---------------------考试---------------------------学资学习网---------------------押题------------------------------SGISL/OP-SA29-10控制编号：信息安全等级保护测评作业指导书Windows主机（三级）版号：第2版第0修改次数：次2010年生效日期：01月06日中国电力科学研究院信息安全实验室修改页修订号1控制编号版号/章节号修改人修订原因批准人批准日期备注SGISL/OP-SA29-10毛澍按公安部要求修订詹雄2010.3.8一、身份鉴别1．用户身份标识和鉴别测评项编号ADT-OS-WIN-01对应要求a)应对登录操作系统的用户进行身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1：查看登录是否需要口令或其他认证方式操作步骤在系统管理员登录系统过程中，查看是否需要输入口令或采用其他认证方式适用版本任何版本无实施风险符合性判定如果需要输入口令或采用其他认证方式，判定结果为符合；如果不需要任何认证过程，判定结果为不符合。测评分项2：检查操作系统是否允许开机自动登录操作步骤在“开始\运行\”窗口内运行注册表编辑器应用程序“Regedit.exe”，对目录“我的电脑HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon”下的内容进行记录。适用版本Windows2003、Windows2000、WindowsXP无实施风险符合性判定AutoAdminLogon的值为0,表示不允许开机自动登录，判定结果为符合；AutoAdminLogon的值为1,表示允许开机自动登录，判定结果为不符合。备注2．账号口令强度测评项编号ADT-OS-WIN-02对应要求）操作系统和数据库系统管理用户身份b口令应有标识应具有不易被冒用的特点，复杂度要求并定期更换。测评项名称账号口令强度测评分项1：检查系统是否存在弱口令操作步骤）询问管理员口令位数和复2）参见扫描结果，31）尝试典型弱口令，杂度Windows2003、WindowsXP适用版本Windows2000、无实施风险符合性判定位以上，数字字母混合，判定结果为符合；系统所有帐户密码都在8位，判定结果为基本符合；—8系统所有帐户密码都在6位6位的帐户，判定结果为不符合。系统存在空口令或密码小于2：检查系统密码策略测评分项操作步骤密码策略：密码|安全设置|帐号策略本地安全设置开始|程序|管理工具||必须符合复杂性要求；密码长度最小值；密码最长存留期；Windows2003WindowsXP、、适用版本Windows2000无实施风险符合性判定位8密码长度最小值”设置为”“密码必须符合复杂性要求设置为启用；“42天以下，判定结果为符合；设置为密码最长存留期位以上，或8“”否则为不符合。备注．检查帐户锁定策略3测评项编号ADT-OS-WIN-03对应要求可采取结束c应启用登录失败处理功能，限制非法登录次数和自动退出等措会话、施。测评项名称检查帐户锁定策略1：检查帐户锁定策略测评分项操作步骤帐户锁定策略：|安全设置||帐号策略|程序|管理工具|本地安全设置开始帐户锁定时间；帐户锁定阀值；Windows2003、Windows2000、WindowsXP适用版本无实施风险符合性判定分钟以下；3030分钟或设置为“帐户锁定时间”设置为“帐户锁定阀值”3次以上，判定结果为符合；否则为不符合。3次或4．远程管理方式测评项编号ADT-OS-WIN-04对应要求）当对服务器进行远程管理时，应采取d防止鉴别信息在网络传输过程必要措施，中被窃听。测评项名称远程管理方式：远程管理方式1测评分项操作步骤并记录远程管理软件的系统采用何种远程管理方式，询问系统管理员，版本。Windows2003WindowsXPWindows2000、适用版本、无实施风险符合性判定ssh等加密方式，判定结果为符合；不允许远程登录或采用等明文校验协议的远程管理方式，判定结果为不符、TelnetFTP采用合。5．用户名具有唯一性测评项编号ADT-OS-WIN-05对应要求e）应为操作系统的不同用户分配不同的用户名，确保用户名具有唯一性。测评项名称用户名具有唯一性测评分项1：用户名具有唯一性操作步骤“管理工具”->“计算机管理”->“本地用户和组”中的“用户”，检查其中的用户名是否出现重复。适用版本Windows2000、WindowsXP、Windows2003无实施风险符合性判定无重命名用户，判定结果为符合；有重命名用户，判定结果为不符合。6．身份鉴别测评项编号ADT-OS-WIN...