等保测评2.0——Windows系统测评指导书

安全计算环境：

身份鉴别：

（高风险）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

(1)核查用户是否需要输入用户名和密码才能登录。

(2)核查Windows的默认用户名是否具有唯一性。

(3)选择“控制面板”—“管理工具”—“计算机管理”—“本地用户和组”选项, 检查有哪些用户，并尝试以空口令登录(应为无法登录)。

(4)选择“控制面板”— “管理工具” — “本地安全策略” —“账户策略”— “密码策略”选项，核查密码策略设置是否合理。

（高风险）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。

(1)选择“控制面板” 一 “管理工具”-“本地安全策略”—“账户策略” 一 “密码 锁定策略”选项，查看账户锁定时间和账户锁定阚值。

(2)在桌面上单击右键，在弹岀的快捷菜单中选择“个性化”— “屏幕保护程序”选项，查看“等待时间”，以及“在恢复时显示登录屏幕”复选框是否被勾选。

（高风险）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

(1)如果采用本地管理或KVM等硬件管理方式，则此项要求默认满足。

(2)如果釆用远程管理，则需釆用带有加密管理的远程管理方式。在命令行窗口输入gpedit.msc命令，在弹出的“本地组策略编辑器”窗口查看“本地计算机策略”—“计算 机配置” 一 “管理模板”— “Windows组件”—“远程桌面服务”—“远程桌面会话主机” — “安全”中的相关项目。

（高风险）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别， 且其中一种鉴别技术至少应使用密码技术来实现。

询问系统管理员，了解系统是否采用由口令、数字证书、生物技术等中的两种或两种以上组合的鉴别技术对用户身份进行鉴别，并核查其中一种鉴别技术是否使用密码技术来 实现。

访问控制：

应对登录的用户分配账户和权限。

(1)访谈系统管理员，了解能够登录Windows操作系统的账户及它们拥有的权限。

(2)选择 %systemdrive%\windows\system、%systemroot%\system32\config 等文件夹，单击右键，在弹岀的快捷菜单中选择“属性”—“安全”选项，查看everyone组、users组和administrators组的权限设置。

（高风险）应重命名或删除默认账户，修改默认账户的默认口令。

在命令行窗口输入lusrmgr.msc命令，在弹出的“本地用户和组（本地）”用户”窗口查看“本地用户和组（本地）”“用户”下的相关项目。

应及时删除或停用多余的、过期的账户，避免共享账户的存在。

在命令行窗口输入lusrmgr.msc命令，在弹岀的“本地用户和组(本地)'用户"窗口查看“本地用户和组(本地)” 一 “用户”下的相关项目。访谈系统管理员，了解各账户的用 途，核查账户是否属于多余的、过期的或共享账户名的。

应授予管理用户所需的最小权限，实现管理用户的权限分离。

在命令行窗口输入secpol.msc命令，在弹出的“本地安全策略”窗口查看“安全设置”—“本地策略”—“用户权限分配”下的相关项目，在详细信息窗格中可以看到可配置的用户权限策略。

（高风险）应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

(1)询问系统管理员，了解哪些用户能够配置访问控制策略。 (2)查看重点目录的权限配置，了解是否依据安全策略配置访问规则。

访问控制的粒度应达到主体为用户级或进程级，客体为文件或数据库表级。

选择 ％systemdrive%\prograni files、%systemdrive%\system32等重要的文件夹，以及 %systemdrive%\Windows\system32\config、 %systemdrive%\Windows\system32\secpol等重要的文件，单击右键，在弹出的，决捷菜单中选择“属性” 一 “安全”选项，查看访问权限设置。

应对重要主体和客体设置安全标记，并控制主体对有安全标记的信息资源的访问。

(1)查看操作系统功能手册或相关文档，确认操作系统是否具备对信息资源设置敏感标记的功能。 (2)询问管理员是否对重要信息资源设置了敏感标记。 (3)询问或查看当前敏感标记策略的相关设置。例如，如何进行敏感标记分类、如何设定访问权限等。

安全审计：

（高风险）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。

(1)查看系统是否开启了安全审计功能。在命令行窗口输入secpol.msc命令，在弹出 的“本地安全策略”窗口选择“安全设置”—“本地策略”—“审计策略”选项，在右侧 的详细信息窗格中查看审计策略的设置情况。 (2)询问系统管理员并查看是否使用了第三方审计工具或系统。

审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

(1)查看审计记录是否包含要求的信息。在命令行窗口输入eventvwr.msc命令，将弹出“事件查看器”窗口。“事件查看器(本地)”下的“Windows日志”包括“应用程序”“安全”“设置”“系统”等事件类型。单击任意类型事件，查看是否满足此项要求。

(2)如果安装了第三方审计工具，则查看审计记录是否包括日期、时间、类型、主体标识、客体标识和结果。

（高风险）应对审计记录进行保护，定期备份（异地备份），避免受到未预期的删除、修改或覆盖等。

(1)如果日志数据是在本地保存的，则核查审计记录备份周期、有无异地备份。在命令行窗口输入eventvwr.msc命令，将弹出“事件查看器“窗口。“事件查看器(本地)”下的 “Windows日志“包括“应用程序“ “安全“ “设置“ “系统”等事件类型。右键单击事件类 型，在弹岀的快捷莱单中选择“属性”选项，查看日志存储策略。

(2)核查日志数据是否存储在日志服务器上及审计策略设置是否合理。

应对审计进程进行保护，防止未经授权的中断。

(1)访谈系统管理员，了解是否有第三方对审计进程采取监控和保护措施。

(2)在命令行窗口输入secpol.msc命令，将弹出“本地安全策略“窗口。单击“安全设置“ —“本地策略”—“用户权限分配”选项，单击右键，在弹出的快捷菜单中选择“管理审核和安全日志”选项，查看是否只有系统审计员或系统审计员所在的用户组具有“管理审核和安全日志”权限。

入侵防范：

应遵循最小安装的原则，仅安装需要的组件和应用程序。

(1)询问系统管理员，了解安装的各组件的用途及有无多余的组件。在命令行窗口输 入dcomcnfg命令，打开“组件服务”界面，选择“控制台根节点” 一 “组件服务” 一 “计算机” 一 “我的电脑”选项，査看右侧组件列表中的内容。

(2)询问系统管理员，了解安装的应用程序的用途及有无多余的应用程序。在命令行窗口输入appwiz.cpl命令，打开“程序和功能”界面。

（高风险）应关闭不需要的系统服务、默认共享和高危端口。

(1)查看系统服务。在命令行窗口输入services.msc命令，打开系统服务管理界面。 查看右侧的服务详细列表中是否存在多余的服务（应为不存在），例如Alerter、Remote Registry Servicex、 Messenger、Task Scheduler是否已启动（应为否）。

(2)查看监听端口。在命令行窗口输入“netstat-an”命令，查看列表中的监听端口是否包括高危端口（应为否），例如TCP 135、139、445、593、1025 端口，UDP 135、137、138、445端口，以及一些流行病毒的后门端口，例如TCP2745、3127、6129端口。

(3)查看默认共享。在命令行窗口输入“net share“命令，查看本地计算机的所有共享资源的信息，核查是否打开了默认共享（应为否），例如C$、D$。

(4)查看主机防火墙策略。在命令行窗口输入firewall.cpl命令，打开Windows防火墙界面，查看Windows防火墙是否已启用。单击左侧列表中的“高级设置”选项，打开“高级安全Windows防火墙”窗口。单击左侧列表中的“人站规则”选项，将显示Windows 防火墙的入站规则。查看入站规则是否已阻止访问多余的服务或高危端口。

（高风险）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

(1)询问系统管理员，了解管理终端的接入方式。

(2)查看主机防火墙对登录终端接入地址的限制。在命令行窗口输入firewall.cpl命令，打开Windows防火墙界面，查看Windows防火墙是否已启用。单击左侧列表中的 “高级设置”选项，打开“高级安全Windows防火墙”窗口，然后单击左侧列表中的“入站规则”选项，双击右侧入站规则中的“远程桌面-用户模式(TCP-In)”选项，打开“远程桌面-用户模式(TCP-In)属性”窗口，选择“作用域”选项，查看相关项目。

(3)查看IP筛选器对登录终端接入地址的限制。在命令行窗口输入gpedit.msc命令, 打开本地组策略编辑器界面。单击左侧列表中的“本地计算机策略“ — “计算机配置“ 一“Windows设置“ —“安全设置“ —“IP安全策略“选项，双击右侧本地计算机限制登录终端地址的相关策略，查看“IP筛选器列表”和“IP筛选器属性”的内容。

(4)询问系统管理员，并查看是否已通过网络设备或硬件防火墙对终端接入方式、网络地址范围等条件进行限制。

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。

测评对象为操作系统层面，此项一般在应用层面测评，故此项不适用。

（高风险）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。

访谈系统管理员，了解是否定期对操作系统进行漏洞扫描，是否已对扫描发现的漏洞进行评估和补丁更新测试，是否能及时进行补丁更新，并了解更新的方法。在命令行窗口 输入appwiz.cpl命令，打开“程序和功能”界面，单击左侧列表中的“查看已安装的更新” 选项，打开“已安装更新”界面，査看右侧列表中的补丁更新情况。

应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

(1)访谈系统管理员，核查是否安装了主机入侵检测软件。查看已安装的主机入侵检测软件的配置（例如是否具备报警功能）。

(2)查看网络拓扑图，核查网络中是否部署了网络入侵检测系统。

恶意代码防范：

（高风险）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

(1)询问系统管理员，核查病毒库的更新策略。核查系统中安装的防病毒软件，以及病毒库的更新时间是否超过一个星期（应为否）。

(2)核查系统采用的可信验证机制，访谈系统管理员以了解其实现原理等。

(3)询问系统管理员，了解网络防病毒软件和主机防病毒软件分别采用何种病毒库。

(4)询问系统管理员，了解是否已采用统一的病毒更新策略和查杀策略。

(5)询问系统管理员，了解如何发现并有效阻断病毒入侵行为及报警机制等。

可信验证：

可基于可信根对设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

(1)核查服务器启动时是否进行了可信验证，查看对哪些系统引导程序、系统程序或重要配置参数进行了可信验证。

(2)通过修改重要系统程序之一和应用程序之一，核查是否能够检测到修改行为并进行报警。

(3)核查是否已将验证结果形成审计记录送至安全管理中心。

数据完整性：

（高风险）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

(1)询问系统管理员，了解不同测评对象的鉴别数据在传输过程中是否釆用了校验技术或密码技术来保证完整性。

(2)使用工具对通信报文中的鉴别数据进行修改，查看系统是否能够检测到鉴别数据的完整性在传输过程中受到破坏的情况。

应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

(1)询问系统管理员，了解不同测评对象的鉴别数据在存储过程中是否釆用了校验技术或密码技术来保证完整性。

(2)尝试修改数据库中存储的鉴别数据，以验证系统是否能够检测到鉴别数据被修改的情况。

数据保密性：

（高风险）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

(1)询问系统管理员，了解不同测评对象的鉴别数据是否已采用密码技术来保证传输 过程中的保密性。

(2)通过嗅探等方式抓取传输过程中的数据包，查看鉴别数据在传输过程中是否进行了加密处理。

（高风险）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

(1)询问系统管理员，了解不同测评对象的鉴别数据是否已釆用密码技术来保证存储过程中的保密性。

(2)核查包含鉴别数据的数据表或文件是否采用了加密存储。

数据备份恢复：

（高风险）应提供重要数据的本地数据备份与恢复功能。

(1)核查是否能提供本地数据备份措施与恢复措施。

(2)核查备份周期及备份方式。

(3)核查备份结果是否与备份策略一致。

(4)核查近期数据恢复测试记录。

（高风险）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地。

询问数据库管理员，了解是否提供了异地实时数据备份，以及是否能通过网络将重要业务数据实时备份至备份场地。

（高风险）应提供重要数据处理系统的热冗余，保证系统的高可用性。

查看网络拓扑图，核查网络中测评对象是否为单机部署。

剩余信息保护：

（高风险）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除。

在命令行窗口输入gpedit.msc命令，在弹出的“本地组策略编辑器”窗口查看“本地计算机策略”—“计算机配置” 一 “Windows设置”— “安全设置”—“本地策略”—“安全选项”中的相关项目。

（高风险）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

在命令行窗口输入gpedit.msc命令，在弹出的“本地组策略编辑器”窗口查看“本地计算机策略”—“计算机配置” 一 “Windows设置”— “安全设置”—“本地策略”—“安全选项”中的相关项目。

个人信息保护：

（高风险）应仅采集和保存业务必需的用户个人信息。

核查系统所收集的个人信息，是否为业务必须采集的人个信息。

（高风险）应禁止未授权访问和非法使用用户个人信息。

核查系统中为授权人员是否可以未授权访问和使用用户个人信息。