Windows2022年测评指导书三级S3A3G3.0版

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心第第1页共9页序号 类别 测评项应对登录操作系统和数据库系统的用户进展身份标识和鉴别；操作系统和数据库系统治理用户身份鉴别信息应具有不易被冒用的特点，口令应有简单度要求并定期更换；

测评实施1〕查看登录是否需要密码[治理工具]->[本地安全策略]->[账户策略]->[密码策略]，查看以下项的状况：abc)de)强制密码历史。[治理工具]->[本地安全策略]->[账户

预期结果1〕用户需要输入用户名和密码才能登录。简单性要求已启用；80；0；强制密码历史至少记住3个密码以上。设置了“复位账户锁定计数器”

说明是否必需输入密码才能登录。全部的项只要不为默认0取完毕会话、限制非法登录次数和1 身份自动退出等措施；鉴别d)

策略]->[账户锁定策略]；2〕查看以下项的状况：a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。1〕访谈治理员在进展远程治理时如何

时间； 全部的项只要不为默认设置了“账户锁定时间； 的0或未启用就可以c)设置了“账户锁定阈值。假设是本地治理或KVM治理方式，此要求默认满足；实行必要措施，防止鉴别信息在网络传输过程中被窃听；e)为操作系统和数据库的不同用

防止鉴别信息在网络传输过程中被窃听。1〕

假设承受远程治理，则需承受带加密治理的远程治理方式，如3389桌面或修改远程登录端口。

关注远程治理方式及传输协议。WindowsServer2022户安排不同的用户名，确保用户名具有唯一性；

1〕无多人共用同一个账号的情理]->[本地用户和组]->[用户]；查看况。用户列表，询问每个账户的使用状况。

认不存在一样用户名的用户，但应防止多人使用同一个账号。序号 类别 测评项f〕应承受两种或两种以上组合的鉴别技术对治理用户进展身份鉴别。策略掌握用户对资源的访问；访问2掌握应依据治理用户的角色安排权限，实现治理用户的权限分别，仅授予治理用户所需的最小权限；

测评实施1〕访谈系统治理员，询问系统除密码能卡等。1〕文件权限：右键点击[开头]，翻开[开资源治理器(X)]，[工具]->[文件夹选项]->[查看]中的“使用简洁文件共享〔推举是否选中；右键单击下面两个文件夹的[属性]->[安全]，查看users%systemdrive%\programfiles%systemroot%\system32\config2〕用户权限：a)[开头]->〔〕[治理工具]->[计算机治理]->[本地用户和组]->[组]双击“名称”列中Administrators用户，查看成员。1〕访谈并查看治理用户及角色的安排状况。

预期结果1〕有两种或以上组合的鉴别技术。1〕a〕未选中“使用简洁文件共享〔推举”选项。b〕programfilesusers限；configusers只允许“列出文件夹名目”权限；2〕一般用户、应用账户等非治理员账户不属于治理员组。1〕系统治理员、安全治理员、安全审计员由不同的人员和用户担当。

说明不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。至少应当有系统治理员和安全治理员，安全审计员在有第三方审计工具时可以不要求。验证3->f->1)的操作，查看序号 类别 测评项 测评实施 预期结果 说明“治理审核和安全用户”中的用户组是否只有安全审计员。1〕操作系统的特权账户应包括治理员、安全员和审计员。至少应当有应实现操作系统和数据库系统特权用户的权限分别；应严格限制默认账户的访问权限，重命名系统默认账户，并修改这些账户的默认口令；

1〕访谈并查看治理用户及角色的安排状况。〕理]->[本地用户和组]->[用户]；〕SUPPORT_388945a0、GUEST有这些账户，则右键点击该[账户]->[属性]，查看账户是否停用。1〕依次开放[开头]->([掌握面板]->)[治理工具]->[计算机治理]->[本

1〕操作系统除具有治理员账户外，至少还有特地的审计治理员账户，且他们的权限互斥。1〕用户列表中没知名为GUEST、SUPPORT_388945a0的账户，或已经禁用。

治理员和审计员，并且他们的权限是互斥关系的。2〕应保证操作系统治理员和审计员不为同一个账号，且不为同一个人。应准时删除多余的、过期的账户，避开共享账户的存在；

地用户和组]->[用户]，查看是否存在1〕无多余账户、过期账户；〕依据用户账户列表询问主〕无多人共享账户。机治理员，每个账户是否为合法用户；2

关注是否未清理已离职员工的账户。序号 类别 测评项应对重要信息资源设置敏感标记；

测评实施是否存在多人共用的账户。1〕询问系统治理员，是否实现了该功能，具体措施是什么。

预期结果1〕假设没有实行任何措施，则该项要求为不符合。

说明WindowsServer2022供给当功能。应依据安全策略严格掌握用户对1〕询问系统治理员，是否实现了该功有敏感标记重要信息资源的操作。能，具体措施是什么。依次开放[开头]->([掌握面板]->)a)安全审计应掩盖到效劳器和重[治理工具]->[本地安全策略]->[本地要客户端上的每个操作系统用户和策略]->[审核策略]；数据库用户；查看是否有审核策略启用。

1〕假设没有实行任何措施，则该项要求为不符合。1〕至少启用一项审核策略。审计账户登录大事：成功，失败

WindowsServer2022供给当功能。不能全部审计策略均未启用。a)条不符合则以下b)、c)、d)、e)、f)直接判定为不符合。至少应包含审计内容应包括重要用户行为、系统资源的特别使用和重要系统命安全 令的使用等系统内重要的安全相关审计大事；间、类型、主体标识、客体标识和结果等；

1〕依次开放[开头]->([掌握面板]->)b)审计账户治理：成功，失败[治理工具]->[本地安全策略]->[本c)审计名目效劳访问：失败地策略]->[审核策略]； d)审计登录大事：成功，失败2〕查看各审核策略对哪些操作进展审e)审计对象访问：成功，失败核。 f)审计策略更改：成功，失败审计特权使用：失败审计系统大事：成功，失败1〕默认满足。 1〕默认满足。1〕使用第三方日志分析软件或

a)审计账户登录大事、b)审计账户治理、d)审计登录大事、f)审计系统大事、g)审计系统大事的成功与失败行为。Windows“大事查看应能够依据记录数据进展分析，1〕访谈系统治理员是否有第三方日志并生成审计报表； 分析软件。

Windows计报表。

器”具备审计报表的生成功能。序号 类别 测评项预期的中断；预期的删除、修改或掩盖等。应保证操作系统和数据库治理系统用户的鉴别信息所在的存储空间，被释放或再安排给其他用户前

测评实施1〕默认满足。1〕假设日志数据本地保存，则依次开放[开头]->([掌握面板]->〕[治理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限安排]，右键点击策略“治理审核和安全统审计账户所在的用户组是否在本地安全设置的用户列表中。看“安全性”和“系统”日志“属性”的存储大小和掩盖策略。2〕假设部署了日志效劳器，则查看日志保存策略。1〕检查产品的测试报告、用户手册或治理手册，确认其是否具有相关功能；

预期结果1〕默认满足。1〕假设日志数据本地保存，则a)只有系统治理员组在本地安全设置的用户列表中b)“安全性”和“系统”日志“属512KB；掩盖周期不小于15天。2〕假设日志数据存放在日志效劳器上并且审计策略合理，则该要求为符合。1〕假设测试报告、用户手册或治理手册中没有相关描述，且没有供给第三方工具增加该功能，则

说明1〕关注“治理审核和安全日志”的权限用户，关注“安全性”和“系统”日志“属性”的存储大小和掩盖周期。2〕假设日志数据存放在日志效劳器上，则该要求向为符合。剩余得到完全去除，无论这些信息是存信息放在硬盘上还是在内存中；

或由第三方工具供给了相应功能。

该项要求为不符合。保护b〕据库记录等资源所在的存储空间，被释放或重安排给其他用户前得到完全去除。

1〕检查产品的测试报告、用户手册或治理手册，确认其是否具有相关功能；或由第三方工具供给了相应功能。

假设测试报告、用户手册或治理手册中没有相关描述，且没有供给第三方工具增加该功能，则该项要求为不符合。序号 类别 测评项应能够检测到对重要效劳器进展入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严峻入侵大事时供给报警；应能够对重要程序完整性进展检测，并在检测到完整性受到破坏后具有恢复的措施；入侵5防范

测评实施1〕访谈系统治理员是否常常查看磁盘段。1〕检查产品的测试报告、用户手册或治理手册，确认其是否具有相关功能；或由第三方工具供给了相应功能。1〕组件最小化：访谈系统安装的组件和应用程序是否遵循了最小安装的原则；2〕效劳最小化：[治理工具]->[效劳]；

预期结果1〕启用入侵检测系统，参考网络全局局部的“入侵检测系统”局部。1〕假设测试报告、用户手册或治理手册中没有相关描述，且没有供给第三方工具增加该功能，则该项要求为不符合。1〕系统安装的组件和应用程序遵循了最小安装的原则；2〕不必要的效劳没有启动；3〕不必要的端口没有翻开；

说明关注系统安装的组件c)操作系统遵循最小安装的原则，b仅安装需要的组件和应用程序，并一些不必要的效劳如AlerterRemote通过设置升级效劳器等方式保持系RegistryService、Messenger、Task统补丁准时得到更。 Scheduler是否已启动；效劳端口：cmdnetstat–an139、445。默认共享：

4〕a)“共享名”列为空，无C$、D$、IPC$等默认共享。b)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值不为“0”〔0表示共享开启〕5〕系统补丁先测试，再升级；补丁号为较版本。

和应用程序状况；2〕关注补丁是否先测试，补丁号是否为较版本。序号类别 测评项 测评实施中输入cmd点确定，输入netshare，查看共享；中输入regeditHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous“0”补丁更访谈系统补丁升级的方法，[开头regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates1〕查看系统中安装的防病毒软件。询a)问治理员病毒库更策略更防恶意代码软件版本和恶意代的最版本更日期是否超过一个星码库；

预期结果 说明在关注防病毒软件的同1〕安装了防病毒软件，病毒库经时还应当保证病毒库是常更，是最版本。否准时更。恶意6 代码b)主机防恶意代码产品应具有与网防范络防恶意代码产品不同的恶意代码库；c)应支持恶意代码防范的统一治理。

期。1〕访谈系统治理员网络防病毒软件和1〕主机防恶意代码产品与网络防主机防病毒软件分别承受什么病毒库。恶意代码产品的恶意代码库不同访谈防恶意代码的治理方式防恶意代码统一治理，统一升级。方式。

网络上假设没有网络防恶意代码产品则本条不符合关注升级方式是否统一。系统a)7资源地址范围等条件限制终端登录；

1〕访谈系统治理员了解系统对登录终端的接入方式进展限制的措施；

1〕假设安装有主机防火墙则通过防火墙对登录地址进展限制；如序号 类别掌握

测评项 测评实施2络连接]->[本地连接]属性->[Internet协议]属性中[高级]->[选项]->[TCP/IP筛选]中有没有对端口做限制；3〕假设安装有主机防火墙则查看有无登录地址限制。1

预期结果果无主机防火墙，则在“TCP/IP筛选”中对端口做了限制。1〕等待时间应在10分钟以下，

说明关注等待时间设置是否b)应依据安全策略设置登录终端的操作超时锁定；c〕监视效劳器的CPU、硬盘、内存、网络等资源的使用状况；d)应限制单个用户对系统资源的最大或最小使用限度；

示]的屏幕保护程序，查看登录该效劳器的终端是否设置了屏幕锁定。1〕访谈系统治理员了解是否常常查看“系统资源监控器”或第三方监控软件。访谈治理员针对系统资源掌握的治理措施，询问效劳器是否为专用效劳器；CRLALTDelete[Windows看CPU

在恢复时使用密码保护的选项勾选。1〕每日至少三次查看“系统资源监控器”及磁盘使用状况并记录。或使用集中监控平台实时监控系统资源使用状况。1〕CPU70%。

过长，恢复时使用密码保护是否选中。关注监视的方式，主要目的是了解通过这些监视方式能否使治理员准时、准确了解到效劳器的资源使用状况主要应了解效劳器资源的安排是否能满足其业务需求。假设效劳器不是多业务竞争使用硬件资源且实时利用率不是很高，那么认为不存在资源紧急状况。确实需要多业务公用资源的，应推断当前的资源安排方式能否满足业务需序号序号类别测评项测评实施预期结果说