1、控制編號：SGISL/OP-SA29-10信息安全等級保護測評作業(yè)指導(dǎo)書Windows主機（三級）版 號：第 2 版修 改 次 數(shù):第 0 次生 效 日 期：2010年01月06日中國電力科學(xué)研究院信息安全實驗室中國電力科學(xué)研究院信息安全實驗室控制編號：SGISL/OP-SA29-10第 26 頁 共 1 頁Windows等級保護測評作業(yè)指導(dǎo)書（三三）第 2 版 第 0 次修訂發(fā)布日期：2010年01月06日修改頁修訂號控制編號版號/章節(jié)號修改人修訂原因批準人批準日期備注1SGISL/OPSA29-10毛澍按公安部要求修訂詹雄2010.3。8一、身份鑒別1用戶身份標識和鑒別測評項編號ADT-O

2、S-WIN01w_22500 57E4 埤40637 9EBD 麼35363 8A23 訣Ow對應(yīng)要求a） 應(yīng)對登錄操作系統(tǒng)的用戶進行身份標識和鑒別。測評項名稱用戶身份標識和鑒別測評分項1:查看登錄是否需要口令或其他認證方式操作步驟在系統(tǒng)管理員登錄系統(tǒng)過程中，查看是否需要輸入口令或采用其他認證方式適用版本任何版本實施風險無符合性判定如果需要輸入口令或采用其他認證方式，判定結(jié)果為符合；如果不需要任何認證過程，判定結(jié)果為不符合.測評分項2：檢查操作系統(tǒng)是否允許開機自動登錄操作步驟在“開始運行”窗口內(nèi)運行注冊表編輯器應(yīng)用程序“Regedit。exe”,對目錄“我的電腦HKLMSoftwareMicr

3、osoftWindowsNT CurrentVersionWinlogonAutoAdminLogon”下的內(nèi)容進行記錄。適用版本p%24732 609C 悜a23839 5D1F 崟31791 7C2F 簯30367 769F 皟Windows2000、Windows XP、Windows 2003實施風險無符合性判定AutoAdminLogon 的值為0,表示不允許開機自動登錄，判定結(jié)果為符合；AutoAdminLogon 的值為1，表示允許開機自動登錄,判定結(jié)果為不符合。備注2賬號口令強度測評項編號ADT-OSWIN02對應(yīng)要求b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易被冒用的特

4、點，口令應(yīng)有復(fù)雜度要求并定期更換。測評項名稱賬號口令強度測評分項1：檢查系統(tǒng)是否存在弱口令操作步驟1）嘗試典型弱口令，2）參見掃描結(jié)果，3）詢問管理員口令位數(shù)和復(fù)雜度適用版本36341 8DF5 踐N,33493 82D5 苕28219 6E3B 渻33662 837E 荾21245 52FD 勽Windows2000、Windows XP、Windows 2003實施風險無符合性判定系統(tǒng)所有帳戶密碼都在8 位以上，數(shù)字字母混合,判定結(jié)果為符合；系統(tǒng)所有帳戶密碼都在6 位8 位，判定結(jié)果為基本符合；系統(tǒng)存在空口令或密碼小于6 位的帳戶,判定結(jié)果為不符合.測評分項2:檢查系統(tǒng)密碼策略操作步驟開始

5、程序|管理工具|本地安全設(shè)置安全設(shè)置|帳號策略|密碼策略：密碼必須符合復(fù)雜性要求；密碼長度最小值；密碼最長存留期；適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定“密碼必須符合復(fù)雜性要求”設(shè)置為啟用；“密碼長度最小值”設(shè)置為8 位或8 位以上，“密碼最長存留期"設(shè)置為42 天以下，判定結(jié)果為符合；否則為不符合。備注25094 6206 戇=X32684 7FAC 羬37596 92DC 鋜x38574 96AE 隮3檢查帳戶鎖定策略測評項編號ADTOSWIN03對應(yīng)要求c 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動

6、退出等措施.測評項名稱檢查帳戶鎖定策略測評分項1：檢查帳戶鎖定策略操作步驟開始程序|管理工具|本地安全設(shè)置安全設(shè)置帳號策略|帳戶鎖定策略：帳戶鎖定時間;帳戶鎖定閥值；適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定“帳戶鎖定時間”設(shè)置為30 分鐘或30 分鐘以下；“帳戶鎖定閥值”設(shè)置為3次或3 次以上,判定結(jié)果為符合；否則為不符合.4遠程管理方式測評項編號29197 720D 爍22861 594D 奍21691 54BB 咻29112 71B8 熸e26518 6796 枖HADT-OS-WIN-04對應(yīng)要求d）當對服務(wù)器進行遠程管理時，應(yīng)采

7、取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。測評項名稱遠程管理方式測評分項1：遠程管理方式操作步驟詢問系統(tǒng)管理員,系統(tǒng)采用何種遠程管理方式，并記錄遠程管理軟件的版本。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定不允許遠程登錄或采用ssh 等加密方式，判定結(jié)果為符合；采用FTP、Telnet 等明文校驗協(xié)議的遠程管理方式,判定結(jié)果為不符合。5用戶名具有唯一性測評項編號ADT-OSWIN-0538851 97C3 韃40190 9CFE 鳾31345 7A71 穱25540 63C4 揄38404 9604 鬮36172 8D4C 賭對應(yīng)要

8、求e）應(yīng)為操作系統(tǒng)的不同用戶分配不同的用戶名,確保用戶名具有唯一性。測評項名稱用戶名具有唯一性測評分項1：用戶名具有唯一性操作步驟“管理工具”“計算機管理”>“本地用戶和組”中的“用戶"，檢查其中的用戶名是否出現(xiàn)重復(fù)。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定無重命名用戶,判定結(jié)果為符合；有重命名用戶，判定結(jié)果為不符合。6身份鑒別測評項編號ADTOS-WIN-06對應(yīng)要求l35448 8A78 詸21968 55D0 嗐Hp40275 9D53 鵓+f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。測評項名稱

9、身份鑒別測評分項1:身份鑒別操作步驟訪談管理員，詢問系統(tǒng)是否采用了兩種或兩種以上的身份鑒別方式。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定采用兩種或兩中以上加密方式，判定結(jié)果為符合；否則判定結(jié)果為不符合。二、訪問控制1控制用戶對資源的訪問測評項編號ADTOSWIN07對應(yīng)要求a） 應(yīng)啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問。，Q023308 5B0C 嬌31260 7A1C 稜（7測評項名稱控制用戶對資源的訪問測評分項1：是否開啟默認共享或Admin 共享操作步驟在命令提示符窗口，執(zhí)行以下命令：net share適用版本任何版本

10、實施風險無符合性判定沒有開啟不需要的共享，如IPS$、ADMIN$、C$等，判定結(jié)果為符合；開啟不需要的共享，如IPS、ADMIN$、C等，判定結(jié)果為不符合。測評分項2:共享文件的訪問控制操作步驟打開“開始所有程序管理工具計算機管理系統(tǒng)工具共享文件夾共享”窗口,對窗口右側(cè)的共享信息欄目進行查看，對存在的共享進行記錄，并對建立的應(yīng)用共享進行訪問權(quán)限的檢查.此外,需對建立的應(yīng)用共享進行應(yīng)用狀況的詢問，以決定該應(yīng)用共享的建立是否具有實際的應(yīng)用意義。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險29474 7322 猢A35725 8B8D 讍27411 6B1

11、3 欓22138 567A 噺DR無10符合性判定系統(tǒng)沒有開啟不需要的共享，對于開啟的共享設(shè)置訪問權(quán)限，允許管理員通過密碼訪問，判定結(jié)果為符合;系統(tǒng)開啟不需要的共享，判定結(jié)果為不符合。備注測評分項3：重要數(shù)據(jù)的訪問控制操作步驟首先進入到提供應(yīng)用服務(wù)的文件、目錄,對該文件、目錄點擊“右鍵屬性”,打開屬性頁的“安全”選項卡，對用戶“Users、EveryOne”的權(quán)限進行記錄。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定重要的文件、目錄只允許管理員訪問通過密碼訪問,判定結(jié)果為符合；對重要的文件、目錄的訪問沒有限制，判定結(jié)果為不符合。備注2用戶權(quán)

12、限檢查測評項編號ADT-OS-WIN-0839913 9BE9 鯩Oj937234 9172 酲38042 949A 钚對應(yīng)要求b）應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。測評項名稱用戶權(quán)限檢查測評分項1：用戶權(quán)限檢查操作步驟開始所有程序管理工具計算機管理系統(tǒng)工具本地用戶和組用戶（組)"窗口，對窗口右側(cè)的用戶（組）信息欄目進行查看，對存在的關(guān)鍵用戶及用戶組進行記錄，并對其擁有的權(quán)限進行查看。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定各帳戶根據(jù)最小權(quán)限分配原則，帳戶的權(quán)限分配合理,判定結(jié)

13、果為符合；帳戶沒有最小權(quán)限分配原則，判定結(jié)果為不符合.3用戶的權(quán)限分離測評項編號ADTOS-WIN09對應(yīng)要求28666 6FFA 濺21160 52A8 動z35895 8C37 谷25987 6583 斃34470 86A6 蚦c）應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離。測評項名稱用戶的權(quán)限分離測評分項1：用戶的權(quán)限分離操作步驟結(jié)合系統(tǒng)管理員的組成情況，判定是否實現(xiàn)了該項要求.對安裝了數(shù)據(jù)庫的操作系統(tǒng)，檢查操作系統(tǒng)中的數(shù)據(jù)庫管理賬號的權(quán)限。適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險無符合性判定使用的數(shù)據(jù)庫帳戶只能登錄數(shù)據(jù)庫，不能登錄操作系統(tǒng)

14、，判定結(jié)果為符合；數(shù)據(jù)庫帳戶可以登錄操作系統(tǒng)，判定結(jié)果為不符合。4賬戶權(quán)限配置測評項編號ADT-OS-WIN-10對應(yīng)要求d)應(yīng)嚴格限制默認帳戶的訪問權(quán)限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令。32769 8001 老230814 785E 硞N29921 74E1 瓡30898 78B2 碲測評項名稱賬戶權(quán)限配置測評分項1：administrator 是否更名操作步驟執(zhí)行以下命令：net user適用版本任何版本實施風險無符合性判定系統(tǒng)不存在administration 帳戶，判定結(jié)果為符合；系統(tǒng)存在administration 帳戶，且為管理員帳戶,判定結(jié)果為不符合。測評分項2：檢查

15、系統(tǒng)Guest 帳號操作步驟執(zhí)行以下命令：net user guest適用版本W(wǎng)indows2000、Windows XP、Windows 2003實施風險Lt36788 8FB4 辴ZF無符合性判定系統(tǒng)中g(shù)uest 帳戶被禁用，判定結(jié)果為符合；系統(tǒng)存在guest 帳戶且沒有禁用，判定結(jié)果為不符合。備注5系統(tǒng)是否存在多余帳號測評項編號ADT-OSWIN11對應(yīng)要求e) 應(yīng)及時刪除多余的、過期的帳戶，避免共享帳戶的存在.測評項名稱系統(tǒng)是否存在多余帳號測評分項1：檢查系統(tǒng)是否存在多余帳號操作步驟執(zhí)行以下命令：net user訪談系統(tǒng)管理員,是否存在無用的多余帳號.打開“開始所有程序管理工具計算機管

16、理系統(tǒng)工具本地用戶和組用戶（組）"窗口，對窗口右側(cè)的用戶（組）信息欄目進行查看，對存在的關(guān)鍵用戶及用戶組進行記錄,并對其擁有的權(quán)限進行查看。此外，對于系統(tǒng)內(nèi)新建的用戶（組）需進行其存在意義的詢問，以決定該用戶(組）是否具有存在意義。適用版本vQ33216 81C0 臀f22946 59A2 妢y任何版本實施風險無符合性判定系統(tǒng)不存在無用的帳戶，判定結(jié)果為符合；系統(tǒng)中存在無用的帳戶，判定結(jié)果為不符合.6資源敏感標記設(shè)置檢查測評項編號ADTOS-WIN12對應(yīng)要求f)應(yīng)對重要信息資源設(shè)置敏感標記。測評項名稱資源敏感標記設(shè)置檢查測評分項1：資源敏感標記設(shè)置檢查操作步驟詢問管理員系統(tǒng)是否對重

17、要信息資源設(shè)置了敏感標記。適用版本任何版本H27773 6C7D 汽29644 73CC 珌=21607 5467 呧l(xiāng)20182 4ED6 他實施風險無符合性判定對重要信息資源設(shè)置了敏感標記，判定結(jié)果為符合;對重要信息資源沒有設(shè)置敏感標記，判定結(jié)果為不符合。7有敏感標記的資源訪問測評項編號ADT-OSWIN13對應(yīng)要求g）應(yīng)依據(jù)安全策略嚴格控制用戶對有敏感標記信息資源的操作。測評項名稱有敏感標記的資源訪問測評分項1：有敏感標記的資源訪問操作步驟詢問管理員是否有安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。適用版本任何版本實施風險a”26072 65D8 旘n036703 8F5F 轟3

18、7511 9287 銇無符合性判定有安全策略嚴格控制用戶對有敏感標記重要信息資源的操作，判定結(jié)果為符合；沒有有安全策略控制用戶對有敏感標記重要信息資源的操作，判定結(jié)果為不符合。三、安全審計1審計內(nèi)容測評項編號ADTOSWIN-14對應(yīng)要求a） 審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶。b） 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件。c） 審計記錄應(yīng)包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等。測評項名稱審計內(nèi)容測評分項1：審計內(nèi)容操作步驟進入“控制面板/管理工具/本地安全策略",在“本地策略->審核策略

19、”中，查看本地安全策略審計功能是否啟用；查看相應(yīng)的審核,查看事件查看器相關(guān)記錄是否包括時間、主客體標識和事件結(jié)果等信息。訪談安全審計員，詢問主機系統(tǒng)是否設(shè)置那些安全審計功能，查看審計記錄信息是否包括事件發(fā)生的日期與時間、觸發(fā)事件的主體與客體、事件的類型、事件成功或失敗、身份鑒別事件中請求的來源（如末端標識符）、事件的結(jié)果等內(nèi)容。22584 5838 堸20629 5095 傕:40637 9EBD 麼35363 8A23 訣Ow適用版本任何版本實施風險無符合性判定對于安全審計a：啟用本地安全策略,判定結(jié)果為符合；沒有啟用本地安全策略，判定結(jié)果為不符合。對于安全審計b：對審核策略更改、審核登錄事

20、件、審核帳戶登錄事件、審核帳戶管理的成功、失敗進行審計，判定結(jié)果為符合；對審核策略更改、審核登錄事件、審核帳戶登錄事件、審核帳戶管理的成功、失敗進行審計，判定結(jié)果為符合；對審核策略更改、審核登錄事件、審核帳戶登錄事件、審核帳戶管理中的一個或幾個項目進行審計，判定結(jié)果為基本符合。對于安全審計c：審計記錄包括時間、主客體標識和事件結(jié)果等信息，判定結(jié)果為符合;審計記錄沒有包括時間、主客體標識和事件結(jié)果等信息,判定結(jié)果為不符合。2審計日志分析測評項編號ADTOSWIN15對應(yīng)要求d） 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表。測評項名稱審計日志分析測評分項1：審計日志分析操作步驟詢問管理員，查看是否

21、為授權(quán)用戶瀏覽和分析審計數(shù)據(jù)提供專門的審計工具（如對審計記錄進行分類、排序、查詢、統(tǒng)計、分析和組合查詢等），并能根據(jù)需要生成審計報表。p24732 609C 悜a23839 5D1F 崟31791 7C2F 簯30367 769F 皟適用版本任何版本實施風險無符合性判定管理員定期對審計日志進行分析，生成審計報表，判定結(jié)果為符合；管理員不能定期查看審計日志，沒有生成審計報表，判定結(jié)果為不符合。3保護進程測評項編號ADTOSWIN-16對應(yīng)要求e）應(yīng)保護審計進程，避免受到未預(yù)期的中斷測評項名稱保護進程測評分項1：保護進程操作步驟Windows系統(tǒng)具備了在審計進程自我保護方面功能。適用版本36341

22、 8DF5 踐N，33493 82D5 苕28219 6E3B 渻33662 837E 荾21245 52FD 勽任何版本實施風險無符合性判定不適用。4系統(tǒng)日志存儲測評項編號ADTOSWIN-17對應(yīng)要求f) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等.測評項名稱系統(tǒng)日志存儲測評分項1：系統(tǒng)日志存儲操作步驟開始|運行eventvwr或管理工具事件察看器|系統(tǒng)右鍵“屬性”適用版本任何版本實施風險25094 6206 戇=X32684 7FAC 羬37596 92DC 鋜x38574 96AE 隮無符合性判定最大日志文件大?。?12KB；當達到最大的日志大小時：按需要改寫事件，判定結(jié)果為符

23、合；最大日志文件大小、當達到最大的日志大小時沒有設(shè)置，判定結(jié)果為不符合。四、剩余信息保護1鑒別信息保護測評項編號ADT-OS-WIN-18對應(yīng)要求a）應(yīng)保證操作系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。測評項名稱鑒別信息保護測評分項1：鑒別信息保護操作步驟開始|控制面板|管理工具本地安全策略|安全設(shè)置本地策略|安全選項|交互式登錄：不顯示上次的用戶名.適用版本任何版本實施風險29197 720D 爍22861 594D 奍21691 54BB 咻29112 71B8 熸e26518 6796 枖H無符合性判定交互式登錄：不

24、顯示上次的用戶名為“已啟用",則判定結(jié)果為符合；交互式登錄：不顯示上次的用戶名為“已禁用”,則判定結(jié)果為不符合.2存儲文件剩余信息保護測評項編號ADT-OSWIN-19對應(yīng)要求b)應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。測評項名稱存儲文件剩余信息保護測評分項1：存儲文件剩余信息保護操作步驟訪談管理員，詢問系統(tǒng)內(nèi)的文件、目錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前是否得到完全清除。適用版本任何版本實施風險無38851 97C3 韃40190 9CFE 鳾31345 7A71 穱25540 63C4 揄38404 96

25、04 鬮36172 8D4C 賭符合性判定制定剩余信息保護制度，保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源在被釋放或再分配給其他用戶前得到完全清除,并且對硬盤就行格式化，則判定結(jié)果為符合；沒有制定剩余信息保護制度，系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源在被釋放或再分配給其他用戶前沒有得到完全清除，則判定結(jié)果為不符合。五、入侵防范1操作系統(tǒng)補丁及程序安裝原則測評項編號ADTOSWIN-20對應(yīng)要求a）操作系統(tǒng)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新.測評項名稱操作系統(tǒng)補丁及程序安裝原則測評分項1：操作系統(tǒng)補丁升級情操作步驟開始運行-syst

26、eminfo適用版本任何版本實施風險無符合性判定l35448 8A78 詸21968 55D0 嗐Hp40275 9D53 鵓+定期進行補丁升級，升級到最新的安全補丁，則判定結(jié)果為符合；沒有定期升級補丁，則判定結(jié)果為不符合。測評分項2:檢查系統(tǒng)開啟的服務(wù)操作步驟使用腳本程序或打開“開始所有程序管理工具計算機管理服務(wù)和應(yīng)用程序服務(wù)”窗口，對窗口右側(cè)的系統(tǒng)服務(wù)信息欄目進行查看，對一些啟用的關(guān)鍵的服務(wù)進行記錄。對于一些應(yīng)用服務(wù)需向系統(tǒng)管理員進行詢問，以決定該項服務(wù)是否為系統(tǒng)所必需啟用的服務(wù)。適用版本任何版本實施風險無符合性判定沒有開啟以上不必要的服務(wù)，則判定結(jié)果為符合；開啟了以上不需要的服務(wù)，則判定

27、結(jié)果為不符合.測評分項3：檢查系統(tǒng)開放的端口操作步驟在命令提示符窗口，鍵入命令行“netstat ano 查看并記錄系統(tǒng)開放的TCP端口和UDP 端口，打開任務(wù)管理器查看開啟端口的進程。對于一些不明端口或進程，需向管理員進行詢問，以決定該端口或進程是否為系統(tǒng)服務(wù)所必需。適用版本任何版本實施風險,Q023308 5B0C 嬌31260 7A1C 稜（7無符合性判定沒有開啟以上不必要的端口，則判定結(jié)果為符合；開啟了以上不需要的端口，則判定結(jié)果為不符合。測評分項4：檢查系統(tǒng)安裝的軟件情況操作步驟開始-設(shè)置控制面板-刪除添加程序適用版本任何版本實施風險無符合性判定系統(tǒng)沒有安裝不需要的、與業(yè)務(wù)無關(guān)的軟件

28、，則判定結(jié)果為符合；系統(tǒng)安裝了不需要的軟件，則判定結(jié)果為不符合。測評分項5:檢查多余Windows 組件操作步驟打開“開始控制面板添加刪除程序更改或刪除Windows 組件”,對該窗口內(nèi)安裝的Windows 組件進行記錄,并需要對系統(tǒng)管理員進行相關(guān)組件的詢問，以辨別系統(tǒng)內(nèi)是否存在安裝多余的Windows 組件。適用版本29474 7322 猢A35725 8B8D 讍27411 6B13 欓22138 567A 噺DR任何版本實施風險無符合性判定系統(tǒng)沒有安裝不需要的、與業(yè)務(wù)無關(guān)的Windows 組件,則判定結(jié)果為符合；系統(tǒng)安裝了不需要的Windows 組件,則判定結(jié)果為不符合。2攻擊事件的紀錄

29、情況測評項編號ADTOSWIN-21對應(yīng)要求b）應(yīng)能夠檢測到對重要服務(wù)器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。測評項名稱攻擊事件的紀錄情況測評分項1：攻擊事件的紀錄情況操作步驟應(yīng)訪談管理員,詢問主機系統(tǒng)是否安裝了入侵防范系統(tǒng),入侵防范內(nèi)容是否包括主機運行監(jiān)視、資源使用超過值報警、特定進程監(jiān)控、入侵行為檢測、能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警，提供何種形式的報警；是否對特征庫進行定期升級.適用版本任何版本39913 9BE9 鯩Oj937234 9172 酲38042 949

30、A 钚實施風險無符合性判定系統(tǒng)安裝了入侵防范系統(tǒng)，能夠?qū)χ鳈C運行情況進行監(jiān)控,并設(shè)定報警功能，能夠記錄入侵事件的相關(guān)信息，則判定結(jié)果為符合；系統(tǒng)沒有安裝入侵防范系統(tǒng)，不能對主機運行情況進行監(jiān)控,不能提供報警，不能九路相關(guān)的入侵事件的信息，則判定結(jié)果為不符合。3系統(tǒng)完整性及恢復(fù)測評項編號ADT-OSWIN-22對應(yīng)要求c）應(yīng)能夠?qū)χ匾绦虻耐暾赃M行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施。測評項名稱系統(tǒng)完整性及恢復(fù)測評分項1：系統(tǒng)完整性及恢復(fù)操作步驟應(yīng)訪談管理員，詢問主機系統(tǒng)是否安裝了入侵防范系統(tǒng),查看入侵防范內(nèi)容是否包括完整性檢測；查看系統(tǒng)是否安裝了恢復(fù)軟件，并保證在完整性受到破壞后能

31、夠及時恢復(fù).適用版本任何版本實施風險28666 6FFA 濺21160 52A8 動z35895 8C37 谷25987 6583 斃34470 86A6 蚦無符合性判定系統(tǒng)安裝了入侵防范系統(tǒng)和備份恢復(fù)軟件,能夠檢測系統(tǒng)的完整性，定期對系統(tǒng)進行備份，并能夠?qū)ο到y(tǒng)進行恢復(fù)，則判定結(jié)果為符合;系統(tǒng)不能檢測重要程序的完整性，不能對系統(tǒng)那個進行恢復(fù)，則判定結(jié)果為不符合。六、惡意代碼防范1檢查系統(tǒng)防病毒軟件部署測評項編號ADT-OSWIN-23對應(yīng)要求a) 應(yīng)安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。測評項名稱檢查系統(tǒng)防病毒軟件部署測評分項1：檢查系統(tǒng)防病毒軟件部署操作步驟打開“開始

32、所有程序”列表，檢查系統(tǒng)內(nèi)是否存在網(wǎng)絡(luò)版或單機版的防病毒軟件；對于存在的防病毒軟件,需記錄其軟件名稱、版本、最近的升級日期等信息、系統(tǒng)中是否感染了病毒。適用版本任何版本實施風險32769 8001 老230814 785E 硞N29921 74E1 瓡30898 78B2 碲無符合性判定系統(tǒng)安裝防病毒軟件及防火墻，定期對病毒庫進行升級,則判定結(jié)果為符合；系統(tǒng)沒有安裝防病毒軟件及防火墻，則判定結(jié)果為不符合。2惡意代碼統(tǒng)一管理測評項編號ADT-OSWIN24對應(yīng)要求b） 應(yīng)支持防惡意代碼的統(tǒng)一管理。測評項名稱惡意代碼統(tǒng)一管理測評分項1:惡意代碼統(tǒng)一管理操作步驟查看防病毒系統(tǒng)的管理情況,是否有防病毒

33、服務(wù)器對防病毒系統(tǒng)進行統(tǒng)一管理，服務(wù)器端定期下發(fā)病毒庫，服務(wù)器端能隨時查看客戶端防病毒系統(tǒng)的工作情況，及時將發(fā)現(xiàn)問題。適用版本任何版本實施風險無Lt36788 8FB4 辴ZF符合性判定有專人負責惡意代碼的統(tǒng)一管理，有防病毒服務(wù)器，定期升級并向客戶端下發(fā)病毒庫，則判定結(jié)果為符合。沒有對惡意代碼進行統(tǒng)一管理，判定結(jié)果為不符合。3代碼庫檢查測評項編號ADT-OS-WIN25對應(yīng)要求c) 主機防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。測評項名稱代碼庫檢查測評分項1：代碼庫檢查操作步驟訪談管理員，詢問主機防惡意代碼產(chǎn)品是否具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫.適用版本任何版本實施風

34、險無符合性判定vQ33216 81C0 臀f22946 59A2 妢y重要服務(wù)器和個人主機所安裝的惡意代碼庫與網(wǎng)絡(luò)防惡意代碼產(chǎn)品的惡意代碼庫不同，則判定結(jié)果為符合;否則判定結(jié)果為不符合。七、資源控制1限制終端登錄測評項編號ADT-OS-WIN-26對應(yīng)要求a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄。測評項名稱限制終端登錄測評分項1：拒絕網(wǎng)絡(luò)訪問的用戶操作步驟打開“開始所有程序管理工具本地安全設(shè)置本地策略用戶權(quán)利指派”窗口，對右側(cè)窗口中的“拒絕從網(wǎng)絡(luò)訪問這臺計算機”安全項進行檢查，并記錄該安全項設(shè)置的用戶。適用版本任何版本實施風險無符合性判定“拒絕從網(wǎng)絡(luò)訪問這臺計算機”的用戶或組

35、應(yīng)該包括沒有必要訪問主機的用戶或組，則判定結(jié)果為符合；H27773 6C7D 汽29644 73CC 珌=21607 5467 呧l(xiāng)20182 4ED6 他沒有對“拒絕從網(wǎng)絡(luò)訪問這臺計算機"的用戶或組進行設(shè)置，則判定結(jié)果為不符合。測評分項2：拒絕本地登錄的用戶操作步驟打開“開始所有程序管理工具本地安全設(shè)置本地策略用戶權(quán)利指派”窗口,對右側(cè)窗口中的“拒絕本地登錄”安全項進行檢查,并記錄該安全項設(shè)置的用戶。適用版本任何版本實施風險無符合性判定“拒絕本地登錄”的用戶或組應(yīng)該包括沒有必要登錄主機的用戶或組，則判定結(jié)果為符合;沒有對“拒絕本地登錄”的用戶或組進行設(shè)置，則判定結(jié)果為不符合。2終端超時注銷測評項編號ADT-OSWIN27對應(yīng)要求b） 應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定.測評項名稱終端超時注銷a”29017 7159 煙U-e40457 9E09 鸉測評分項1:屏幕保護程序