序号类别 测评项 测评实施 预期结果 说明 1身份 鉴别a) 应对登录操作系统和数据库系 统的用户进行身份标识和鉴别；1）查看登录是否需要密码1）用户需要输入用户名和密码 才能登录。是否必须输入密码才能 登录。 b) 应确保操作系统为正版软件 1）查看操作系统的购买发票或收据1）有购买正版操作系统的发票 或收据 c) 操作系统和数据库系统管理用 户身份标识应具有不易被冒用的特 点，关键系统的静态口令应在 6位以上并由字母、 数字、 符号等混 合组成并定期更换；1）依次展开[开始]->（[控制面板] - >）[管理工具]->[本地安全策略]-> [账户策略]->[密码策略]，查看以下 项的情况：a)复杂性要求、b)长度最 小值、c)最长存留期、d)最短存留 期、e)强制密码历史。a)复杂性要求已启用； b)长度最小值至少为6位； c)最长存留期不为0； d)最短存留期不为0； e)强制密码历史至少记住 3个密 码以上。所有的项只要不为默认 的0或未启用就可以。 d) 应启用登录失败处理功能，可 采取结束会话、限制非法登录次数 和自动退出等措施；1）依次展开[开始]->（[控制面板] - >）[管理工具]->[本地安全策略]-> [账户策略]->[账户锁定策略]； 2）查看以下项的情况： a)复位账户锁 定计数器、b)账户锁定时间和c)账户 锁定阈值。a)设置了“复位账户锁定计数 器”时间； b)设置了“账户锁定时间”； c)设置了“账户锁定阈值”。所有的项只要不为默认 的0或未启用就可以。 e) 当通过互联网对服务器进行远 程管理时，应采取必要措施，防止 鉴别信息在网络传输过程中被 窃听；1）访谈管理员在进行远程管理时如何 防止鉴别信息在网络传输过程中被窃 听。1）如果是本地管理或 KVM等硬件 管理方式，此要求默认满足； 2）如果采用远程管理，则需采 用带加密管理的远程管理方式， 如启用了加密功能的 3389远程管 理桌面或修改远程登录端口。关注远程管理方式及传 输协议。 f) 为操作系统和数据库的不同用 户分配不同的用户名，确保用户名1）依次展开[开始]->([控制面板]->) [管理工具]->[计算机管理]->[本地用1）无多人共用同 一个账号的情 况。Windows Server 2003 默认不存在相同用户名 第 1 页 共 8 页序号类别 测评项 测评实施 预期结果 说明 具有唯一性；户和组]->[用户]；查看用户 列表，询 问每个账户的 使用情况。的用户，但应防止多人 使用同一个账号。 2访问 控制 a) 应启用访 问控制功能，依据安 全策略控制用户对 资源的访问；1）文件权限： a)右键点击[开始]，打开[开资源管理 器(X)]，[工具]->[文件夹选项]->[查 看]中的“使用简单文件共享（推 荐）”是否 选中； b)右键单击下面两个文件夹的[属性]- >[安全]，查看users的权限。 %systemdrive%\program files %systemroot%\system32\config 2）用户权限： a)[开始]->（[控制面板] ->）[管理 工具]->[计算机管理]->[本地用户和 组]->[组] b)双击“名称”列中Administrators 用户，查看成员。1）a）未选中“使用简单文件共 享（推荐）”选项。 b）program files文件夹的 users权限只允许“读取和运 行”、“ 列出文件夹目录”、“ 读 取”三种权限；config文件夹的 users权限只允许“列出文件夹 目录”权限； 2）普通用户、应用账户等非管理 员账户不 属于管理员组。 c) 应实现操作系统和数据库系统 特权用户的权限分离；1）访谈并查看管理用户及 角色的分配 情况。1）操作系统 除具有管理员账户 外，至少还有专门的审计管理员 账户，且他们的权限互斥。1）操作系统的特 权账户 应包括管理员、安全员 和审计员。至少应 该有 管理员和 审计员，并 且 他们的权限是互斥关系 的。 2）应保证操作系统管理 第 2 页 共 8 页序号类别 测评项 测评实施 预期结果 说明 员和审计员不为同 一个 账号，且不为同一个 人。 d) 应严格限制默认账户的访问权 限，重命名系统默认账户，并修改 这些账户的默认口令；1）依次展开[开始]->([控制面板]->) [管理工具]->[计算机管理]->[本地用 户和组]->[用户]； 2） 查 看 用 户 列表中 是 否 有 SUPPORT_388945a0、GUEST账户，如果 有这些账户，则 右键点击该[账户]-> [属性]，查看账户是否 停用。1） 用 户 列表中没有 名 为 GUEST、SUPPORT_388945a0的账 户，或已 经禁用。 e) 应及时删除多余的、过期的账 户，避免共享账户的存在；1）依次展开[开始]->([控制面板] - >)[管理工具]->[计算机管理]->[本地 用户和组]->[用户]，查看是否存在过 期账户；）依据用户账户 列表询问主 机管理员， 每个账户是否为合法用 户； 2）依据用户账户 列表询问主机管理 员，是否存在多人共用的账户。1）无多余账户、过期账户； 2）无多人共 享账户。关注是否未 清理已离职 员工的账户。 3安全 审计a) 安全审计应覆盖到服务器和 重 要客户端上的 每个操作系统用户和 数据库用户；1）依次展开[开始]->([控制面板] - >) [管理工具]->[本地安全策略]-> [本地策略]->[审核策略]； 2）查看是否有 审核策略启用。1）至少启用 一项审核策略。不能所有 审计策略均未 启用。 如果a)条不符合则以下 b)、c)、d)、e)、f)直接判 定为不符合。 b) 审计内容应包括重要用户行为、1）依次展开[开始]->([控制面板] -a)审计账户登录 事件：成功，失至少应包含 第 3 页 共 8 页序号类别 测评项 测评实施 预期结果 说明 系统资源的异常使用和重要系统命 令的使用等系统 内重要的安全 相关 事件；>) [管理工具]-> [本地安全策略]-> [本地策略]->[审核策略]； 2）查看各审核策略对哪些操作进行 审 核。败 b)审计账户管理：成功，失败 c)审计目录服务访 问：失败 d)审计登录事件：成功，失败 e)审计对象访问：成功，失败 f)审计策略更改：成功，失败 g)审计特权使用：失败 h)审计系统事件：成功，失败a)审计账户登录 事 件、b)审计账户管理、d) 审计登录事件、f)审计 系统事件、g)审计系统 事件的成功 与失败行 为。 c) 审计记录应 包括事件的日期、 时 间、 类型、主体标识、客体标识和结 果等；1）默认满足。 1）默认满足。 d）应保护审计记录， 避免受到未 预期的删除、修改或 覆盖等，保存 时间不少 于一个月。1）如果日志数据本地保存，则 a)依次展开[开始]->([控制面板] - >）[管理工具]->[本地安全策略]-> [安全设置]->[本地策略]->[用户权限 分配]，右键点击策略“管理 审核和安 全日志”点属性，查看是否只有审 计。系统 审计账户所在的用户组是否 在本地安全设置的用户 列表中。 b)依次展开[开始]->([控制面板]->) [管理工具]->[事件查看器]；查看 “安全性”和“系统” 日志“属性” 的存储大小和覆盖策略。 2）若部署了日志服务器，则查看 日志1）如果日志数据本地保存，则 a)只有系统管理员组在本地安全 设置的用户 列表中 b)“安全性”和“系统” 日志 “属性”的存 储大小不小于 512KB；覆盖周期不小于15天。 2）如果日志数据存放在日志服 务器上并 且审计策略合理，则 该 要求为符合。1）关注“管理 审核和安 全日志”的权限用户， 关注“安全性”和“系 统”日志“属性”的存 储大小和覆盖周期。 2）如果日志数据存放在 日志服务器上，则 该要 求向为符合。 第 4 页 共 8 页序号类别 测评项 测评实施 预期结果 说明 保存策略。 第 5 页 共 8 页序号类别 测评项 测评实施 预期结果 说明 4入侵 防范操作系统 遵循最小安装的原则，仅 安装需要的组件和应用程序，并通 过设置升级服务器等方式保 持系统 补丁及时得到更新。1）组件最小 化： 访谈系统安 装的组件和应用程序是否 遵循了最小安 装的原则； 2）服务最小 化： a）依次展开[开始]->（[控制面板]- >）[管理工具]->[服务]； b）查看已经启动的或 者是手动的服 务 ，一 些不 必 要 的 服 务 如 Alerter、Remote Registry Service、Messenger、Task Scheduler 是否已启动； 3）服务端口： 依次展开[开始]->[运行]，在文本框 中输入cmd点确定，输入netstat – an查看是否有不必要端口开启，如 139、445。 4）默认共享： a)依次展开[开始]->[运行]，在文本 框中 输 入cmd点 确 定 ，输 入net share，查看共 享； b)依次展开[开始]->[运行]，在文本 框中 输 入regedit点 确 定 ， 查 看 HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\Lsa\restrictan1）系统安 装的组件和应用程序 遵循了最小安 装的原则； 2）不必要的服务 没有启动； 3）不必要的端口 没有打开； 4）a)“共享名”列为空，无 C$、D$、IPC$等 默 认 共 享。b)HKEY_LOCAL_MACHINE\SYS