windows主机检查判断

类别 测评项 核查方法 判断方法 a) 应对登录操作系统 和数据库系统的用户 进行身份标识和鉴别； 检查登录是否需要密 码； 检查登陆服务器是否 需要用户名/口令；检 查用户数量、设置密 码的用户数量、密码 为空的用户数量；一 般都符合。 b) 操作系统和数据库 系统管理用户身份标 识应具有不易被冒用 的特点，口令应有复 杂度要求并定期更换； 本地安全策略-账户 策略-密码策略中的 相关项目。 检查密码策略的设置 情况，是否支持密码 复杂度，含长度、大 小写、特殊字符、数 字混用，使用期限等 （密码最短使用期限 非 0 值） 。 c) 应启用登录失败处 理功能，可采取结束 会话、限制非法登录 次数和自动退出等措 施； 本地安全策略-账户 策略-账户锁定策略 检查账户锁定阈值， 非 0 值即为符合。 d) 当对服务器进行远 程管理时，应采取必 要措施，防止鉴别信 息在网络传输过程中 被窃听； 访谈管理员在进行远 程管理时如何防止鉴 别信息在网络传输过 程中被窃听； 在远程管理操作中是 否使用了 SSL 协议 （RDP 协议 5.1 以后 默认为安全的连接协 议） 。 e) 为操作系统和数据 库的不同用户分配不 同的用户名，确保用 户名具有唯一性； “管理工具”-“计 算机管理”-“本地 用户和组”中的“用 户” ，检查其中的用户 名是否出现重复。 如果多个人共用一个 账户或数据库管理账 户身份为主机管理员 （Administrator）则 为不符合；主机与数 据库都具有同样的用 户名但密码不同应为 符合。 身份鉴 别 f）应采用两种或两种 以上组合的鉴别技术 对管理用户进行身份 鉴别。 访谈系统管理员，访 谈系统除密码外有无 其他身份鉴别方法， 如令牌、智能卡等。 是否采用除用户名/口 令之外的其他鉴别方 式，如生物信息或用 户拥有的某项物品， Key 或数字证书。 类别 测评项 核查方法 判断方法 a) 应启用访问控制功 能，依据安全策略控 制用户对资源的访问； windows 依据默认策 略启用访问控制功能； 默认符合。 b) 应根据管理用户 的角色分配权限，实 现管理用户的权限分 离，仅授予管理用户 所需的最小权限； 访谈并检查管理用户 及角色的分配情况。 系统存在多用户时应 有权限划分，最低限 度应有审计员分散管 理权限，则为符合； 若一项操作必须 2 人 以上完成即为符合。 c) 应实现操作系统和 数据库系统特权用户 的权限分离； 如果安装了数据库系 统，访谈操作系统管 理员是否同时担任数 据库管理员职责，且 数据库管理账户是否 付给专门的数据库管 理员； 检查是否存在一个账 户同时管理操作系统 和数据库系统的情况， 是否存在数据库与操 作系统管理员同一人 的情况。 d)应严格限制默认账 户的访问权限，重命 名系统默认账户，并 修改这些账户的默认 口令； 访谈管理员当前系统 用户状况； Windows 用户只要设 定了密码，即为符合； e）应及时删除多余的、 过期的账户，避免共 享账户的存在； 检查系统账户列表， 访谈管理员是否存在 多余的、过期的、共 享的账户； 检查是否存在多余、 过期、共享的账户。 f）应对重要信息资源 设置敏感标记； 访谈系统管理员，检 查系统中是否存在如 POST 技术等系统加固 组件；对重要信息资 源设置了敏感标记； 询问或查看目前的敏 感标记策略的相关设 置，如：如何划 分敏感标记分类，如 何设定访问权限等 Windows 默认不符合； 访问控 制 g）应依据安全策略严 格控制用户对有敏感 标记重要信息资源的 操作。 访谈系统管理员，检 查系统中是否存在如 POST 技术等系统加固 组件；对重要信息资 源设置了敏感标记； 是否对重要信息资源 设置敏感标记。 类别 测评项 核查方法 判断方法 a) 安全审计应覆盖到 服务器和重要客户端 上的每个操作系统用 户和数据库用户； 检查“本地安全策略” 检查审计功能是否启 用； Windows 操作系统默 认开启审计功能，默 认符合；数据库需要 检查其是否存在审计 功能； b) 审计内容应包括重 要用户行为、系统资 源的异常使用和重要 系统命令的使用等系 统内重要的安全相关 事件； 记录 Windows 审计功 能中开启的项目； 检查审核策略中是否 开启对系统的审核， 如有即为符合。 c) 审计记录应包括事 件的日期、时间、类 型、主体标识、客体 标识和结果等； 检查事件检查器相关 记录是否包括时间、 主客体标识和事件结 果等信息； windows 默认符合。 d）应能够根据记录数 据进行分析，并生成 审计报表； 检查 Windows“事件 检查器” 。访谈系统管 理员是否还有其他第 三方日志分析工具。 Windows 默认不符合。 e）应保护审计进程， 避免受到未预期的中 断； Windows 系统自身满 足。 windows 默认符合。 安全审 计 f）应保护审计记录， 避免受到未预期的删 除、修改或覆盖等。 1.检查“权限指派” 中管理审计日志的权 限，看是否只有系统 管理员组能删除。 2.检查“事件检查器” 中“安全”和“系统” 日志的存储大小和覆 盖策略。 3.访谈审计记录的存 储、备份和保护的措 施，如配置日志服务 器等 检查是否配置日志服 务器，日志是否远端 保存；检查审计记录 的存储、备份和保护 措施。 剩余信 息保护 a）应保证操作系统和 数据库管理系统用户 的鉴别信息所在的存 储空间，被释放或再 分配给其他用户前得 到完全清除，无论这 些信息是存放在硬盘 上还是在内存中； “安全策略”中“不 显示上次登录用户名” 。 检查本地策略的安全 选项是否选中不显示 上次用户名，选中则 为符合。 类别 测评项 核查方法 判断方法 b）应确保系统内的文 件、目录和数据库记 录等资源所在的存储 空间，被释放或重新 分配给其他用户前得 到完全清除。 清除虚拟内存页面： “本地安全策略”- 本地策略中的安全选 项，检查“关机前清 除虚拟内存页面” ，和 “用可还原的加密来 存储密码”是否开启。 检查“关机前清除虚 拟内存页面”和“用 可还原的加密来存储 密码”前者应为启用， 后者应为不启用。 a) 应能够检测到对重 要服务器进行入侵的 行为，能够记录入侵 的源 IP、攻击的类型、 攻击的目的、攻击的 时间，并在发生严重 入侵事件时提供报警； 访谈系统管理员有那 些系统安全性监控措 施。 检查是否具有入侵检 测措施并能够报警， 如无则不符合。 b）应能够对重要程序 完整性进行检测，并 在检测到完整性受到 破坏后具有恢复的措 施； Windows 系统自身满 足。 检查是否对重要程序 启用 DEP 等功能， Windows 系统自身满 足。 入侵防 范 c) 操作系统遵循最小 安装的原则，仅安装 需要的组件和应用程 序，并通过设置升级 服务器等方式保持系 统补丁及时得到更新。 检查系统安装程序情 况，是否遵循了最小 安装的原则： 检查系统补丁升级情 况； 检查是否开启不需要 的服务和监听端口； 检查补丁升级方式和 最近的补丁更新时间。 a) 应安装防恶意代码 软件，并及时更新防 恶意代码软件版本和 恶意代码库； 检查系统中安装的防 病毒软件与版本升级 情况。访谈管理员病 毒库更新策略。检查 病毒库的最新版本更 新日期是否超过一个 星期。 检查是否安装防恶意 代码软件，版本更新 情况和病毒库更新周 期是否超过一个星期， 是即不符合。恶意代 码防范 b)主机防恶意代码产 品应具有与网络防恶 意代码产品不同的恶 意代码库； 访谈系统管理员网络 防病毒软件和主机防 病毒软件分别采用什 么病毒库。 访谈系统管理员网络 防病毒产品和主机防 病毒产品分别采用什 么病毒库，是否相同， 是即不符合。 类别 测评项 核查方法 判断方法 c) 应支持恶意代码防 范的统一管理。 访谈防恶意代码的管 理方式，例如升级方 式。 访谈系统管理员是否 采有统一的病毒更新 和查杀策略，查杀频 率多少。 a) 应通过设定终端接 入方式、网络地址范 围等条件限制终端登 录； 1、检查系统对登录终 端的接入方式进行限 制的措施； 2、检查网络属性中 “Internet 属性”中 “高级”-“选项”- “TCP/IP 筛选”中 有没有对端口做限制。 如果安装有主机防火 墙则检查有无登录地 址限制。 检查防火墙相关配置 或 TCP/IP 筛选，检查 是否通过网络设备或 硬件防火墙设置了 ACL，实现限制终端登 录。 b) 应根据安全策略设 置登录终端的操作超 时锁定； Windows 检查是否设 置了屏幕锁定； 检查是否开启了带密 码的屏幕保护功能； 在组策略中检查“空 闲会话限制”中是否 配置了空闲的会话继 续留在服务器上的最 长时间。 c）应对重要服务器进 行监视，包括监视服 务器的 CPU、硬盘、 内存、网络等资源的 使用情况； 访谈系统管理员是否 采用系统性能监控措 施。 windows 自身有系统 资源管理器对系统资 源进行手动监控，如 有人工监控，记录监 控的内容和周期，如 使用监控软件，记录 软件的内容和监控的 内容。 资源 控制 d) 应限制单个用户对 系统资源的最大或最 小使用限度； 访谈管理员针对系统 资源控制的管理措施； 访谈管理员针对系统 资源控制的管理措施， Wind