等級保護2.0 三級-Windows 測評指導書

1.1安全計算環境-Windows（以Windows Server 2012為例）

1.1.1身份鑒別

測評項：
a）應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求並定期更換。
測評方法：

1. 使用Win鍵+R鍵打開運行，輸入control userpasswords2命令並運行，查看是否勾選勾選了“要使用本機，用戶必須輸入用戶名和密碼”。
2. 打開“控制面板”一>“管理工具”->“計算機管理”->“本地用戶機組”，檢查所有用戶名是否具有唯一性。
3. 打開“控制面板”一>“管理工具”->“本地安全策略”->“賬戶策略”->“密碼策略”，檢查“復雜性要求”是否開啟，記錄“密碼長度”、“密碼最短使用期限”、“密碼最長使用期限”、“密碼歷史”等策略的值。

測評項：
b）應具有登錄失敗處理功能，應配置並啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。
測評方法：

1. 打開“控制面板”->“管理工具”->“本地安全策略”一>“賬戶策略”一>“密碼鎖定策略”，記錄“賬戶鎖定時間”與“賬戶鎖定閾值”的值。
2. 打開“控制面板”->“顯示”->“更改屏幕保護程序”，查看“等待時間”的長短以及“在恢復時顯示登錄屏幕”選項是否打鈎。

測評項：
c）當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。
測評方法：

1. 如果是本地管理或KVM等硬件管理方式，此要求默認滿足。
2. 如果采用遠程管理，則需采用帶加密管理的遠程管理方式。使用Win鍵+R鍵打開運行，在命令行輸入“gpedit.msc”彈出“本地組策略編輯器”窗口，查看“本地計算機策略一>計算機配置一>管理模板一>Windows組件一>選程桌面服務〉遠程桌面會話主機->安全”中的相關項目。

測評項：
d）應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。
測評方法：

1. 查看和詢問系統管理員在登錄操作系統的過程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術，如口令、教字證書Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過程中使用了密碼技術。
2. 記錄系統管理員在登錄操作系統使用的身份鑒別方法，同時記錄使用密碼的鑒別方法。

1.1.2訪問控制

測評項：
a）應對登錄的用戶分配賬戶和權限。
測評方法：

1. 打開“控制面板”->“管理工具”->“計算機管理”->“本地用戶機組”，查看所有用戶的屬性，並記錄每個用戶隸屬的組。
2. 選擇系統盤windows、system、%systemroot%system32config等相應的文件夾，右鍵選擇“屬性”一>“安全”，查看everyone組、users組和administrators組的權限設置。

測評項：
b）應重命名或刪除默認賬戶，修改默認賬戶的默認口令。
測評方法：

1. 打開“控制面板”->“管理工具”->“本地安全策略”一>“本地策略”|一>“安全選項”，記錄“帳戶：來賓帳戶狀態”、“帳戶：管理員帳戶狀態”、“帳戶：重命名系統管理員帳戶”、“帳戶：重命名來賓帳戶”的值。

測評項：
c）應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。
測評方法：

1. 打開“控制面板”一>“管理工具”->“計算機管理”->“本地用戶機組”，查看是否存在過期賬戶，依據用戶賬戶列表詢問主機管理員，每個賬戶是否均在使用，是否存在多人共用的賬戶。

測評項：
d）應授予管理用戶所需的最小權限，實現管理用戶的權限分離。
測評方法：

1. 使用Win鍵+R鍵打開運行，輸入命令"secpol.msc”並運行，彈出“本地安全策略”窗口，查看“安全設置->本地策略>用戶權限分配”中的相關項目。右側的詳細信息窗口即顯示可配署的用戶權限策略設置

測評項：
e）應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。
測評方法：

1. 訪談系統管理員，能夠配置訪問控制策略的用戶。
2. 查看重點目錄的權限配置，是否依據安全策略配置訪問規則。

測評項：
f）訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。
測評方法：

1. 選擇%systemdrive%program files、%systemdrive%Windowssystem32等重要的文件夾，右鍵選擇“屬性”>“安全”，查看訪問權限設置。

測評項：
g）應對重要主體和客體設置安全標記，並控制主體對有安全標記信息資源的訪問。
測評方法：

1. 查看操作系統功能手冊或相關文檔，確認操作系統是否具備能對信息資源設置敏感。
2. 詢問管理員是否對重要信息資源設置敏感標記。
3. 詢問或查看目前的敏感標記策略的相關設置，如：如何划分敏感標記分類，如何設定訪問權限等。

1.1.3安全審計

測評項：
a）應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。
測評方法：

1. 使用Win鍵+R鍵打開運行，輸入命令"secpol.msc"並運行，彈出“本地安全策略”窗口，查看“安全設置->本地策略->審計策略”中的相關項目。查看“審核策略更改：成功，失敗、審核登錄事件：成功，失敗”等審核策略是否開啟。
2. 詢問並查看是否有第三方審計工具或系統。

測評項：
b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
測評方法：

1. 使用Win鍵+R鍵打開運行，輸入命令"eventvwr.msc"並運行，彈出“事件查看器”窗口，“事件查看器（本地）->Windows日志”下包括“應用程序”、“安全”、“設置”、“系統”幾類記錄事件類型，點擊任意類型事件，查看日志記錄了哪些信息。
2. 如果安裝了第三方審計工具，則查看審計記錄是否包括日期、時間，類型、主體標識、客體標識和結果。

測評項：
c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。
測評方法：

1. 如果日志數據本地保存，則詢問審計記錄備份周期，有無異地備份。使用Win鍵+R鍵打開運行，輸入命令"eventvwr.msc"並運行，彈出“事件查看器”窗口，“事件查看器（本地）->Windows日志”下包括“應用程序”、”安全”、“設置”、“系統”幾類記錄事件類型，右鍵點擊類型事件，選擇下拉菜單中的“屬性”，查看日志存儲策略。
2. 如果日志數據存放在日志服務器上並且審計策略合理，則該要求為符合。

測評項：
d）應對審計進程進行保護，防止未經授權的中斷。
測評方法：

1. 訪談是否有第三方方審計進程監控和保護的措施
2. 使用Win鍵+R鍵打開運行，輸入命令"secpol.msc"並運行，彈出“本地安全策略”窗口，點擊“安全設置->本地策略->用戶權限分配”，右鍵點擊策略中的“管理審核和安全日志”，查看是否只有系統審計員或系統審計員所在的用戶組。

1.1.4入侵防范

測評項：
a）應遵循最小安裝的原則，僅安裝需要的組件和應用程序。
測評方法：

1. 詢問管理員和查看服務器安裝的組件和應用程序是否為系統所需的。

測評項：
b）應關閉不需要的系統服務、默認共享和高危端口。
測評方法：

1. 打開“控制面板”->“管理工具”->“服務”，查看已經啟動的或者是手動的服務，一些不必要的服務如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已啟動。
2. 使用Win鍵+R鍵打開運行，輸入cmd命令並運行，輸入net share，查看開啟的共享。
3. 使用Win鍵+R鍵打開運行，輸入cmd命令並運行，輸入netstat-an查看是否有不必要端口開啟，如139、445。

測評項：
c）應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。
測評方法：

1. 訪談系統管理員並查看系統對登錄終端的接入方式進行限制的措施。
2. 如果安裝有主機防火牆則查看有無登錄地址限制。

測評項：
d）應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求。
不適用描述：
由應用系統對外提供輸入接口，通過源代碼設置或其他硬件措施實現數據有效性校驗功能，故服務器不適用此測評項。

測評項：
e）應能發現可能存在的已知浦洞，並在經過充分測試評估后，及時修補漏洞。
測評方法：

1. 訪談系統管理員是否定期對操作系統進行漏洞掃描，是否對掃描發現的漏洞進行評估和補丁更新測試，是否及時進行補丁更新
2. 打開“控制面板”->“程序和功能”，點擊左側列表中的“查看已安裝的更新”，查看右側列表中的補丁更新情況。

測評項：
f）應能夠檢測到對重要節點進行入侵的行為，並在發生嚴重入侵事件時提供報。
測評方法：

1. 訪談系統管理員是否安裝了主機入侵檢測軟件，查看已安裝的主機入侵檢查系統的配置情況，是否具備報警功能。
2. 查看網絡拓撲圖，查看網絡上是否部署了網絡入侵檢測系統，如IDS。

1.1.5惡意代碼防范

測評項：
a）應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，並將其有效阻斷。
測評方法：

1. 查看操作系統中安裝的防病毒軟件，查看病毒庫的最新版本更新日期是否超過一個月。
2. 詢問系統管理員是否有統一的病毒更新策略和查殺策略。
3. 詢問系統管理員網絡防病毒軟件和主機防病毒軟件分別采用什么病毒庫。
4. 詢問系統管理員當發現病毒入侵行為時，如何發現，如何有效阻斷等，報警機制等。
5. 查看系統中采取何種可信驗證機制，訪談管理員實現原理等。

1.1.6可信驗證

測評項：
a）可基於可信根對計算設備的系統引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，並在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，並將驗證結果形成審計記錄送至安全管理中心。
測評方法：

1. 核查服務器的啟動，是否實現可信驗證的檢測過程，查看對那些系統引導程序、系統程序或重要配置參數進行可信驗證。
2. 修改其中的重要系統程序之一和應用程序之一，核查是否能夠檢測到並進行報警。
3. 是否將驗證結果形成審計記錄送至安全管理中心。

1.1.7數據完整性

測評項：
a）應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限千鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
不適用描述：
由應用系統、數據庫系統等軟件使用https、ssh等安全協議傳輸數據實現傳輸過程中的完整性，故服務器不適用此測評項。

測評項：
b）應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限於鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
不適用描述：
由應用系統、數據庫系統等軟件使用sha256等加密算法存儲數據實現存儲過程中的完整性，故服務器不適用此測評項。

1.1.8數據保密性

測評項：
a）應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限於鑒別數據、重要業務數據和重要個人信息等。
不適用描述：
由應用系統、數據庫系統等軟件使用https、ssh等安全協議傳輸數據實現傳輸過程中的保密性，故服務器不適用此測評項。

測評項：
b）應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限千鑒別數據、重要業務數據和重要個人信息等。
不適用描述：
由數據庫系統等軟件使用sha256等加密算法存儲數據實現存儲過程中的保密性，故服務器不適用此測評項。

1.1.9數據備份恢復

測評項：
a）應提供重要數據的本地數據備份與恢復功能。
不適用描述：
通過對應用系統和數據庫進行備份和恢復測試來實現數據備份和恢復功能，故服務器不適用此測評項。

測評項：
b）應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地。
不適用描述：
通過對應用系統和數據庫進行備份和恢復測試來實現數據備份和恢復功能，故服務器不適用此測評項。

測評項：
c）應提供重要數據處理系統的熱冗余，保證系統的高可用性。
測評方法：

1. 查看網絡拓撲結構圖，訪談管理員並查看資產列表，了解網絡線路上核心交換機、應用服務器、數據庫服務器等重要節點是否采用熱備、集群等高可用方式部署。
2. 訪談管理員並查看資產列表，了解服務器等重要節點有無其他高可用方式。

1.1.10剩余信息保護

測評項：
a）應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
測評方法：

1. 打開“控制面板”->“管理工具”->“本地安全策略”->“安全設置”->“賬戶策略”->“密碼策略”，查看“用可還原的加密來存儲密碼”是否禁用。
2. 打開“控制面板”->“管理工具”->“本地安全策略”->“安全設置”->“本地策略”中的[安全選項]查看是否啟用“關機：清除虛擬內存頁面文件”。

測評項：
b）應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全清除。
測評方法：

1. 打開“控制面板”->“管理工具”->“本地安全策略”->“安全設置”->“本地策略”中的[安全選項]查看是否啟用“關機：清除虛擬內存頁面文件”。

1.1.11個人信息保護

測評項：
a）應僅采集和保存業務必需的用戶個人信息。
不適用描述：
個人信息須通過應用系統或數據庫采集和保存，服務器無法直接查看個人信息，故服務器不適用此測評項。

測評項：
b）應禁止未授權訪問和非法使用用戶個人信息。
不適用描述：
個人信息須通過應用系統或數據庫采集和保存，服務器無法直接查看個人信息，故服務器不適用此測評項。