Windows2022年測評指導書講解

Windows2022Windows2022測評指導書第第10頁共17頁序號 類別 測評項 測評實施 預期結果 說明應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進展身份標識和鑒別；操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)治理用戶身份鑒別信息應具有不易被冒用的特點，口令應有簡單度要求并定期更換；身份1鑒別完畢會話、限制非法登錄次數(shù)和自動退出等措施；

1〕查看登錄是否需要密碼2〕netuserlusrmgr.msc否供給了身份標識。依次開放[開頭]->〔[掌握面板]->〕[治理工具]->[本地安全策略]->[賬戶策略]->[密碼策略]，查看以下項的狀況：ab)長度最小值c)de)強制密碼歷史。gpedit.msc操作系統(tǒng)安全策略。[治理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略]；2〕查看以下項的狀況：a)復位賬戶鎖定計數(shù)器、b)賬戶鎖定時間和c)賬戶鎖定閾值。

1〕用戶需要輸入用戶名和密碼才能登錄。簡單性要求已啟用；80；0；強制密碼歷史至少記住3個密碼以上。設置了“復位賬戶鎖定計數(shù)器”時間；設置了“賬戶鎖定時間c)設置了“賬戶鎖定閾值

1、操作系統(tǒng)的身份標識與鑒別機制實行何種措施實現(xiàn)2、是否必需輸入密碼才能登錄。3、登錄過程中系統(tǒng)帳號是否進展驗證登陸.1、身份鑒別信息是否如對用戶登錄口令的最小長度、簡單度和更換周期進展了要求和限制。2、全部的項只要不為默03、操作系統(tǒng)用戶口令簡單度是否已經啟用1、主要效勞器操作系統(tǒng)，是否已配置了鑒別失敗處理功能。2、.本地安全策略->帳戶策略->帳戶鎖定策略中的相關工程，查看是否啟用了登錄失敗處理功能。3、全部的項只要不為默0d)實行必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；

1〕訪談治理員在進展遠程治理時如何防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

1〕假設是本地治理或KVM治理方式，此要求默認滿足；2〕假設承受遠程治理，則需承受帶加密治理的遠程治理方式，如3389桌面或修改遠程登錄端口。

1、操作系統(tǒng)是否承受了遠程治理。2、如承受了遠程治理，是否承受了防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽的措施。3、終端效勞器是否使用SSL4、關注遠程治理方式及傳輸協(xié)議。e)為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶安排不同的用戶名，確保用戶名具有唯一性；

〕依次展開[開始]->([掌握面1〕無多人共用同一個賬號的情理]->[本地用戶和組]->[用戶]；查看用戶列表，詢問每個賬戶的使用狀況。

1、效勞器操作系統(tǒng)帳戶列表，治理員用戶名安排是否唯一。(EG:應為操作系統(tǒng)的不同用戶安排不同的用戶名，確保用戶名具有唯一性)2、運行l(wèi)usrmgr.msc查用戶標識符列表，是否存在一樣的用戶名。3、是否存在一個用戶使用多個用戶名的狀況。4、是否存在過期的或是多余的用戶名。5、WindowsServer2022默認不存在一樣用戶名的用戶，但應防止多人f〕應承受兩種或兩種以上組合的鑒別技術對治理用戶進展身份鑒別。訪問a)掌握策略掌握用戶對資源的訪問；

1〕訪談系統(tǒng)治理員，詢問系統(tǒng)除密碼能卡等。1〕文件權限：右鍵點擊[開頭]，翻開[開資源治理器(X)]，[工具]->[文件夾選項]->[查看]中的“使用簡潔文件共享〔推舉是否選中；右鍵單擊下面兩個文件夾的[屬性]->[安全]，查看users%systemdrive%\programfiles%systemroot%\system32\config2〕用戶權限：

1〕有兩種或以上組合的鑒別技術。1〕a〕未選中“使用簡潔文件共享〔推舉”選項。b〕programfilesusers限；configusers只允許“列出文件夾名目”權限；2〕一般用戶、應用賬戶等非治理員賬戶不屬于治理員組。

使用同一個賬號。1、以遠程方式登錄主機設備主要效勞器操作系統(tǒng)，身份鑒別是否承受兩個及兩個以上身份鑒別技術的組合來進展身份鑒別。2、通過本地掌握臺治理主機設備操作系統(tǒng)時，是否承受一種或一種以上身份鑒別技術。3、不同于用戶名/口令的身份鑒別方法主要有動態(tài)口令、數(shù)字證書、生物信息識別等。1、效勞器操作系統(tǒng)的是否配置了安全策略。2、安全策略是否對重要文件的訪問權限進展了限制。3、是否對系統(tǒng)不需要的效勞、共享路徑等進展了禁用或刪除。4、效勞器操作系統(tǒng)的權限設置狀況，是否依據(jù)b)應依據(jù)治理用戶的角色安排權限，實現(xiàn)治理用戶的權限分別，僅授予治理用戶所需的最小權限；

a)[開頭]->〔〕[治理工具]->[計算機治理]->[本地用戶和組]->[組]雙擊“名稱”列中Administrators用戶，查看成員。e〕看注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymousrestrictanonymous0訪談并查看治理用戶及角色的安排狀況?！爸卫砉ぞ摺?>“本地安全策略指派了不同的權限。

1〕系統(tǒng)治理員、安全治理員、安全審計員由不同的人員和用戶擔當。

安全策略對用戶權限進展了限制。5、選%systemdrive%\windows\system、%systemroot％\system32\config、等相應的文件夾，右鍵選usersadministrators限設置,是否為不同級別的用戶組，賜予不同的權限，如完全掌握、修改、讀取及運行、列出文件夾名目、讀取、寫入權限不同。6、在命令行模式下輸入netshare，查看是否存在共享文件。1、是否依據(jù)治理用戶的不同角色安排了權限。2、主要數(shù)據(jù)庫效勞器的數(shù)據(jù)庫治理員與操作系統(tǒng)治理員是否由不同治理員擔當。應實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分別；

1〕訪談并查看治理用戶及角色的安排狀況。

1〕操作系統(tǒng)除具有治理員賬戶外，至少還有特地的審計治理員賬戶，且他們的權限互斥。

3、指派的權限是否為治理用戶的最小權限。4、是否只在備份文件和名目，創(chuàng)立記號對象，創(chuàng)立頁面文件，從網(wǎng)絡訪問此計算機，調試程序和更改系統(tǒng)時間做設置。5、至少應當有系統(tǒng)治理員和安全治理員，安全審計員在有第三方審計工具時可以不要求。驗3計->f->1)的操作，查看“治理審核和安全用戶”中的用戶組是否只有安全審計員。1〕操作系統(tǒng)的特權賬戶應包括治理員、安全員和審計員。至少應當有治理員和審計員，并且他們的權限是互斥關系的。2〕應保證操作系統(tǒng)治理員和審計員不為同一個賬號，且不為同一個人。應嚴格限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，并修改這些賬戶的默認口令；

〕理]->[本地用戶和組]->[用戶]；〕SUPPORT_388945a0、GUEST有這些賬戶，則右鍵點擊該[賬戶]->[屬性]，查看賬戶是否停用。3“治理工具”->“計算機治理”“用戶”查看查看默認用戶名Administrator

1〕用戶列表中沒知名為GUEST、SUPPORT_388945a0的賬戶，或已經禁用。

效勞器操作系統(tǒng)，特權用戶的權限是否進展分別。4〕效勞器操作系統(tǒng)權限劃分分為哪些職位5〕效勞器操作系統(tǒng)各個特權用戶，是否承受最小授權原則。6〕數(shù)據(jù)庫治理員與操作系統(tǒng)治理員是否由不同治理員擔當。1、效勞器操作系統(tǒng)，匿名/默認用戶的訪問權限是否已被禁用或者嚴格限制。(EG:系統(tǒng)無法修改訪問權限的特別默認賬戶，可不修改訪問權限;系統(tǒng)無法重命名的特別默認賬戶，可不重命名。)2、賬戶的默認口令是否被修改。應準時刪除多余的、過期的賬戶，避開共享賬戶的存在；

〕依次開放[開頭]->([掌握面板]1〕無多余賬戶、過期賬戶；->)[治理工具]->[計算機治理]->[本2〕無多人共享賬戶。地用戶和組]->[用戶]，查看是否存在

1、效勞器操作系統(tǒng)，是否刪除了系統(tǒng)中多余的、過期的以及共享的應對重要信息資源設置敏感標記；

〕依據(jù)用戶賬戶列表詢問主機治理員，每個賬戶是否為合法用戶；2是否存在多人共用的賬戶。1〕詢問系統(tǒng)治理員，是否實現(xiàn)了該功能，具體措施是什么。

1〕假設沒有實行任何措施，則該項要求為不符合。

帳戶。2、詢問是否存在多余的帳戶。3、關注是否未清理已離職員工的賬戶。1、效勞器操作系統(tǒng)，是否對重要信息資源設置敏感標記。2、詢問治理員是否對重要信息資源設置敏感標記。應依據(jù)安全策略嚴格掌握用戶對1〕詢問系統(tǒng)治理員，是否實現(xiàn)了該功有敏感標記重要信息資源的操作。能，具體措施是什么。1〕

假設沒有實行任何措施，則該項要求為不符合。

1、是否依據(jù)安全策略嚴格掌握用戶對有敏感標記重要信息資源的操作。2、詢問治理員是否對敏感標記進展策略設置。3、是否對敏感標記進展分類。4、是否對敏感標記進展設定訪問權限。1、效勞器操作系統(tǒng)、重安全審計應掩蓋到效勞器和重安全 要客戶端上的每個操作系統(tǒng)用戶和審計數(shù)據(jù)庫用戶；

[治理工具]->[本地安全策略]->[本地策略]->[審核策略]；2〕查看是否有審核策略啟用。

1〕至少啟用一項審核策略。

要終端操作系統(tǒng)，是否配置安全審計策略。2、安全審計策略是否覆審計內容應包括重要用戶行為、系統(tǒng)資源的特別使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關大事；間、類型、主體標識、客體標識和結果等；

3〕Secpol.msc，查看“安全設置“->“本地策略“->“審核策略“系統(tǒng)是否開啟了安全審計功能。1〕[治理工具]->[本地安全策略]->[本地策略]->[審核策略]；2〕查看各審核策略對哪些操作進展審核。3)windows利指派”以及“安全選項”策略。1〕默認滿足。

審計賬戶登錄大事：成功，失敗審計賬戶治理：成功，失敗c)審計名目效勞訪問：失敗d)審計登錄大事：成功，失敗e)審計對象訪問：成功，失敗f)審計策略更改：成功，失敗g)審計特權使用：失敗審計系統(tǒng)大事：成功，失敗1〕默認滿足。

蓋到效勞器和重要終端操上的每個操作系統(tǒng)用戶。3、是否承受第三方安全設計產品實現(xiàn)審計要求。4、是否具有日志效勞器或審計效勞器。5、詢問系統(tǒng)治理員，并查看是否有第三方審計工具或系統(tǒng)。至少應包含審計賬戶登錄大事、b)審計賬戶治理、d)審計登錄大事、f)審計系統(tǒng)大事、g)審計系統(tǒng)大事的成功與失敗行為。應能夠依據(jù)記錄數(shù)據(jù)進展分析，1〕訪談系統(tǒng)治理員是否有第三方日志并生成審計報表； 分析軟件。

1〕使用第三方日志分析軟件或Windows計報表。

1、效勞器和重要終端操作系統(tǒng)，是否為授權用戶供給掃瞄和分析審計預期的中斷；

記錄的功能。2、是否有對審計記錄的查看、分析和審計報表。3、是否有第三方報表工具。1〕默認滿足。 1〕默認滿足。 1、效勞器操作系統(tǒng)、重要終端操作系統(tǒng)，是否可通過非審計員的其他帳戶試圖中斷審計進程。2、審計進程是否受到保護。3、是否有第三方審計進展保護的工具。預期的刪除、修改或掩蓋等。

1〕假設日志數(shù)據(jù)本地保存，則依次開放[開頭]->([掌握面板]->〕[治理工具]->[本地安全策略]->[安全設置]->[本地策略]->[用戶權限安排]，右鍵點擊策略“治理審核和安全統(tǒng)審計賬戶所在的用戶組是否在本地安全設置的用戶列表中。看“安全性”和“系統(tǒng)”日志“屬性”的存儲大小和掩蓋策略。

1〕假設日志數(shù)據(jù)本地保存，則a)只有系統(tǒng)治理員組在本地安全設置的用戶列表中b)“安全性”和“系統(tǒng)”日志“屬512KB；掩蓋周期不小于15天。2〕假設日志數(shù)據(jù)存放在日志效勞器上并且審計策略合理，則該要求為符合。

1〕關注“治理審核和安全日志”的權限用戶，關注“安全性”和“系統(tǒng)”日志“屬性”的存儲大小和掩蓋周期。2〕假設日志數(shù)據(jù)存放在日志效勞器上，則該要求向為符合。3〕效勞器操作系統(tǒng)、重要終端操作系統(tǒng)，是否對審計記錄實施了保護措施,使其避開受到未剩余信息

應保證操作系統(tǒng)和數(shù)據(jù)庫治理系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再安排給其他用戶前得到完全去除，無論這些信息是存放在硬盤上還是在內存中；

2〕假設部署了日志效勞器，則查看日志保存策略。1〕翻開“本地安全策略”->“安全設是否啟用“不顯示上次登錄用戶名1〕翻開“本地安全策略”->“安全設是否選中“關機前去除虛擬內存頁面”或翻開注冊表

假設測試報告、用戶手冊或治理手冊中沒有相關描述，且沒有供給第三方工具增加該功能，則該項要求為不符合。

預期的刪除、修改或掩蓋等未授權的操作。4〕是否有對審計記錄的存儲、備份和保護的措施。5〕是否有日志效勞器。登陸操作系統(tǒng)是否獲得其他用戶的標識或鑒別信息。主要操作系統(tǒng)維護操作手冊中是否明確文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋保護b〕據(jù)庫記錄等資源所在的存儲空間，被釋放或重安排給其他用戶前得到完全去除。

HKEY_LOCAL_MACHINE\SYSTEM\Current1〕假設測試報告、用戶手冊或管ControlSet\Control\Session 理手冊中沒有相關描述，且沒有Manager\MemoryManagement，查“關 供給第三方工具增加該功能，則機前去除虛擬內存頁面”是否啟用。 該項要求為不符合。2〕翻開“本地安全策略”->“安全設加密來存儲密碼”是否啟用。

放或重安排給其他用戶前的處理方法和過程。應能夠檢測到對重要效勞器進入侵 行入侵的行為，能夠記錄入侵的源防范IP、攻擊的類型、攻擊的目的、攻

1〕訪談系統(tǒng)治理員是否常常查看磁盤段。

1〕啟用入侵檢測系統(tǒng)，參考網(wǎng)絡全局局部的“入侵檢測系統(tǒng)”局部。

1、是否實行入侵防范措施。2、是否有入侵檢測記擊的時間，并在發(fā)生嚴峻入侵大事時供給報警；

錄。3、詢問系統(tǒng)治理員是否常常查看系統(tǒng)日志。4、是否安裝了主機入侵檢測軟件。5、是否有第三方入侵檢測系統(tǒng)。應能夠對重要程序完整性進展檢測，并在檢測到完整性受到破壞后具有恢復的措施；c)操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級效勞器等方式保持系統(tǒng)補丁準時得到更。

1〕檢查產品的測試報告、用戶手冊或治理手冊，確認其是否具有相關功能；或由第三方工具供給了相應功能。1〕組件最小化：訪談系統(tǒng)安裝的組件和應用程序是否遵循了最小安裝的原則；2〕效勞最小化：[治理工具]->[效勞]；

1〕假設測試報告、用戶手冊或治理手冊中沒有相關描述，且沒有供給第三方工具增加該功能，則該項要求為不符合。1〕系統(tǒng)安裝的組件和應用程序遵循了最小安裝的原則；2〕不必要的效勞沒有啟動；不必要的端口沒有翻開；4〕a)“共享名”列為空，無C$、D$、IPC$等默認共享。

1、效勞器是否供給對重要程序的完整性進展檢測。2、是否在檢測到完整性受到破壞后具有恢復的措施的功能。3、是否對使用一些文件完整性檢查工具對重要文件的完整性進展檢查。4、是否對重要的配置文件進展備份。1〕關注系統(tǒng)安裝的組件和應用程序狀況；2〕關注補丁是否先測試，補丁號是否為較版本。3〕操作系統(tǒng)是否遵循最b一些不必要的效勞如AlerterRemoteRegistryService、Messenger、TaskScheduler是否已啟動；3〕效勞端口：cmdnetstat–an139、445。默認共享：中輸入cmd點確定，輸入netshare，查看共享；中輸入regeditHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous“0”補丁更訪談系統(tǒng)補丁升級的方法，[開頭regedit，查看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates6〕訪談并查看系統(tǒng)補丁升級方式，以及最的補丁更狀況

b)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值不為“0”〔0表示共享開啟〕5〕系統(tǒng)補丁先測試，再升級；補丁號為較版本。

小安裝的原則，僅安裝需要的組件和應用程序。主要效勞器操作系統(tǒng)中所安裝的系統(tǒng)組件和應用程序是否都是必需的。5〕否設置了特地的升級效勞器實現(xiàn)對主要效勞器操作系統(tǒng)補丁的升級。6〕效勞器操作系統(tǒng)的補丁是否得到了準時安裝。7〕是否持續(xù)跟蹤廠商供給的系統(tǒng)升級更情況。8〕是否在經過充分的測試評估后對必要補丁進展準時更。9〕查看目前系統(tǒng)中運行的效勞如：Alerter、RemoteRegistryService、Messenger、TaskScheduler啟動。惡意代碼

更防惡意代碼軟件版本和惡意代碼庫；主機防惡意代碼產品應具有與網(wǎng)

安裝的更”1〕查看系統(tǒng)中安裝的防病毒軟件。詢問治理員病毒庫更策略的最版本更日期是否超過一個星期。

1〕安裝了防病毒軟件，病毒庫常常更，是最版本。

1、主機系統(tǒng)是否實行惡意代碼實時檢測與查殺措施。2、效勞器是否安裝了實時檢測與查殺惡意代碼的軟件產品。3、系統(tǒng)中是否安裝了防病毒軟件。4、關注防病毒軟件的同時還應當保證病毒庫是否準時更。1、是否有與主機防惡意代碼產品有不同的惡意代碼庫。絡防惡意代碼產品不同的惡意代碼庫；

1〕訪談系統(tǒng)治理員網(wǎng)絡防病毒軟件和1〕主機防惡意代碼產品與網(wǎng)絡防2、是否具有網(wǎng)絡防病毒主機防病毒軟件分別承受什么病毒庫。惡意代碼產品的惡意代碼庫不同軟件。3、網(wǎng)絡上假設沒有網(wǎng)絡防惡意代碼產品則本條不符合應支持惡意代碼防范的統(tǒng)一治理。

訪談防惡意代碼的治理方式方式。

防惡意代碼統(tǒng)一治理，統(tǒng)一升級。1否具有統(tǒng)一的治理平臺。2毒更策略。地址范圍等條件限制終端登錄；

訪談系統(tǒng)治理員了解系統(tǒng)對登錄終端的接入方式進展限制的措施；依次開放[開頭]->[掌握面板]->[網(wǎng)絡連接]->[本地連接]屬性->[Internet協(xié)議]屬性中[高級]->[選項]->[TCP/IP篩選]中有沒有對端口做限制；3〕假設安裝有主機防火墻則查看有無登錄地址限制。

1〕假設安裝有主機防火墻則通過防火墻對登錄地址進展限制；假設無主機防火墻，則在“TCP/IP篩選”中對端口做了限制。

3毒查殺策略。1、主要效勞器操作系統(tǒng)，是否設定了終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄。2、是否開啟了主機防火TCP/IP3、是否有硬件防火墻限制終端接入、網(wǎng)絡地址范圍。系統(tǒng)資源

應依據(jù)安全策略設置登錄終端的操作超時鎖定；

1依次開放[開頭]->掌握面]->顯〕等待時間應在10分鐘以下示]的屏幕保護程序，查看登錄該效勞在恢復時使用密碼保護的選項勾器的終端是否設置了屏幕鎖定。 選。2〕翻開“組策略，在“計算機配置”->“治理模板”->“Windows空閑的會話〔沒有客戶端活動的會話〕連續(xù)留在效勞器上的最長時間置了空閑的會話連續(xù)留在效勞上的最長時間。

1、是否通過安全策略設置登錄終端的操作超時鎖定。2、效勞器的終端是否都設置了操作超時鎖定的配置。3、登錄終端是否開啟了帶密碼的屏幕保護功能。c〕監(jiān)視效勞器的CPU、硬盤、內存、網(wǎng)絡等資源的使用狀況；

1〕訪談系統(tǒng)治理員了解是否常常查看“系統(tǒng)資源監(jiān)控器”或第三方監(jiān)控軟件。

1〕每日至少三次查看“系統(tǒng)資源1、效勞器操作系統(tǒng)對監(jiān)控器”及磁盤使用狀況并記錄。 效勞器硬件的哪些或使用集中監(jiān)控平臺實時監(jiān)控系 部件使用狀況進展統(tǒng)資源使用狀況。 監(jiān)控。d)應限制單個用戶對系統(tǒng)資源的最大或最小使用限度；

訪談治理員針對系統(tǒng)資源掌握的治理措施，詢問效勞器是否為專用效勞器；CRLALTDelete[Windows看CPU

23實現(xiàn)要求。4、關注監(jiān)視的方式，主要目的是了解通過這些監(jiān)視方式能否使治理員準時、準確了解到效勞器的資源使用狀況1〕CPU使用率不超過70%。 1、效勞器操作系統(tǒng)，是否通過安全策略設置了單個用戶對系統(tǒng)資源的最大或最小使用限度。2、磁盤配額是否有限制。3、主要應了解效勞器資源的安排是否能滿足其業(yè)務需求。假設效勞器不是多業(yè)務競爭使用硬件資源且實時利用率不是很高，那么認為不存在資源緊急狀況。確實需要多業(yè)務公用資源的，應推斷當前的資源安排方式能否滿足業(yè)務應能夠對系統(tǒng)的效勞水平降低到預先規(guī)定的最小值進展檢測和報警。應能夠檢測到系統(tǒng)治理數(shù)據(jù)、

1〕Windows系統(tǒng)自身不滿足，詢問系統(tǒng)治理員有無第三方主機監(jiān)控程序。2〕假設有第三方主機監(jiān)控程序，則查看是否有報警功能。檢查主機操作系統(tǒng)，配備檢測數(shù)據(jù)

有第三方主機監(jiān)控程序，且其供給主動的聲、光、電、短信、郵件等形式的一種或多種報警方式。

需求。1、效勞器操作系統(tǒng)，是否在效勞水平降低到預先規(guī)定的最小值時，能檢測和報警。2、是否對監(jiān)控系統(tǒng)效勞水平進展監(jiān)控。3、是否有第三方監(jiān)控