winserver2008测评指导书.xlsx

日期测评师协助人员测评对象主机安全版本号
项目名称安全级别 S3A3G3


主机安全

序号标准内编号测评指标测评项结果记录备注
1 身份鉴别
(S3) (a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别 :______________________________
,是否提供了身份鉴别措施。是□否□
:_______________;版本号:______________
4. ,是否提供了身份标识。是□否□
:
□用户名/口令□公钥□挑战应答□动态口令□物理设备□生物识别技术□数字证书□智能卡□USB Key □其他相关描述:___________________________
. 是□否□鉴别措施:________________________
(b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换 、复杂度和更换周期进行了要求和限制。是□否□;用户登录口令的最小长度是:_______位;复杂度支持:______________________
更新周期是:__________;更新的口令_____次内不重复
。是□否□;是否有渗透测试的记录。是□否□;是否存在绕过认证方式进行系统登录的方法。是□否□
,对服务器操作系统进用户口令强度检测。是□否□;是否有检测报告。是□否□使用口令破解工具是否能够破解用户口令。是□否□;破解口令后是否能够登录进入系统。是□否□
,是□否□口令复杂度:________________
口令更换周期:_______________________口令长度:_______________位
。是□否□;口令组成:数字□字母□特殊字符□
(询问)。是□否□
口令更改频率: 每周更改□每月更改□每季度更改□更长时间□更改频率:_________
口令管理手段: 依靠制度□依靠技术手段□
(c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 ,是否已配置了鉴别失败处理功能。是□否□;是否设置了非法登录次数的限制值。是□否□限制值是:______;是否设置网络登录连接超时,并自动退出。是□否□
->帐户策略->帐户锁定策略中的相关项目,查看是否启用了登录失败处理功能。是□否□
帐户锁定阈值:__________________ 是否做了设置是□否□
帐户锁定时间值:_________________ 是否做了设置是□否□
复位帐户锁定计数器值:____________ 是否做了设置是□否□
1 身份鉴别
(S3) (d)当对服务器进行远程管理时,应采取必