windows主机检查判断

《windows主机检查判断》由会员分享，可在线阅读，更多相关《windows主机检查判断（5页珍藏版）》请在装配图网上搜索。

1、类别测评项核查方法判断方法身份鉴 别a）应对登录操作系统 和数据库系统的用户 进行身份标识和鉴别；检查登录是否需要密 码；检查登陆服务器是否 需要用户名/ 口令；检 查用户数量、设置密码 的用户数量、密码为空 的用户数量；一般都符 合。b）操作系统和数据库 系统管理用户身份标 识应具有不易被冒用 的特点，口令应有复杂 度要求并定期更换；本地安全策略-账户 策略- 密码策略中的 相关项目。检查密码策略的设置 情况，是否支持密码复 杂度，含长度、大小写、 特殊字符、数字混用， 使用期限等（密码最短 使用期限非0值）。c）应启用登录失败处 理功能，可采取结束会 话、限制非法登录次数 和自动退出等措施

2、；本地安全策略-账户 策略- 账户锁定策略检查账户锁定阈值，非 0值即为符合。d）当对服务器进行远 程管理时，应采取必要 措施，防止鉴别信息在 网络传输过程中被窃 听；访谈管理员在进行远 程管理时如何防止鉴 别信息在网络传输过 程中被窃听；在远程管理操作中是 否使用了 SSL协议 （RDP协议5.1以后默认为安全的连接协 议）。e）为操作系统和数据 库的不同用户分配不 同的用户名，确保用户 名具有唯一性；“管理工具”-“计算 机管理”-“本地用户 和组中的“用户”， 检查其中的用户名是 否出现重复。如果多个人共用一个 账户或数据库管理账 户身份为主机管理员（Administrator）则 为不

3、符合；主机与数据 库都具有同样的用户 名但密码不同应为符 合。f）应采用两种或两种 以上组合的鉴别技术 对管理用户进行身份 鉴别。访谈系统管理员，访谈 系统除密码外有无其 他身份鉴别方法，如令 牌、智能卡等。是否采用除用户名/口 令之外的其他鉴别方 式，如生物信息或用户 拥有的某项物品，Key 或数字证书。类别测评项核查方法判断方法访问控 制a）应启用访问控制功 能，依据安全策略控制 用户对资源的访问；windows依据默认策略 启用访问控制功能；默 认符合。b）应根据管理用户 的角色分配权限，实现 管理用户的权限分离， 仅授予管理用户所需 的最小权限；访谈并检查管理用户 及角色的分配情况。系

4、统存在多用户时应 有权限划分，最低限度 应有审计员分散管理 权限，则为符合；若一 项操作必须2人以上 完成即为符合。c）应实现操作系统和 数据库系统特权用户 的权限分离；如果安装了数据库系 统，访谈操作系统管理 员是否同时担任数据 库管理员职责，且数据 库管理账户是否付给 专门的数据库管理员；检查是否存在一个账 户同时管理操作系统 和数据库系统的情况， 是否存在数据库与操 作系统管理员同一人 的情况。d）应严格限制默认账 户的访问权限，重命名 系统默认账户，并修改 这些账户的默认口令；访谈管理员当前系统 用户状况；Windows用户只要设定 了密码，即为符合；e）应及时删除多余的、 过期的账户

5、，避免共享 账户的存在；检查系统账户列表，访 谈管理员是否存在多 余的、过期的、共享的 账户；检查是否存在多余、过 期、共享的账户。f）应对重要信息资源 设置敏感标记；访谈系统管理员，检查 系统中是否存在如 POST技术等系统加固 组件；对重要信息资源 设置了敏感标记；询问或查看目前的敏 感标记策略的相关设 置，如：如何划 分敏感标记分类，如何 设定访问权限等 Windows默认不符合；g）应依据安全策略严 格控制用户对有敏感 标记重要信息资源的 操作。访谈系统管理员，检查 系统中是否存在如 POST技术等系统加固 组件；对重要信息资源 设置了敏感标记；是否对重要信息资源 设置敏感标记。安全审

6、 计a）安全审计应覆盖到 服务器和重要客户端 上的每个操作系统用 户和数据库用户；检查“本地安全策略” 检查审计功能是否启 用；Windows操作系统默认 开启审计功能，默认符 合；数据库需要检查其 是否存在审计功能；类别测评项核查方法判断方法b）审计内容应包括重 要用户行为、系统资源 的异常使用和重要系 统命令的使用等系统 内重要的安全相关事 件；记录 Windows 审计功 能中开启的项目；检查审核策略中是否 开启对系统的审核，如 有即为符合。c）审计记录应包括事 件的日期、时间、类型、 主体标识、客体标识和 结果等；检查事件检查器相关 记录是否包括时间、主 客体标识和事件结果 等信息；w

7、indows默认符合。d）应能够根据记录数 据进行分析，并生成审 计报表；检查Windows “事件检 查器”。访谈系统管理 员是否还有其他第三 方日志分析工具。Windows默认不符合。e）应保护审计进程， 避免受到未预期的中 断；Windows系统自身满 足。windows默认符合。f）应保护审计记录， 避免受到未预期的删 除、修改或覆盖等。1. 检查“权限指派”中 管理审计日志的权限， 看是否只有系统管理 员组能删除。2. 检查“事件检查器” 中“安全”和“系统” 日志的存储大小和覆 盖策略。3. 访谈审计记录的存 储、备份和保护的措 施，如配置日志服务器 等检查是否配置日志服 务器，日

8、志是否远端保 存；检查审计记录的存 储、备份和保护措施。剩余信 息保护a）应保证操作系统和 数据库管理系统用户 的鉴别信息所在的存 储空间，被释放或再分 配给其他用户前得到 完全清除，无论这些信 息是存放在硬盘上还 是在内存中；“安全策略”中“不 显示上次登录用户 攵， 名 0检查本地策略的安全 选项是否选中不显示 上次用户名，选中则为 符合。类别测评项核查方法判断方法b）应确保系统内的文 件、目录和数据库记录 等资源所在的存储空 间，被释放或重新分配 给其他用户前得到完 全清除。清除虚拟内存页面：“本地安全策略”- 本地策略中的安全选 项，检查“关机前清除 虚拟内存页面”，和“用 可还原的加

9、密来存储 密码”是否开启。检查“关机前清除虚拟 内存页面”和“用可还 原的加密来存储密码” 前者应为启用，后者应 为不启用。入侵防 范a）应能够检测到对重 要服务器进行入侵的 行为，能够记录入侵的 源IP、攻击的类型、 攻击的目的、攻击的时 间，并在发生严重入侵 事件时提供报警；访谈系统管理员有那 些系统安全性监控措 施。检查是否具有入侵检 测措施并能够报警，如 无则不符合。b）应能够对重要程序 完整性进行检测，并在 检测到完整性受到破 坏后具有恢复的措施；Windows系统自身满 足。检查是否对重要程序 启用DEP等功能， Windows系统自身满 足。c）操作系统遵循最小 安装的原则，仅安

10、装需 要的组件和应用程序， 并通过设置升级服务 器等方式保持系统补 丁及时得到更新。检查系统安装程序情 况，是否遵循了最小安 装的原则：检查系统补丁升级情 况；检查是否开启不需要 的服务和监听端口；检 查补丁升级方式和最 近的补丁更新时间。恶意代码防范a）应安装防恶意代码 软件，并及时更新防恶 意代码软件版本和恶 意代码库；检查系统中安装的防 病毒软件与版本升级 情况。访谈管理员病毒 库更新策略。检查病毒 库的最新版本更新日 期是否超过一个星期。检查是否安装防恶意 代码软件，版本更新情 况和病毒库更新周期 是否超过一个星期，是 即不符合。b）主机防恶意代码产 品应具有与网络防恶 意代码产品不同

11、的恶 意代码库；访谈系统管理员网络 防病毒软件和主机防 病毒软件分别采用什 么病毒库。访谈系统管理员网络 防病毒产品和主机防 病毒产品分别采用什 么病毒库，是否相同， 是即不符合。c）应支持恶意代码防 范的统一管理。访谈防恶意代码的管 理方式，例如升级方 式。访谈系统管理员是否 采有统一的病毒更新 和查杀策略，查杀频率 多少。类别测评项核查方法判断方法资源控制a）应通过设定终端接 入方式、网络地址范围 等条件限制终端登录；1、检查系统对登录终 端的接入方式进行限 制的措施；2、检查网络属性中 “ Internet 属性”中 “高级”-“选项”- “TCP/IP筛选”中有没有对端口做限制。如 果

12、安装有主机防火墙 则检查有无登录地址 限制。检查防火墙相关配置 或TCP/IP筛选，检查 是否通过网络设备或 硬件防火墙设置了 ACL，实现限制终端登 录。b）应根据安全策略设 置登录终端的操作超 时锁定；Windows检查是否设置 了屏幕锁定；检查是否开启了带密 码的屏幕保护功能；在 组策略中检查“空闲会 话限制”中是否配置了 空闲的会话继续留在 服务器上的最长时间。c）应对重要服务器进 行监视，包括监视服务 器的CPU、硬盘、内存、 网络等资源的使用情 况；访谈系统管理员是否 采用系统性能监控措 施。windows自身有系统资 源管理器对系统资源 进行手动监控，如有人 工监控，记录监控的内 容和周期，如使用监控 软件，记录软件的内容 和监控的内容。d）应限制单个用户对 系统资源的最大或最 小使用限度；访谈管理员针对系统 资源控制的管理措施；访谈管理员针对系统 资源控制的管理措施， Windows可以了解用户 磁盘配额的设置 Windows默认符合。e）应能够对系统的服 务水平降低到预先规 定的最小值进行检测 和报警。Windows系统自身不符 合，访谈系统管理员有 无第三方主机监控程 序。访谈管理员日常如何 监控系统服务水平，能 否在服务水平降低到 一定值时进行检测和 报警。如果有第三方监 控程序，检查相关功 能，Windows默认不符 合。