Windows service服务器现场测评记录命令教程

测评记录
身份鉴别
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换； 1、检查用户在登陆时是否采用了身份鉴别措施；
2、检查用户列表确认用户身份标识是否具有唯一性；
3、检查用户配置信息或测试验证是否存在空口令用户；
4、检查用户鉴别信息是否具有复杂度要求并定期更换。
依次展开[开始]->[控制面板] ->[管理工具]->[本地安全策略]->[账户策略]->[密码策略]
查看以下项的情况：1.复杂性要求、2.长度最小值、3.最长存留期、4.最短存留期、5.强制密码历史。6.用可还原的加密来储存密码。
2 b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施； 1、检查是否配置并启用了登录失败处理功能；
2、检查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账号锁定等；
3、检查是否配置并启用了登录连续超时及自动退出功能。
依次展开[开始]->[控制面板] ->[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略]；
查看以下项的情况：1.复位账户锁定计数器、2.账户锁定时间和、3.账户锁定阈值。
3 c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听； 1）如果是本地管理或KVM等硬件管理方式，此要求默认满足；
2）如果采用远程管理，查看是否启用带加密管理的远程管理方式。
查看是否启用了远程桌面，[我的电脑]->[属性] ->[远程]->选中[启用这台计算机上的远程桌面]，点击[选择远程用户]，查看是否配置其他用户。
查看是否存在默认的3389端口，执行netstat -na查看端口列表。
4 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 1、检查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；
2、检查其中一种鉴别技术是否使用密码技术来实现。
访问控制
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 a)应对登录的用户分配账户和权限； 1、检查是否为用户分配了账户和权限及相关设置情况；
2、检查是否已禁用或限制匿名、默认账户的访问权限。
依次展开[开始]->[控制面板]->[管理工具]->[计算机管理]->[本地用户和组]->[用户]；查看用户列表，询问每个账户的使用情况。
2 b)应重命名或删除默认账户，修改默认账户的默认口令； 依次展开[开始]->[控制面板]->[管理工具]->[计算机管理]->[本地用户和组]->[用户]；
查看用户列表中是否有SUPPORT\_388945a0、GUEST账户，如果有这些账户，则右键点击该[账户]->[属性]，查看账户是否停用。
3 c)应及时删除或停用多余的、过期的账户，避免共享账户的存在； 1）依次展开[开始]->[控制面板] ->[管理工具]->[计算机管理]->[本地用户和组]->[用户]，查看是否存在过期账户；）依据用户账户列表询问主机管理员，每个账户是否为合法用户；
2）依据用户账户列表询问主机管理员，是否存在多人共用的账户。
4 d)应授予管理用户所需的最小权限，实现管理用户的权限分离； 1、检查是否进行角色划分；
2、检查管理用户的权限是否已进行分离；
3、检查管理用户权限是否为其工作任务所需的最小权限。
在[开始]->[运行]栏内输入gpedit.msc或secpol.msc，进入[计算机配置]->[Windows设置]->[安全设置]->[本地策略]->[用户权限分配]，检查各权限的分配情况。
5 e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则； 1、检查是否由授权主体（如管理用户）负责配置访问控制策略；
2、检查授权主体是否依据安全策略配置了主体对客体的访问规则；
3、测试验证用户是否有可越权访问情形。
6 f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级； 检查访问控制策略的控制粒度是否达到主体为用户级别或进程级，客体为文件、数据库表、记录或字段级。
选择%systemfrive%\program files、%systemdrive%\system32等重要的文件夹，以及%systemdrive%\windows\system32\config、%systemdrive%\windows\system\secpol等重要文件，右键选择“属性”>“安全”，查看访问权限设置。
7 g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。 1、检查是否对主体、客体设置了安全标记；
2、测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。 Widows service 2003不提供此功能。
安全审计
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计； 1、检查是否开启了安全审计功能；
2、检查安全审计范围是否覆盖到每个用户；
3、检查是否对重要的用户行为和重要安全事件进行审计。
1）依次展开[开始]->[控制面板] -> [管理工具]->[本地安全策略]->[本地策略]->[审核策略]；
2）查看是否有审核策略启用。
2 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； 检查审计记录信息是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
3 c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等； 1.依次展开[开始]->[控制面板]->[管理工具]->[本地安全策略]->[安全设置]->[本地策略]->[用户权限分配]，右键点击策略“管理审核和安全日志”点属性，查看是否只有审计。系统审计账户所在的用户组是否在本地安全设置的用户列表中。
2.依次展开[开始]->[控制面板]->[管理工具]->[事件查看器]；查看“安全性”和“系统”日志“属性”的存储大小和覆盖策略。
4 d)应对审计进程进行保护，防止未经授权的中断。 测试验证通过非审计管理员的其他账户来中断审计进程，验证审计进程是否受到保护。
入侵防范
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 a) 应遵循最小安装的原则，仅安装需要的组件和应用程序； 1、检查是否遵循最小安装原则；
2、检查是否未安装非必要的组件和应用程序。
在运行栏输入“dcomcnfg”,打开组件服务界面，打开“控制台根节点”>“组件服务”>“计算机”>“我的电脑”，查看右侧组件列表中的组件内容。
2 b) 应关闭不需要的系统服务、默认共享和高危端口； 1、检查是否关闭了非必要的系统服务和默认共享；
2、检查是否不存在非必要的高危端口。
在运行栏输入“service.msc”,打开系统服务界面，查看右侧的服务详细列表中多余的服务，如：alerter/remote registry dervice/messenger/task scheduler是否已启动
在运行栏输入“netstat -an”,查看列表中的监听端口，是否包含TCP135/139/445/593/1025端口，UDP135/137/138/445高危端口，后门端口如：TCP2745/3127/6129端口
3 c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制； 1）依次展开[开始]->[控制面板]->[网络连接]->[本地连接]属性->[Internet协议]属性中[高级]->[选项]->[TCP/IP筛选]中有没有对端口做限制；
2）是否启用主机防火墙，查看有无登录地址限制。
进入“控制面板－>网络连接－>本地连接”，在详细列表中查看，本地连接的状态。
3）打开防火墙程序，查看是否在“例外”中配置允许业务所需的程序接入网络；查看是否在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
4 d) 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求； 1、检查系统设计文档的内容是否包括数据有效性检验功能的内容或模块；
2、测试验证是否对人机接口或通信接口输入的内容进行有效性检验。 此项不适用，此项一般在应用系统上实现。
5 e) 应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞； 1、应通过漏洞扫描、渗透测试等方式核查是否不存在高风险漏洞；
2、检查是否在经过充分测试评估后及时修补漏洞。
在运行栏输入“appwiz.cpl”，打开程序和功能界面，点击左侧列表中的“查看已安装的更新”，打开“已安装更新”界面，查看右侧列表中的补丁更新情况。
6 f) 应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。 1、访谈并核查是否有入侵检测的措施；
2、检查在发生严重入侵事件时是否提供报警。
恶意代码防范
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。 1、检查是否安装了防恶意代码软件或相应功能的软件，定期进行升级和更新防恶意代码库；
2、检查是否采用主动免疫可信验证技术及时识别入侵和病毒行为；
3、检查当识别入侵和病毒行为时是否将其有效阻断。
可信验证
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证， 并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证 结果形成审计记录送至安全管理中心。 1、检查是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证；
2、检查是否在应用程序的关键执行环节进行动态可信验证；
3、测试验证当检测到计算设备的可信性受到破坏后是否进行报警；
4、测试验证结果是否以审计记录的形式送至安全管理中心。
数据备份恢复
序号 测评指标 测评方法及实施步骤 结果记录 符合程度
1 a)应提供重要数据的本地数据备份与恢复功能； 1、检查是否安装备份策略进行本地备份；
2、检查备份策略设置是否合理、配置是否正确；
3、检查备份结果是否与备份策略一致；
4、检查近期恢复测试记录是否能够进行正常的数据恢复。
2 b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地； 检查是否提供异地实时备份功能，并通过网络将重要配置数据、重要业务数据实时备份至备份场地。
3 c) 应提供重要数据处理系统的热冗余，保证系统的高可用性。 检查重要数据处理系统（包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器等）是否采用热冗余方式部署。

如果需要表格版本，进信息安全交流群：562421807，或扫码进群。