等保2.0Windows测评指南

身份鉴别

a

对登录用户进行身份鉴别和标识，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换
测评方法：

1. 控制面板》管理工具》计算机管理》本地用户和组
   

1、用户具有唯一性
2、尝试永空口令登陆失败
3、检查有哪些用户

• 2控制面板》管理工具》本地安全策略》账户策略》密码策略
  

1、密码复杂度
2、密码长度最小值
3、密码最长使用期限
4、密码最短使用期限

b

登录失败处理功能，配置并启用结束会话、限制非法登录次数和登录连接超时自动退出等相关措施

• 控制面板》管理工具》本地安全策略》账户策略》密码锁定策略
  

1、锁定时间
2、锁定阈值

c

• 远程管理时，采取必要措施防止鉴别信息在网络传输过程中被窃听
  在命令行输入“gpedit.msc”》本地组策略编辑器》本地计算机策略》计算机配置》管理模板》Windows组件》远程桌面服务》远程桌面会话主机》安全
  

远程运维，采取加密的RDP协议

ｄ

访谈，询问系统管理员在操作过程中用了哪些鉴别方法，是否采取了两种及以上的鉴别技术

身份鉴别

ａ

• 各用户具备最小角色，分别登录；不存在匿名用户，默认用户只许可管理员登录
  右键　 Windows》属性》安全》
  

查看各组权限设置

ｂ

• 重命名或删除默认账户，修改默认账户的默认口令
  在命令行输入“lusrmgr.msc” 》本地用户和组》用户
  

1、查看Adminstrator是否被禁用或重命名
2、询问是否已修改账户的默认口令
3、查看是否禁用guest账户

C

• 及时删除或停用多余的、过期的账户，避免共享账户的存在
  在命令行输入“lusrmgr.msc” 》本地用户和组》用户
  

不存在多余账户，测试过期账户不存在多人共享账户情况

d

• 授予管理用户所需最小权限，实现管理用户的权限分离
  控制面板》管理工具》本地安全策略》本地策略》用户权限分配
  

为系统管理员、安全员、安全审计员、分配权限，实现权限分离

e

• 访问控制的粒度达到主体为用户级或进程级，客体为文件、数据库表级
  右键Windows》属性》安全
  

users用户权限设置合理，用户依据访问控制策略，对各类文件和数据库表级进行访问

f

• 查看操作系统功能手册或相关文档，确认操作系统是否具备对信息资源设置敏感标记功能
• 询问管理员是否对重要信息设置敏感标记
• 询问查看目前的敏感标记策略的相关设置

安全审计

a

• 查看系统是否开启安全审计功能
  控制面板》管理工具》本地安全策略》本地策略》审计策略
  

开启审计功能，有第三方审计系统

b

• 审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其他与审计相关的信息
  在命令行输入“evevtvwr.msc”》事件查看器》Windows日志
  

Windows操作系统事件查看器里的审计记录默认满足

c

• 对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖
  在命令行输入“evevtvwr.msc”》事件查看器》Windows日志》右键事件类型》属性》日志存储策略
  

1、日志本地存储，可查看存储目录，周期和相关策略
2、若部署有日志服务器，可查看存储路径

d

• 对审计进程进行保护，防止未经授权的中断
  控制面板》管理工具》本地安全策略》本地策略》用户权限分配》右键策略中的“管理审核和安全日志”
  

其他非审计人员不可登录和操作日志，有专人负责审计日志的管理

入侵防范

a

• 遵循最小安装原则，仅安装需要的组件和应用程序

控制面板》组件服务》计算机》我的电脑

1、查看和询问安装有无多余的应用程序
2、未安装非必要的组件
3、未安装不必要的应用程序

b

• 应关闭不需要的系统服务、默认共享和高危端口
• [1] 查看系统服务
  命令行输入“services.msc”》系统服务管理界面
  

不存在多余的服务

• [2] 查看监听端口
  命令行输入“netstat - an”
  

未开启不必要的端口

• [3] 查看默认共享
  输入“net share”
  

未开启默认共享

• [4] 查看主机防火墙策略
  输入“firewall.cpl”》左侧高级设置》入站规则
  

防火墙规则中阻止访问多余的服务，或高危端口

c

1. 通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制

输入“firewall.cpl”》左侧高级设置》入站规则

通过主机防火墙设置访问控制规则

2. 查看IP筛选器对终端登录的接入地址限制
   输入“gpedit.msc” 》本地组策略编辑器》本地计算机策略》计算机配置》Windows设置》安全设置》IP安全策略
   

通过IP段进行接入地址限制

d

• 发现可能存在的漏洞，经过测试后，及时修补漏洞
  输入“appwiz.cpl”》控制面板》程序》程序和功能》已安装更新
  

对操作系统补丁进行测试安装，补丁情况为较新稳定版本

恶意代码防范

1. 查看系统中安装的防病毒软件
2. 查看系统采取何种可信验证机制，实现原理为基于可信根TPM技术等
3. 网络版防毒和主机防病毒均具备不同的病毒库，异构特点
4. 防病毒为网络版，统一更新病毒库
5. 发现病毒入侵，有邮件报警机制

数据备份恢复

1. 查看网络拓扑结构图，了解网络线上服务器节点是否包括其他热备、集群等高可用设备
2. 访谈管理员并查看资产列表，待查服务器有无其他高可用方式等