Windows2003测评指导书-三级S3A3G3-1.0版 下载本文

内容发布更新时间 : 2024/11/14 12:52:02星期一 下面是文章的全部内容请认真阅读。

公安部信息安全等级保护评估中心

序号 类别 测评项 a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 测评实施 1)查看登录是否需要密码 1)依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[密码策略],查看以下项的情况:a)复杂性要求、b)长度最小值、c)最长存留期、d)最短存留期、e)强制密码历史。 1)依次展开[开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]; 2)查看以下项的情况:a)复位账户锁定计数器、b)账户锁定时间和c)账户锁定阈值。 预期结果 1)用户需要输入用户名和密码才能登录。 a)复杂性要求已启用; b)长度最小值至少为8位; c)最长存留期不为0; d)最短存留期不为0; e)强制密码历史至少记住3个密码以上。 说明 是否必须输入密码才能登录。 所有的项只要不为默认的0或未启用就可以。 1 身份鉴别 c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; a)设置了“复位账户锁定计数器”时间; 所有的项只要不为默认b)设置了“账户锁定时间”; 的0或未启用就可以。 c)设置了“账户锁定阈值”。 1)如果是本地管理或KVM等硬件管理方式,此要求默认满足; 2)如果采用远程管理,则需采用带加密管理的远程管理方式,如启用了加密功能的3389远程管理桌面或修改远程登录端口。 d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; 1)访谈管理员在进行远程管理时如何防止鉴别信息在网络传输过程中被窃听。 关注远程管理方式及传输协议。 e) 为操作系统和数据库的不同用户分配不同的用户名,确保用户名具有唯一性; 1)依次展开[开始]->([控制面板]->)[管理工具]->[计算机管1)无多人共用同一个账号的情理]->[本地用户和组]->[用户];查看况。 用户列表,询问每个账户的使用情况。 Windows Server 2003默认不存在相同用户名的用户,但应防止多人使用同一个账号。 第 1 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 测评项 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 测评实施 1)访谈系统管理员,询问系统除密码外有无其他身份鉴别方法,如令牌、智能卡等。 1)文件权限: a)右键点击[开始],打开[开资源管理器(X)],[工具]->[文件夹选项]->[查看]中的“使用简单文件共享(推荐)”是否选中; b)右键单击下面两个文件夹的[属性]->[安全],查看users的权限。 %systemdrive%\\program files%systemroot%\\system32\\config 2)用户权限: a)[开始]->([控制面板] ->)[管理工具]->[计算机管理]->[本地用户和组]->[组] b)双击“名称”列中Administrators用户,查看成员。 预期结果 1)有两种或以上组合的鉴别技术。 说明 不同于用户名/口令的身份鉴别方法主要有动态口令、数字证书、生物信息识别等。 a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; 访问控制 2 1)a)未选中“使用简单文件共享(推荐)”选项。 b)program files文件夹的users权限只允许“读取和运行”、“列出文件夹目录”、“读取”三种权 限;config文件夹的users权限只允许“列出文件夹目录”权限; 2)普通用户、应用账户等非管理员账户不属于管理员组。 b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; 1)访谈并查看管理用户及角色的分配情况。 1)系统管理员、安全管理员、安全审计员由不同的人员和用户担当。 至少应该有系统管理员和安全管理员,安全审计员在有第三方审计工具时可以不要求。验证操作:按照3安全审计->f->1)的操作,查看第 2 页 共 9 页

公安部信息安全等级保护评估中心

序号 类别 测评项 测评实施 预期结果 说明 “管理审核和安全用户”中的用户组是否只有安全审计员。 1)操作系统的特权账户应包括管理员、安全员和审计员。至少应该有管理员和审计员,并且他们的权限是互斥关系的。 2)应保证操作系统管理员和审计员不为同一个账号,且不为同一个人。 c) 应实现操作系统和数据库系统特权用户的权限分离; 1)访谈并查看管理用户及角色的分配情况。 1)操作系统除具有管理员账户外,至少还有专门的审计管理员账户,且他们的权限互斥。 d) 应严格限制默认账户的访问权限,重命名系统默认账户,并修改这些账户的默认口令; 1)依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户]; 2)查看用户列表中是否有SUPPORT_388945a0、GUEST账户,如果有这些账户,则右键点击该[账户]->[属性],查看账户是否停用。 1)用户列表中没有名为GUEST、SUPPORT_388945a0的账户,或已经禁用。 e) 应及时删除多余的、过期的账户,避免共享账户的存在; 1)依次展开[开始]->([控制面板] ->)[管理工具]->[计算机管理]->[本地用户和组]->[用户],查看是否存在1)无多余账户、过期账户; 过期账户;)依据用户账户列表询问主2)无多人共享账户。 机管理员,每个账户是否为合法用户; 2)依据用户账户列表询问主机管理员,关注是否未清理已离职员工的账户。 第 3 页 共 9 页