《等级保护测评作业指导书(三级).docx》由会员分享,可在线阅读,更多相关《等级保护测评作业指导书(三级).docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、控制编号:SGISL/OP-SA29-10评作业指导书Windows主机(三级)号:修改次数:生效日期:第2版第0次2010年01月06日中国电力科学研究院信息安全实验室测评项编号ADT-OS-WIN-12对应要求f)应对重要信息资源设置敏感标记。测评项名称资源敏感标记设置检查测评分项1:资源敏感标记设置检查操作步骤询问管理员系统是否对重要信息资源设置了敏感标记。适用版本任何版本实施风险无符合性判定对重要信息资源设置了敏感标记,判定结果为符合;对重要信息资源没有设置敏感标记,判定结果为不符合。7.有敏感标记的资源访问测评项编号ADT-OS-WIN-13对应要求g)应依据安全策略严格控制用户对有
2、敏感标记信息资源的操作。测评项名称有敏感标记的资源访问测评分项1:有敏感标记的资源访问操作步骤询问管理员是否有安全策略严格控制用户对有敏感标记重要信息资源 的操作。适用版本任何版本实施风险无符合性判定有安全策略严格控制用户对有敏感标记重要信息资源的操作,判定结果 为符合;没有有安全策略控制用户对有敏感标记重要信息资源的操作,判定结果 为不符合。三、安全审计1.审计内容测评项编号ADT-OS-WI N-14对应要求a)审计范围应覆盖到服务器上的每个操 作系统用户和数据库用户。b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用 等系统内重要的安全相关事件。C)审计记录应包括事件
3、的日期、时间、 类型、主体标识、客体标识和结果等。测评项名称审计内容测评分项1:审计内容操作步骤进入“控制面板/管理工具/本地安全策略,在“本地策略-审核策略 中,查看本地安全策略审计功能是否启用;查看相应的审核,查看事件查看 器相关记录是否包括时间、主客体标识和事件结果等信息。访谈安全审 计员,询问主机系统是否设置那些安全审计功能,查看审计记录信息是 否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、 事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件 的结果等内容。适用版本任何版本实施风险无对于安全审计a:启用本地安全策略,判定结果为符合;没有启用本地 安全策略,判
4、定结果为不符合。符合性判定对于安全审计b:对审核策略更改、审核登录事件、审核帐户登录事件、 审核帐户管理的成功、失败进展审计,判定结果为符合;对审核策略更 改、审核登录事件、审核帐户登录事件、审核帐户管理的成功、失败进 展审计,判定结果为符合;对审核策略更改、审核登录事件、审核帐户 登录事件、审核帐户管理中的一个或几个工程进展审计,判定结果为基本符合。对于安全审计C:审计记录包括时间、主客体标识和事件结果等信息, 判定结果为符合;审计记录没有包括时间、主客体标识和事件结果等信 息,判定结果为不符合。2.审计日志分析测评项编号ADT-OS-WI N-15对应要求d)应能够根据记录数据进展分析,并
5、生 成审计报表。测评项名称审计日志分析测评分项1:审计日志分析操作步骤询问管理员,查看是否为授权用户浏览和分析审计数据提供专门的审计 工具(如对审计记录进展分类、排序、查询、统计、分析和组合查询等), 并能根据需要生成审计报表。适用版本任何版本实施风险无符合性判定管理员定期对审计日志进展分析,生成审计报表,判定结果为符合;管理员不能定期查看审计日志,没有生成审计报表,判定结果为不符合。3 .保护进程测评项编号ADT-OS-WI N-16对应要求e)应保护审计进程,防止受到未预期的中一断测评项名称保护进程测评分项1:保护进程Windows系统具备了在审计进程自我保护方面功能。操作步骤适用版本任何
6、版本实施风险无符合性判定不适用。4.系统日志存储测评项编号ADT-OS-WI N-17对应要求 D应保护审计记录,防止受到未预期的 删除、修改或覆盖等。测评项名称系统日志存储测评分项1:系统日志存储操作步骤开场I运行|eventvwr|或管理工具|事件观察器|系统|右键“属性适用版本任何版本实施风险无符合性判定最大日志文件大小:512KB;当到达最大的日志大小时:按需要改写事件,判定结果为符合;最大日志文件大小、当到达最大的日志大小时没有设置,判定结果为不符合。四、剩余信息保护1.鉴别信息保护测评项编号ADT-OS-WIN-18对应要求a)应保证操作系统用户的鉴别信息所在 的存储空间,被释放或
7、再分配给其他用户 前得到完全去除,无论这些信息是存放在 硬盘上还是在内存中。测评项名称鉴别信息保护测评分项1:鉴别信息保护操作步骤开场1控制面板1管理工具1本地安全策略1安全设置1本地策略1安全选项1交 互式登录:不显示上次的用户名。适用版本任何版本实施风险无符合性判定交互式登录:不显示上次的用户名为“已启用,则判定结果为符合; 交互式登录:不显示上次的用户名为“已禁用,则判定结果为不符合。2.存储文件剩余信息保护测评项编号ADT-OS-WI N-19对应要求b)应确保系统内的文件、目录和数据库 记录等资源所在的存储空间,被释放或重 新分配给其他用户前得到完全去除。测评项名称存储文件剩余信息保
8、护测评分项1:存储文件剩余信息保护操作步骤访谈管理员,询问系统内的文件、目录等资源所在的存储空间,被释放 或重新分配给其他用户前是否得到完全去除。适用版本任何版本实施风险无符合性判定制定剩余信息保护制度,保证系统内的文件、目录和数据库记录等资源 在被释放或再分配给其他用户前得到完全去除,并且对硬盘就行格式 化,则判定结果为符合;没有制定剩余信息保护制度,系统内的文件、 目录和数据库记录等资源在被释放或再分配给其他用户前没有得到完 全去除,则判定结果为不符合。五、入侵防范1.操作系统补丁及程序安装原则测评项编号ADT-OS-WIN-20对应要求a)操作系统应遵循最小安装的原则,仅 安装需要的组件
9、和应用程序,并通过设置 升级服务器等方式保持系统补丁及时得 到更新。测评项名称操作系统补丁及程序安装原则测评分项1:操作系统补丁升级情操作步骤开场一运行一systeminfo适用版本任何版本实施风险无符合性判定定期进展补丁升级,升级到最新的安全补丁,则判定结果为符合; 没有定期升级补丁,则判定结果为不符合。测评分项2:检查系统开启的服务使用脚本程序或翻开“开场所有程序管理工具计算机管理服务和应 用程序服务窗口,对窗口右侧的系统服务信息栏目进展查看,对一操作步骤些启用的关键的服务进展记录。对于一些应用服务需向系统管理员进展 询问,以决定该项服务是否为系统所必需启用的服务。适用版本任何版本实施风险
10、无符合性判定没有开启以上不必要的服务,则判定结果为符合; 开启了以上不需要的服务,则判定结果为不符合。测评分项3:检查系统开放的端口操作步骤在命令提示符窗口,键入命令行netstat-ano查看并记录系统开放的 TCP端口和UDP端口,翻开任务管理器查看开启端口的进程。对于一些 不明端口或进程,需向管理员进展询问,以决定该端口或进程是否为系 统服务所必需。适用版本任何版本实施风险无符合性判定没有开启以上不必要的端口,则判定结果为符合; 开启了以上不需要的端口,则判定结果为不符合。测评分项4:检查系统安装的软件情况操作步骤开场一设置一控制面板一删除添加程序适用版本任何版本实施风险无符合性判定系统
11、没有安装不需要的、与业务无关的软件,则判定结果为符合; 系统安装了不需要的软件,则判定结果为不符合。测评分项5:检查多余Windows组件操作步骤翻开“开场控制面板添加删除程序更改或删除Windows组件,对该 窗口内安装的Windows组件进展记录,并需要对系统管理员进展相关 组件的询问,以区分系统内是否存在安装多余的Windows组件。适用版本任何版本实施风险无符合性判定系统没有安装不需要的、与业务无关的Windows组件,则判定结果为 符合;系统安装了不需要的Windows组件,则判定结果为不符合。2.攻击事件的纪录情况测评项编号ADT-OS-WI N-21对应要求b)应能够检测到对重要
12、服务器进展入侵 的行为,能够记录入侵的源IP、攻击的类 型、攻击的目的、攻击的时间,并在发生 严重入侵事件时提供报警。测评项名称攻击事件的纪录情况测评分项1:攻击事件的纪录情况操作步骤应访谈管理员,询问主机系统是否安装了入侵防范系统,入侵防范内容 是否包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行 为检测、能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警,提供何种形式的报警;是否对特征库进展定期升级。适用版本任何版本实施风险无符合性判定系统安装了入侵防范系统,能够对主机运行情况进展监控,并设定报警 功能,能够记录入侵事件的相关信息,则判定结果
13、为符合;系统没有安装入侵防范系统,不能对主机运行情况进展监控,不能提供 报警,不能九路相关的入侵事件的信息,则判定结果为不符合。3.系统完整性及恢复测评项编号ADT-OS-WIN-22对应要求C)应能够对重要程序的完整性进展检测, 并在检测到完整性受到破坏后具有恢复 的措施。测评项名称系统完整性及恢复测评分项1:系统完整性及恢复操作步骤应访谈管理员,询问主机系统是否安装了入侵防范系统,查看入侵防范 内容是否包括完整性检测;查看系统是否安装了恢复软件,并保证在完 整性受到破坏后能够及时恢复。适用版本任何版本实施风险无符合性判定系统安装了入侵防范系统和备份恢复软件,能够检测系统的完整性,定 期对系
14、统进展备份,并能够对系统进展恢复,则判定结果为符合; 系统不能检测重要程序的完整性,不能对系统那个进展恢复,则判定结 果为不符合。六、恶意代码防范1.检查系统防病毒软件部署测评项编号ADT-OS-WI对应要求N-23a)应安装防恶意代码软件,并及时更新 防恶意代码软件版本和恶意代码库。测评项名称 检查系统防病毒软件部署测评分项1:检查系统防病毒软件部署操作步骤翻开“开场所有程序列表,检查系统内是否存在网络版或单机版的防 病毒软件;对于存在的防病毒软件,需记录其软件名称、版本、最近的 升级日期等信息、系统中是否感染了病毒。适用版本任何版本实施风险无符合性判定系统安装防病毒软件及防火墙,定期对病毒
15、库进展升级,则判定结果为 符合.系统没有安装防病毒软件及防火墙,则判定结果为不符合。2.恶意代码统一管理测评项编号ADT-OS-WIN-24对应要求b)应支持防恶意代码的统一管理。测评项名称恶意代码统一管理测评分项1:恶意代码统一管理查看防病毒系统的管理情况,是否有防病毒服务器对防病毒系统进展统一管理,服务器端定期下发病毒库,服务器端能随时查看客户端防病毒操作步骤系统的工作情况,及时将发现问题。适用版本任何版本实施风险无符合性判定有专人负责恶意代码的统一管理,有防病毒服务器,定期升级并向客户 端下发病毒库,则判定结果为符合。没有对恶意代码进展统一管理,判定结果为不符合。3 .代码库检查测评项编
16、号ADT-OS-WIN-25对广尹求C)主机防恶意代码产品应具有与网络防河回发虫恶意代码产品不同的恶意代码库。测评项名称代码库检查测评分项1:代码库检查操作步骤访谈管理员,询问主机防恶意代码产品是否具有与网络防恶意代码产品 不同的恶意代码库。适用版本任何版本实施风险无符合性判定重要服务器和个人主机所安装的恶意代码库与网络防恶意代码产品的恶意代码库不同,则判定结果为符合;否则判定结果为不符合。七、资源控制1 .限制终端登录测评项编号ADT-OS-WIN-26对应要求a)应通过设定终端接入方式、网络地址范 围等条件限制终端登录。测评项名称限制终端登录测评分项1:拒绝网络访问的用户操作步骤翻开“开场
17、所有程序管理工具本地安全设置本地策略用户权利指 派窗口,对右侧窗口中的“拒绝从网络访问这台计算机安全项进展 检查,并记录该安全项设置的用户。适用版本任何版本实施风险无符合性判定“拒绝从网络访问这台计算机的用户或组应该包括没有必要访问主机 的用户或组,则判定结果为符合;没有对“拒绝从网络访问这台计算机的用户或组进展设置,则判定结 果为不符合。测评分项2:拒绝本地登录的用户操作步骤翻开“开场所有程序管理工具本地安全设置本地策略用户权利指 派窗口,对右侧窗口中的“拒绝本地登录安全项进展检查,并记录 该安全项设置的用户。适用版本任何版本实施风险无符合性判定“拒绝本地登录的用户或组应该包括没有必要登录主
18、机的用户或组, 则判定结果为符合;没有对“拒绝本地登录的用户或组进展设置,则判定结果为不符合。2.终端超时注销测评项编号ADT-OS-WIN-27对应要求工需;安全策略设置登录终端的操作 超时锁7E。测评项名称终端超时注销测评分项1:屏幕保护程序操作步骤在系统桌面,点击鼠标右键,选取“属性 一栏;进入到“屏幕保护程序 选项,检查屏幕保护程序的相关设置:等待时长、密码设置等信息。适用版本任何版本实施风险无符合性判定系统开启屏幕保护程序,时间应设置小于10分钟,再恢复时应该使用 密码,则判定结果为符合;没有开启屏幕保护程序或恢复时没有使用密码,则判定结果为不符合。测评分项2:检查系统是否自动注销用
19、户操作步骤开场1控制面板1管理工具1本地安全策略1安全设置1本地策略1安全选项 IMicrosoft网络服务器:当登录时间用完时自动注销用户。适用版本任何版本实施风险无符合性判定登录时间用完时自动注销用户的属性为已启用,则判定结果为符合;登录时间用完时自动注销用户的属性为已停用,则判定结果为不符合。3.查看用户资源使用限度测评项编号ADT-OS-WIN-286广诙七C)应限制单个用户对系统资源的最大或对应要求最小使用限度。测评项名称查看用户资源使用限度测评分项1:查看用户资源使用限度操作步骤检查是否制止同一用户账号在同一段时间内建设多重并发会话连接,是 否限制单个用户对系统资源(如CPU、内存
20、和硬盘等的最大或最小使 用限度。适用版本任何版本实施风险无修改页修订号控制编号版号/ 章节号修改人修订原因批准人批准日期备注1SGISL/OP-SA 29-10毛谕按公安部要求修订詹雄一、身份鉴别1.用户身份标识和鉴别测评项编号ADT-OS-WIN-01对应要求a)应对登录操作系统的用户进展身份标识和鉴别。测评项名称用户身份标识和鉴别测评分项1:查看登录是否需要口令或其他认证方式操作步骤在系统管理员登录系统过程中,查看是否需要输入口令或采用其他认证 方式适用版本任何版本实施风险无符合性判定如果需要输入口令或采用其他认证方式,判定结果为符合;对单个帐户的资源利用进展了限制,如限制同一用户账号在同
21、一段时间符合性判定内建设多重并发会话连接,限制单个用户对系统资源如CPU、内存和 硬盘等)的最大或最小使用等,则判定结果为符合;没对单个帐户的资 源利用进展了限制,则判定结果为不符合。4 .性能监视情况检查测评项编号ADT-OS-WIN-29对应要求d)应对重要服务器进展监视,包括监视 服务器的CPU、硬盘、内存、网络等资源 的使用情况。测评项名称性能监视情况检查测评分项1:性能监视情况检查访谈管理员,询问是否安装网络审计或主机监控系统对服务器的CPU、硬盘、内存、网络等资源的使用情况进展监视,实时查看服务器的性能。操作步骤登录审计服务器,查看各主机的资源使用情况。适用版本任何版本实施风险无符
22、合性判定安装了监控软件对设备的性能及资源使用情况进展监控,则判定结果为 符合;没有安装监控软件对设备进展监控,则判定结果为不符合。5 .报警设置检查测评项编号ADT-OS-WIN-30如能,求 e)应能够对系统的服务水平降低到预先 河回女水规定的最小值进展检测和报警。测评项名称报警设置检查测评分项1:报警设置检查操作步骤访谈管理员,询问是否安装审计或主机监控系统,审计或主机监控系统 是否设定了阀值,当系统的CPU、硬盘、内存、网络等资源的使用到达 预先设定的最小值时,能进展报警。适用版本任何版本实施风险无符合性判定安装了监控软件对设备的性能及资源使用情况进展监控,当设备性能低 于预先设置的阀值
23、时,能够报警,则判定结果为符合;没有安装监控软 件对设备进展监控,不能报警,则判定结果为不符合。如果不需要任何认证过程,判定结果为不符合。测评分项2:检查操作系统是否允许开机自动登录操作步骤在“开场运行窗口内运行注册表编辑器应用程序“Regedit.exe,对 目录“我的电脑 HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogonAutoAdminLogon”下的内容进展记录。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定AutoAdminLogon的值为0,表示不允许开机自动登录,判定结果
24、为符 合;AutoAdminLogon的值为1,表示允许开机自动登录,判定结果为不符 合。备注2.账号口令强度测评项编号ADT-OS-WIN-02对应要求b)操作系统和数据库系统管理用户身份 标识应具有不易被冒用的特点,口令应有 复杂度要求并定期更换。测评项名称账号口令强度测评分项1:检查系统是否存在弱口令操作步骤1)尝试典型弱口令,2)参见扫描结果,3)询问管理员口令位数和复 杂度适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定系统所有帐户密码都在8位以上,数字字母混合,判定结果为符合;系统所有帐户密码都在6位一8位,判定结果为 基本符合;系
25、统存在空口令或密码小于6位的帐户,判定结果为不符合。测评分项2:检查系统密码策略操作步骤开场1程序1管理工具1本地安全设置1安全设置帐号策略1密码策略:密码 必须符合复杂性要求;密码长度最小值;密码最长存留期;适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定“密码必须符合复杂性要求设置为启用;“密码长度最小值设置为8 位或8位以上,“密码最长存留期设置为42天以下,判定结果为符合;否则为不符合。备注3.检查帐户锁定策略测评项编号ADT-OS-WIN-03对应要求c应启用登录失败处理功能,可采取完毕 会话、限制非法登录次数和自动退出等措 施。测评
26、项名称检查帐户锁定策略测评分项1:检查帐户锁定策略操作步骤开场1程序1管理工具1本地安全设置1安全设置1帐号策略1帐户锁定策略: 帐户锁定时间;帐户锁定阀值;适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定“帐户锁定时间设置为30分钟或30分钟以下;“帐户锁定阀值设置 为3次或3次以上,判定结果为符合;否则为不符合。4.远程管理方式测评项编号ADT-OS-WIN-04对应要求d)当对服务器进展远程管理时,应采取 必要措施,防止鉴别信息在网络传输过程 中被窃听。测评项名称远程管理方式测评分项1:远程管理方式询问系统管理员,系统采用何种远程管理方式
27、,并记录远程管理软件的操作步骤版本。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定不允许远程登录或采用ssh等加密方式,判定结果为符合;采用FTP、Telnet等明文校验协议的远程管理方式,判定结果为不符合。5.用户名具有唯一性测评项编号ADT-OS-WIN-05对应要求e)应为操作系统的不同用户分配不同的用户名,确保用户名具有唯一性。测评项名称用户名具有唯一性测评分项1:用户名具有唯一性操作步骤“管理工具计算机管理-“本地用户和组中的“用户,检查其 中的用户名是否出现重复。适用版本Windows2000 Windows XP Windows
28、 2003实施风险无符合性判定无重命名用户,判定结果为符合;有重命名用户,判定结果为不符合。6 .身份鉴别测评项编号ADT-OS-WIN-06对应要求0应采用两种或两种以上组合的鉴别技 术对管理用户进展身份鉴别。测评项名称身份鉴别测评分项1:身份鉴别操作步骤访谈管理员,询问系统是否采用了两种或两种以上的身份鉴别方式。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定采用两种或两中以上加密方式,判定结果为符合;否则判定结果为不符八口 O二、访问控制1 .控制用户对资源的访问测评项编号ADT-OS-WIN-07对应要求a)应启用访问控制功能,依据安全
29、策略控制用户对资源的访问。测评项名称控制用户对资源的访问测评分项1:是否开启默认共享或Admin共享操作步骤在命令提示符窗口,执行以下命令:net share适用版本任何版本实施风险无没有开启不需要的共享,如IPS$、ADMIN$, c$等,判定结果为符合;符合性判定开启不需要的共享,如IPS$、ADMIN$ c$等,判定结果为不符合。测评分项2:共享文件的访问控制操作步骤翻开“开场所有程序管理工具计算机管理系统工具共享文件夹共 享窗口,对窗口右侧的共享信息栏目进展查看,对存在的共享进展记 录,并对建设的应用共享进展访问权限的检查。此外,需对建设的应用 共享进展应用状况的询问,以决定该应用共享
30、的建设是否具有实际的应 用意义。适用版本Windows2000 Windows XP Windows 2003实施风险无10符合性判定系统没有开启不需要的共享,对于开启的共享设置访问权限,允许管理 员通过密码访问,判定结果为符合;系统开启不需要的共享,判定结果为不符合。备注测评分项3:重要数据的访问控制操作步骤首先进入到提供给用服务的文件、目录,对该文件、目录点击“右键 属性,翻开属性页的“安全选项卡,对用户“Users、Every One的 权限进展记录。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定重要的文件、目录只允许管理员访问通过密码
31、访问,判定结果为符合; 对重要的文件、目录的访问没有限制,判定结果为不符合。备注2.用户权限检查测评项编号ADT-OS-WIN-08对应要求b)应根据管理用户的角色分配权限,实 现管理用户的权限别离,仅授予管理用户 所需的最小权限。测评项名称用户权限检查测评分项1:用户权限检查开场所有程序管理工具计算机管理系统工具本地用户和组用户(组)窗口,对窗口右侧的用户(组)信息栏目进展查看,对存在的操作步骤关键用户及用户组进展记录,并对其拥有的权限进展查看。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定各帐户根据最小权限分配原则,帐户的权限分配合理,判
32、定结果为符合; 帐户没有最小权限分配原则,判定结果为不符合。3.用户的权限别离测评项编号ADT-OS-WIN-09对应要求C)应实现操作系统和数据库系统特权用户的权限别离。测评项名称用户的权限别离测评分项1:用户的权限别离操作步骤结合系统管理员的组成情况,判定是否实现了该项要求。对安装了数据 库的操作系统,检查操作系统中的数据库管理账号的权限。适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定使用的数据库帐户只能登录数据库,不能登录操作系统,判定结果为符合;数据库帐户可以登录操作系统,判定结果为不符合。4.账户权限配置测评项编号ADT-OS-WI
33、N-10对应要求d)应严格限制默认帐户的访问权限,重 命名系统默认帐户,修改这些帐户的默认 口令。测评项名称账户权限配置测评分项1:administrator是否更名操作步骤执行以下命令:net user适用版本任何版本实施风险无符合性判定系统不存在administration帐户,判定结果为符合;系统存在administration帐户,且为管理员帐户,判定结果为不符合。测评分项2:检查系统Guest帐号操作步骤执行以下命令:net user guest适用版本Windows2000 Windows XP Windows 2003实施风险无符合性判定系统中guest帐户被禁用,判定结果为符合
34、;系统存在guest帐户且没有禁用,判定结果为不符合。备注5.系统是否存在多余帐号测评项编号ADT-OS-WIN-11对应要求e)应及时删除多余的、过期的帐户,防止共享帐户的存在。测评项名称系统是否存在多余帐号测评分项1:检查系统是否存在多余帐号操作步骤执行以下命令:net user访谈系统管理员,是否存在无用的多余帐号。翻开“开场所有程序管理工具计算机管理系统工具本地用户和组用 户(组)窗口,对窗口右侧的用户组)信息栏目进展查看,对存在 的关键用户及用户组进展记录,并对其拥有的权限进展查看。此外,对 于系统内新建的用户组)需进展其存在意义的询问,以决定该用户组 是否具有存在意义。适用版本任何版本实施风险无符合性判定系统不存在无用的帐户,判定结果为符合;系统中存在无用的帐户,判定结果为不符合。6.资源敏感标记设置检查