windows三级测评指导命令

版本

计算机-属性（systeminfo）

身份鉴别

a应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

计算机-属性-用户-查看用户属性，是否勾选了密码永不过期。

netplwiz（用密码才能登录）

secpol. msc（密码策略，账户策略）

net user [username]（查看密码更换时间）90-180

b应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

secpol.msc-账户策略

右键-个性化-屏幕保护

gpedit.msc → 管理模板→ Windows组件 → 远程桌面服务 → 远程桌面会话主机 → 会话时间限制

c当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

gpedit.msc → 管理模板→Windows组件 → 远程桌面服务 → 远程桌面会话主机 → 安全

设置客户端连接加密级别  ：高级别

远程(RDP)连接要求使用指定的安全层： SSL

d应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

访问控制

a应对登录的用户分配帐户和权限；

lusrmgr.msc

b应重命名或删除默认帐户，修改默认帐户的默认口令；

c应及时删除或停用多余的、过期的帐户，避免共享帐户的存在；

d应授予管理用户所需的最小权限，实现管理用户的权限分离；

e应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

符合

f访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

符合

g应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

安全审计

a应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

Win+R输入services.msc，查看Windows Event Log

控制面板 → 所有控制面板项 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略

（Win+R运行输入secpol. msc）

b审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

eventvwr. msc

c应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

secpol.msc-用户权限分配-《审核和安全日志》，

eventvwr. msc-右键-属性,无审计设备改为不覆盖日志。

查看日志文件夹的属性-安全，查看管理员对其操作权限。

询问备份情况。

d应对审计进程进行保护，防止未经授权的中断；

符合

入侵防范

a应遵循最小安装的原则，仅安装需要的组件和应用程序；

appwiz.cpl

b应关闭不需要的系统服务、默认共享和高危端口；

netstat -anutlp | more

net share

firewall.cpl

c应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

防火墙；入站规则-远程桌面属性-作用域

云上安全组策略

d应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

不适用

e应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

漏扫

f应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警；

主机入侵检测软件

恶意代码防范

a应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；

主机杀毒软件

可信验证

a可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心；

数据完整性

a应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

gpedit.msc → Windows组件 → 远程桌面服务 → 远程桌面会话主机 → 安全

gpedit.msc-管理模板-windows组件

b应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

数据保密性

a应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

b应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

数据备份恢复

a应提供重要数据的本地数据备份与恢复功能；

b应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

不适用

c应提供重要数据处理系统的热冗余，保证系统的高可用性；

不适用

剩余信息保护

a应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

secpol. msc，本地策略-安全选项-交互式登录—不显示最后的用户名（已启用）

b应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除；符合

（Win+R运行输入secpol.msc）

本地策略 → 安全选项 → 关机—清除虚拟内存页面文件（已启用）

                      网络访问-不允许存储网络身份验证的密码和凭据