等保测评 安全计算环境 之 windows操作系统

安全计算环境之windows操作系统

1. 身份鉴别

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

“1)用户需要输入用户名和密码才能登录
2)windows默认用户名具有唯一性
3)打开“控制面板”-》“管理工具”-》“计算机管理”一“本地用户机组”检查有哪些用户，并尝试空口令登录
4)打开“控制面板”-》“管理工具”-》 “本地安全策略”一》“账户策略”“密码策略””

“1)用户登录需输入用户名和密码
2)用户具备唯一性:
3)尝试使用空口令登录，未成功
4)结果如下:
a)复杂性要求:已启用:
b)密码长度最小值:长度最小值至少为8位
c)密码长度最长使用期限。不为0
d)密码最短使用期限:不为0
e)强制密码历史:至少记住5个密码以上”

b)具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

“1)打开“控制面板”-》 “管理工具”-》“本地安全策略”一》 “账户策略”一》“密码锁定策略”
2)右键点击桌面->“个性化”->“屏幕保护程序”，查看“等待时间”的长短以及“在恢复时显示登录屏幕”选项是否打钩
需要说明的是，如果系统按上面的方法合理的设置了密码策略，此项要求就不是很重要了，因为任何攻击者都不能在一段合理的时间内猜出密码。在仅使用大小写字母与数字，用户不使用词典单词并仅附加一个数字的情况下，如果每次猜测需要半秒钟时间，猜到密码要花3，461，760年。由于密码会定期更改，攻击者猜到密码的可能性非常小。事实上，如果每隔70天更改密码，攻击者将需要相当于52,000条T3传入被攻击系统的线路,才能在密码过期前猜到一个随机的密码(当然，需要假定该容码不是词典单词)换句话说，如果密码很弱，攻击者能在十次尝话内猜到，那么何题并不是在照户锁定策略，而是弱到极点的密码”

“1)结果如下:
a)账户锁定时间:不为不适用
b)账户锁定阈值:不为不适用
2)启用了远程登录连接超时并自动退出功能”

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

“1)如果是本地管理成KVM等硬件管理方式，此要求默认满足，
2)如果采用远程管理，则需采用带加密管理的远程管理方式。在命令行输入”pgedit.msc“弹出“本地组策略编辑器”窗口，查着“本地计算机策略一》计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全”中的相关项目”

“1)本地或VM，默认符合
2)远程运维，采取加密的RDP协议”

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

“查看和询问系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令、教字证书Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术
记录系统管理员在登录操作系统使用的身份鉴别方法，同时记录使用密码的鉴别方法”

除口令之外，采用了另外一种鉴别机制，此机制采用了密码技术，如调用了密码机或采取SM1-SM4等算法

2. 访问控制

a)应对登录的用户分配账户和权限；

“访谈系统管理员，操作系统能够登录的账户，以及它们拥有的权限。
选择%systemdrive%\w indows \system、%systemroot %\system32\config等相应的文件夹，右键选择“属性”>“安全”，查看everyone组、users组