序号 测评指标 测评项 a)应对登录操作系统和检查方法 预期结果 1.访谈系统管理员都有那些登录系统的用户并记录用户名,以及用户是否已设置密码。 2.查看登录过程中系统帐户是否使用了密码进行验证登录。 需要输入用户名和密码才可登录系统 1 身份鉴别 数据库系统的 用户进行身份标识和鉴别 第1页
序号 测评指标 测评项 b)操作系统和数据库系统管理用户身 检查方法 预期结果 1.强制密码历史:建议值为24。 2.密码最长使用期限限制:建议值为70天。 3.密码最短使用期限限制:建议值为2天。 4.密码长度最小值:建议值最短8个字符。 5.密码必须符合复杂性要求:建议值启用。 6.用可还原的加密来存储密码:建议值为不启用。 7.输入的密码复杂度中包含大小写字母.数字和字符。 1.开始-运行-gpedit.msc或检查管理工具-》本地安全策略-》帐户策略-》密码策略中的相关项目。 2.询问管理用户输入的密码复杂度中是否包含大小写字母.数字和字符。 2 份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 第2页
序号 测评指标 测评项 c)应启用登录失败处理功能,可采取结 检查方法 预期结果 1.开始-》运行-gpedit.msc或检查管理工具-》本地安全策略-》账户策略-》账户锁定策略。 钟 次 帐户锁定时间:建议值30分账户锁定阈值:建议值3-53 束会话,限制非法登陆次数和自动退出等措施。 第3页
序号 测评指标 测评项 检查方法 1.询问系统管理员是否开启远程管理功能?(如果未开启则不适用) 2.如果开启,采用何种远程管理方式? 3.在服务器端,查看系统属性远程选项卡中是否启动远程预期结果 使用远程终端服务的远程管理方式,检查服务器端系统版本必须是Windows Server 2003 Sp1或更高版本,终端服务器组件版本必须是RDP 5.2或以上。客户端操作系统必须是 Windows 2000/WindowsXPServer 2003。 终端服务器和客户端都要使用SSL(TLS1.0) 加密,而且在远程桌面连接选项中的安全-身份验证里选择“要求身份验证”。 或Windows d)当对服务器进行远程管理时,应采用4 必要措施,防止鉴别信息在网络传输过程中被窃听。 桌面,如果开启查看“管理工具” - 》终端服务配置- RDP-Tcp选择属性- 常规 - 安全层 – 是否选“协商”. 4.在客户端,查看:开始-程序-附件-通讯-远程桌面连接-选项-安全-身份验证-是否选择“要求身份验证。” 第4页
序号 测评指标 测评项 e)应为操作系统和数据库系统的不同检查方法 预期结果 检查Windows 的用户是否有重复,“管理工具-》计算机管理-》本地用户和组”中的用户,检查其中的用户名是否出现无重复的用户名 5 用户分配不同的用户名,确保重复。 用户名具有唯一性。 f)应采用两种或两种以6 上组合的鉴别技术对管理用户进行身份鉴别。 1.访谈系统管理员,询问操作系统除用户名口令外有无其他身份鉴别方法,如令牌、智能卡等。 2.查看实际登录时需要的鉴别方法 采用用户名/口令.动态口令. 物理设备、指纹识别系统. 令牌、生物识别技术和数字证书方式的身份鉴别技术中的任意两个组合或两个以上组合。 第5页
03.操作系统_Windows_2003_测评指导书(修改111)
