选项，检验屏幕保护程序相关设置：等候时长、密码设置等信息。适用版本任何版本实施风险无符合性判定系统开启屏幕保护程序，时间应设置小于10 分钟，再恢复时应该使用密码，则判定结果为符合；没有开启屏幕保护程序或恢复时没有使用密码，则判定结果为不符合。测评分项2：检验系统是否自动注销用户操作步骤开始|控制面板|管理工具|当地安全策略|安全设置|当地策略|安全选项 |Microsoft 网络服务器：当登录时间用完时自动注销用户。适用版本任何版本实施风险无符合性判定登录时间用完时自动注销用户属性为已启用，则判定结果为符合；登录时间用完时自动注销用户属性为已停用，则判定结果为不符合。 3．查看用户资源使用程度测评项编号 ADT-OS-WIN-28 对应要求 c) 应限制单个用户对系统资源最大或最小使用程度。测评项名称查看用户资源使用程度测评分项1：查看用户资源使用程度操作步骤检验是否严禁同一用户账号在同一段时间内建立多重并发会话连接，是否限制单个用户对系统资源（如CPU、内存和硬盘等）最大或最小使用程度。适用版本任何版本实施风险无符合性判定对单个帐户资源利用进行了限制，如限制同一用户账号在同一段时间内建立多重并发会话连接，限制单个用户对系统资源（如CPU、内存和硬盘等）最大或最小使用等，则判定结果为符合；没对单个帐户资源利用进行了限制，，则判定结果为不符合。 4．性能监视情况检验测评项编号 ADT-OS-WIN-29 对应要求 d) 应对关键服务器进行监视，包含监视服务器CPU、硬盘、内存、网络等资源使用情况。测评项名称性能监视情况检验测评分项1：性能监视情况检验操作步骤访谈管理员，问询是否安装网络审计或主机监控系统对服务器CPU、硬盘、内存、网络等资源使用情况进行监视，实时查看服务器性能。登录审计服务器，查看各主机资源使用情况。适用版本任何版本实施风险无符合性判定安装了监控软件对设备性能及资源使用情况进行监控，则判定结果为符合；没有安装监控软件对设备进行监控，则判定结果为不符合。 5．报警设置检验测评项编号 ADT-OS-WIN-30 对应要求 e) 应能够对系统服务水平降低到预先要求最小值进行检测和报警。测评项名称报警设置检验测评分项1：报警设置检验操作步骤访谈管理员，问询是否安装审计或主机监控系统，审计或主机监控系统是否设定了阀值，当系统CPU、硬盘、内存、网络等资源使用达成预先设定最小值时，能进行报警。适用版本任何版本实施风险无符合性判定安装了监控软件对设备性能及资源使用情况进行监控，当设备性能低于预先设置阀值时，能够报警，则判定结果为符合；没有安装监控软件对设备进行监控，不能报警，则判定结果为不符合。

展开阅读全文