Windows2022年测评指导书讲解

Windows2022Windows2022测评指导书第第10页共17页序号 类别 测评项 测评实施 预期结果 说明应对登录操作系统和数据库系统的用户进展身份标识和鉴别；操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点，口令应有简单度要求并定期更换；身份1鉴别完毕会话、限制非法登录次数和自动退出等措施；

1〕查看登录是否需要密码2〕netuserlusrmgr.msc否供给了身份标识。依次开放[开头]->〔[掌握面板]->〕[治理工具]->[本地安全策略]->[账户策略]->[密码策略]，查看以下项的状况：ab)长度最小值c)de)强制密码历史。gpedit.msc操作系统安全策略。[治理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]；2〕查看以下项的状况：a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。

1〕用户需要输入用户名和密码才能登录。简单性要求已启用；80；0；强制密码历史至少记住3个密码以上。设置了“复位账户锁定计数器”时间；设置了“账户锁定时间c)设置了“账户锁定阈值

1、操作系统的身份标识与鉴别机制实行何种措施实现2、是否必需输入密码才能登录。3、登录过程中系统帐号是否进展验证登陆.1、身份鉴别信息是否如对用户登录口令的最小长度、简单度和更换周期进展了要求和限制。2、全部的项只要不为默03、操作系统用户口令简单度是否已经启用1、主要效劳器操作系统，是否已配置了鉴别失败处理功能。2、.本地安全策略->帐户策略->帐户锁定策略中的相关工程，查看是否启用了登录失败处理功能。3、全部的项只要不为默0d)实行必要措施，防止鉴别信息在网络传输过程中被窃听；

1〕访谈治理员在进展远程治理时如何防止鉴别信息在网络传输过程中被窃听。

1〕假设是本地治理或KVM治理方式，此要求默认满足；2〕假设承受远程治理，则需承受带加密治理的远程治理方式，如3389桌面或修改远程登录端口。

1、操作系统是否承受了远程治理。2、如承受了远程治理，是否承受了防止鉴别信息在网络传输过程中被窃听的措施。3、终端效劳器是否使用SSL4、关注远程治理方式及传输协议。e)为操作系统和数据库的不同用户安排不同的用户名，确保用户名具有唯一性；

〕依次展开[开始]->([掌握面1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户]；查看用户列表，询问每个账户的使用状况。

1、效劳器操作系统帐户列表，治理员用户名安排是否唯一。(EG:应为操作系统的不同用户安排不同的用户名，确保用户名具有唯一性)2、运行lusrmgr.msc查用户标识符列表，是否存在一样的用户名。3、是否存在一个用户使用多个用户名的状况。4、是否存在过期的或是多余的用户名。5、WindowsServer2022默认不存在一样用户名的用户，但应防止多人f〕应承受两种或两种以上组合的鉴别技术对治理用户进展身份鉴别。访问a)掌握策略掌握用户对资源的访问；

1〕访谈系统治理员，询问系统除密码能卡等。1〕文件权限：右键点击[开头]，翻开[开资源治理器(X)]，[工具]->[文件夹选项]->[查看]中的“使用简洁文件共享〔推举是否选中；右键单击下面两个文件夹的[属性]->[安全]，查看users%systemdrive%\programfiles%systemroot%\system32\config2〕用户权限：

1〕有两种或以上组合的鉴别技术。1〕a〕未选中“使用简洁文件共享〔推举”选项。b〕programfilesusers限；configusers只允许“列出文件夹名目”权限；2〕一般用户、应用账户等非治理员账户不属于治理员组。

使用同一个账号。1、以远程方式登录主机设备主要效劳器操作系统，身份鉴别是否承受两个及两个以上身份鉴别技术的组合来进展身份鉴别。2、通过本地掌握台治理主机设备操作系统时，是否承受一种或一种以上身份鉴别技术。3、不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。1、效劳器操作系统的是否配置了安全策略。2、安全策略是否对重要文件的访问权限进展了限制。3、是否对系统不需要的效劳、共享路径等进展了禁用或删除。4、效劳器操作系统的权限设置状况，是否依据b)应依据治理用户的角色安排权限，实现治理用户的权限分别，仅授予治理用户所需的最小权限；

a)[开头]->〔〕[治理工具]->[计算机治理]->[本地用户和组]->[组]双击“名称”列中Administrators用户，查看成员。e〕看注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymousrestrictanonymous0访谈并查看治理用户及角色的安排状况。“治理工具”->“本地安全策略指派了不同的权限。

1〕系统治理员、安全治理员、安全审计员由不同的人员和用户担当。

安全策略对用户权限进展了限制。5、选%systemdrive%\windows\system、%systemroot％\system32\config、等相应的文件夹，右键选usersadministrators限设置,是否为不同级别的用户组，赐予不同的权限，如完全掌握、修改、读取及运行、列出文件夹名目、读取、写入权限不同。6、在命令行模式下输入netshare，查看是否存在共享文件。1、是否依据治理用户的不同角色安排了权限。2、主要数据库效劳器的数据库治理员与操作系统治理员是否由不同治理员担当。应实现操作系统和数据库系统特权用户的权限分别；

1〕访谈并查看治理用户及角色的安排状况。

1〕操作系统除具有治理员账户外，至少还有特地的审计治理员账户，且他们的权限互斥。

3、指派的权限是否为治理用户的最小权限。4、是否只在备份文件和名目，创立记号对象，创立页面文件，从网络访问此计算机，调试程序和更改系统时间做设置。5、至少应当有系统治理员和安全治理员，安全审计员在有第三方审计工具时可以不要求。验3计->f->1)的操作，查看“治理审核和安全用户”中的用户组是否只有安全审计员。1〕操作系统的特权账户应包括治理员、安全员和审计员。至少应当有治理员和审计员，并且他们的权限是互斥关系的。2〕应保证操作系统治理员和审计员不为同一个账号，且不为同一个人。应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令；

〕理]->[本地用户和组]->[用户]；〕SUPPORT_388945a0、GUEST有这些账户，则右键点击该[账户]->[属性]，查看账户是否停用。3“治理工具”->“计算机治理”“用户”查看查看默认用户名Administrator

1〕用户列表中没知名为GUEST、SUPPORT_388945a0的账户，或已经禁用。

效劳器操作系统，特权用户的权限是否进展分别。4〕效劳器操作系统权限划分分为哪些职位5〕效劳器操作系统各个特权用户，是否承受最小授权原则。6〕数据库治理员与操作系统治理员是否由不同治理员担当。1、效劳器操作系统，匿名/默认用户的访问权限是否已被禁用或者严格限制。(EG:系统无法修改访问权限的特别默认账户，可不修改访问权限;系统无法重命名的特别默认账户，可不重命名。)2、账户的默认口令是否被修改。应准时删除多余的、过期的账户，避开共享账户的存在；

〕依次开放[开头]->([掌握面板]1〕无多余账户、过期账户；->)[治理工具]->[计算机治理]->[本2〕无多人共享账户。地用户和组]->[用户]，查看是否存在

1、效劳器操作系统，是否删除了系统中多余的、过期的以及共享的应对重要信息资源设置敏感标记；

〕依据用户账户列表询问主机治理员，每个账户是否为合法用户；2是否存在多人共用的账户。1〕询问系统治理员，是否实现了该功能，具体措施是什么。

1〕假设没有实行任何措施，则该项要求为不符合。

帐户。2、询问是否存在多余的帐户。3、关注是否未清理已离职员工的账户。1、效劳器操作系统，是否对重要信息资源设置敏感标记。2、询问治理员是否对重要信息资源设置敏感标记。应依据安全策略严格掌握用户对1〕询问系统治理员，是否实现了该功有敏感标记重要信息资源的操作。能，具体措施是什么。1〕

假设没有实行任何措施，则该项要求为不符合。

1、是否依据安全策略严格掌握用户对有敏感标记重要信息资源的操作。2、询问治理员是否对敏感标记进展策略设置。3、是否对敏感标记进展分类。4、是否对敏感标记进展设定访问权限。1、效劳器操作系统、重安全审计应掩盖到效劳器和重安全 要客户端上的每个操作系统用户和审计数据库用户；

[治理工具]->[本地安全策略]->[本地策略]->[审核策略]；2〕查看是否有审核策略启用。

1〕至少启用一项审核策略。

要终端操作系统，是否配置安全审计策略。2、安全审计策略是否覆审计内容应包括重要用户行为、系统资源的特别使用和重要系统命令的使用等系统内重要的安全相关大事；间、类型、主体标识、客体标识和结果等；

3〕Secpol.msc，查看“安全设置“->“本地策略“->“审核策略“系统是否开启了安全审计功能。1〕[治理工具]->[本地安全策略]->[本地策略]->[审核策略]；2〕查看各审核策略对哪些操作进展审核。3)windows利指派”以及“安全选项”策略。1〕默认满足。

审计账户登录大事：成功，失败审计账户治理：成功，失败c)审计名目效劳访问：失败d)审计登录大事：成功，失败e)审计对象访问：成功，失败f)审计策略更改：成功，失败g)审计特权使用：失败审计系统大事：成功，失败1〕默认满足。

盖到效劳器和重要终端操上的每个操作系统用户。3、是否承受第三方安全设计产品实现审计要求。4、是否具有日志效劳器或审计效劳器。5、询问系统治理员，并查看是否有第三方审计工具或系统。至少应包含审计账户登录大事、b)审计账户治理、d)审计登录大事、f)审计系统大事、g)审计系统大事的成功与失败行为。应能够依据记录数据进展分析，1〕访谈系统治理员是否有第三方日志并生成审计报表； 分析软件。

1〕使用第三方日志分析软件或Windows计报表。

1、效劳器和重要终端操作系统，是否为授权用户供给扫瞄和分析审计预期的中断；

记录的功能。2、是否有对审计记录的查看、分析和审计报表。3、是否有第三方报表工具。1〕默认满足。 1〕默认满足。 1、效劳器操作系统、重要终端操作系统，是否可通过非审计员的其他帐户试图中断审计进程。2、审计进程是否受到保护。3、是否有第三方审计进展保护的工具。预期的删除、修改或掩盖等。

1〕假设日志数据本地保存，则依次开放[开头]->([掌握面板]->〕[治理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限安排]，右键点击策略“治理审核和安全统审计账户所在的用户组是否在本地安全设置的用户列表中。看“安全性”和“系统”日志“属性”的存储大小和掩盖策略。

1〕假设日志数据本地保存，则a)只有系统治理员组在本地安全设置的用户列表中b)“安全性”和“系统”日志“属512KB；掩盖周期不小于15天。2〕假设日志数据存放在日志效劳器上并且审计策略合理，则该要求为符合。

1〕关注“治理审核和安全日志”的权限用户，关注“安全性”和“系统”日志“属性”的存储大小和掩盖周期。2〕假设日志数据存放在日志效劳器上，则该要求向为符合。3〕效劳器操作系统、重要终端操作系统，是否对审计记录实施了保护措施,使其避开受到未剩余信息

应保证操作系统和数据库治理系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户前得到完全去除，无论这些信息是存放在硬盘上还是在内存中；

2〕假设部署了日志效劳器，则查看日志保存策略。1〕翻开“本地安全策略”->“安全设是否启用“不显示上次登录用户名1〕翻开“本地安全策略”->“安全设是否选中“关机前去除虚拟内存页面”或翻开注册表

假设测试报告、用户手册或治理手册中没有相关描述，且没有供给第三方工具增加该功能，则该项要求为不符合。

预期的删除、修改或掩盖等未授权的操作。4〕是否有对审计记录的存储、备份和保护的措施。5〕是否有日志效劳器。登陆操作系统是否获得其他用户的标识或鉴别信息。主要操作系统维护操作手册中是否明确文件、名目和数据库记录等资源所在的存储空间被释保护b〕据库记录等资源所在的存储空间，被释放或重安排给其他用户前得到完全去除。

HKEY_LOCAL_MACHINE\SYSTEM\Current1〕假设测试报告、用户手册或管ControlSet\Control\Session 理手册中没有相关描述，且没有Manager\MemoryManagement，查“关 供给第三方工具增加该功能，则机前去除虚拟内存页面”是否启用。 该项要求为不符合。2〕翻开“本地安全策略”->“安全设加密来存储密码”是否启用。

放或重安排给其他用户前的处理方法和过程。应能够检测到对重要效劳器进入侵 行入侵的行为，能够记录入侵的源防范IP、攻击的类型、攻击的目的、攻

1〕访谈系统治理员是否常常查看磁盘段。

1〕启用入侵检测系统，参考网络全局局部的“入侵检测系统”局部。

1、是否实行入侵防范措施。2、是否有入侵检测记击的时间，并在发生严峻入侵大事时供给报警；

录。3、询问系统治理员是否常常查看系统日志。4、是否安装了主机入侵检测软件。5、是否有第三方入侵检测系统。应能够对重要程序完整性进展检测，并在检测到完整性受到破坏后具有恢复的措施；c)操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级效劳器等方式保持系统补丁准时得到更。

1〕检查产品的测试报告、用户手册或治理手册，确认其是否具有相关功能；或由第三方工具供给了相应功能。1〕组件最小化：访谈系统安装的组件和应用程序是否遵循了最小安装的原则；2〕效劳最小化：[治理工具]->[效劳]；

1〕假设测试报告、用户手册或治理手册中没有相关描述，且没有供给第三方工具增加该功能，则该项要求为不符合。1〕系统安装的组件和应用程序遵循了最小安装的原则；2〕不必要的效劳没有启动；不必要的端口没有翻开；4〕a)“共享名”列为空，无C$、D$、IPC$等默认共享。

1、效劳器是否供给对重要程序的完整性进展检测。2、是否在检测到完整性受到破坏后具有恢复的措施的功能。3、是否对使用一些文件完整性检查工具对重要文件的完整性进展检查。4、是否对重要的配置文件进展备份。1〕关注系统安装的组件和应用程序状况；2〕关注补丁是否先测试，补丁号是否为较版本。3〕操作系统是否遵循最b一些不必要的效劳如AlerterRemoteRegistryService、Messenger、TaskScheduler是否已启动；3〕效劳端口：cmdnetstat–an139、445。默认共享：中输入cmd点确定，输入netshare，查看共享；中输入regeditHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous“0”补丁更访谈系统补丁升级的方法，[开头regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates6〕访谈并查看系统补丁升级方式，以及最的补丁更状况

b)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值不为“0”〔0表示共享开启〕5〕系统补丁先测试，再升级；补丁号为较版本。

小安装的原则，仅安装需要的组件和应用程序。主要效劳器操作系统中所安装的系统组件和应用程序是否都是必需的。5〕否设置了特地的升级效劳器实现对主要效劳器操作系统补丁的升级。6〕效劳器操作系统的补丁是否得到了准时安装。7〕是否持续跟踪厂商供给的系统升级更情况。8〕是否在经过充分的测试评估后对必要补丁进展准时更。9〕查看目前系统中运行的效劳如：Alerter、RemoteRegistryService、Messenger、TaskScheduler启动。恶意代码

更防恶意代码软件版本和恶意代码库；主机防恶意代码产品应具有与网

安装的更”1〕查看系统中安装的防病毒软件。询问治理员病毒库更策略的最版本更日期是否超过一个星期。

1〕安装了防病毒软件，病毒库常常更，是最版本。

1、主机系统是否实行恶意代码实时检测与查杀措施。2、效劳器是否安装了实时检测与查杀恶意代码的软件产品。3、系统中是否安装了防病毒软件。4、关注防病毒软件的同时还应当保证病毒库是否准时更。1、是否有与主机防恶意代码产品有不同的恶意代码库。络防恶意代码产品不同的恶意代码库；

1〕访谈系统治理员网络防病毒软件和1〕主机防恶意代码产品与网络防2、是否具有网络防病毒主机防病毒软件分别承受什么病毒库。恶意代码产品的恶意代码库不同软件。3、网络上假设没有网络防恶意代码产品则本条不符合应支持恶意代码防范的统一治理。

访谈防恶意代码的治理方式方式。

防恶意代码统一治理，统一升级。1否具有统一的治理平台。2毒更策略。地址范围等条件限制终端登录；

访谈系统治理员了解系统对登录终端的接入方式进展限制的措施；依次开放[开头]->[掌握面板]->[网络连接]->[本地连接]属性->[Internet协议]属性中[高级]->[选项]->[TCP/IP筛选]中有没有对端口做限制；3〕假设安装有主机防火墙则查看有无登录地址限制。

1〕假设安装有主机防火墙则通过防火墙对登录地址进展限制；假设无主机防火墙，则在“TCP/IP筛选”中对端口做了限制。

3毒查杀策略。1、主要效劳器操作系统，是否设定了终端接入方式、网络地址范围等条件限制终端登录。2、是否开启了主机防火TCP/IP3、是否有硬件防火墙限制终端接入、网络地址范围。系统资源

应依据安全策略设置登录终端的操作超时锁定；

1依次开放[开头]->掌握面]->显〕等待时间应在10分钟以下示]的屏幕保护程序，查看登录该效劳在恢复时使用密码保护的选项勾器的终端是否设置了屏幕锁定。 选。2〕翻开“组策略，在“计算机配置”->“治理模板”->“Windows空闲的会话〔没有客户端活动的会话〕连续留在效劳器上的最长时间置了空闲的会话连续留在效劳上的最长时间。

1、是否通过安全策略设置登录终端的操作超时锁定。2、效劳器的终端是否都设置了操作超时锁定的配置。3、登录终端是否开启了带密码的屏幕保护功能。c〕监视效劳器的CPU、硬盘、内存、网络等资源的使用状况；

1〕访谈系统治理员了解是否常常查看“系统资源监控器”或第三方监控软件。

1〕每日至少三次查看“系统资源1、效劳器操作系统对监控器”及磁盘使用状况并记录。 效劳器硬件的哪些或使用集中监控平台实时监控系 部件使用状况进展统资源使用状况。 监控。d)应限制单个用户对系统资源的最大或最小使用限度；

访谈治理员针对系统资源掌握的治理措施，询问效劳器是否为专用效劳器；CRLALTDelete[Windows看CPU

23实现要求。4、关注监视的方式，主要目的是了解通过这些监视方式能否使治理员准时、准确了解到效劳器的资源使用状况1〕CPU使用率不超过70%。 1、效劳器操作系统，是否通过安全策略设置了单个用户对系统资源的最大或最小使用限度。2、磁盘配额是否有限制。3、主要应了解效劳器资源的安排是否能满足其业务需求。假设效劳器不是多业务竞争使用硬件资源且实时利用率不是很高，那么认为不存在资源紧急状况。确实需要多业务公用资源的，应推断当前的资源安排方式能否满足业务应能够对系统的效劳水平降低到预先规定的最小值进展检测和报警。应能够检测到系统治理数据、

1〕Windows系统自身不满足，询问系统治理员有无第三方主机监控程序。2〕假设有第三方主机监控程序，则查看是否有报警功能。检查主机操作系统，配备检测数据

有第三方主机监控程序，且其供给主动的声、光、电、短信、邮件等形式的一种或多种报警方式。

需求。1、效劳器操作系统，是否在效劳水平降低到预先规定的最小值时，能检测和报警。2、是否对监控系统效劳水平进展监控。3、是否有第三方监控