风险评估—终端安全（Windows系统通用）

一、身份鉴别

a）应对登录终端的用户进行身份标识和鉴别。

只需要和系统管理员沟通一下，是否是账户密码登录，企业一般这个都满足。

b）应确保用户身份鉴别信息不易被冒用，口令应满足复杂度要求并定期更换。（应制定账号和口令安全策略，限定用户口令的长度、复杂度、生存周期等，口令长度不小于8位，且为字母和数字或特殊字符组合）

配置方法：进入控制面板 -> 管理工具 -> 本地安全策略 -> 帐户策略 -> 密码策略 -> 密码必须符合复杂性要求 -> 属性：启用密码必须符合复杂性要求

有些终端是 win10 家庭版或者 Win11，需要自己配置才有本地策略等操作

cmd 里输入net accounts

密码必须符合复杂性要求：已启用

密码长度最小值：8位—密码需包含数字、大小写字母、特殊字符，长度8位以上

密码最短使用期限：7天

密码最长使用期限：90-180天

密码最短使用期限：0 ≥

强制密码历史：1个及以上

检查这里时，除了密码复杂度开启还有密码长度最小为 8 位，其他没有特别的硬性要求，符合要求即可。

c）应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

1、“控制面板”→“管理工具”→“本地安全策略”→“账户策略”→“账户锁定策略”

推荐配置

账户锁定阈值：5次（合规）

账户锁定时间： 1-30分钟

重置计数器： 5-15分钟

锁定时间和重置计时器，这两个也没有明确说法必须要 30 分钟；检查时符合要求，客户问时能解释的通就好。

也可以使用net accounts命令查询

2、查看“设置活动但空闲的远程桌面服务会话的时间限制”中是否配置了空闲会话时间。

1. 第一种方法：查看图形化配置

gpedit.msc
└─ 用户配置
   └─ 管理模板
      └─ Windows组件
         └─ 远程桌面服务
            └─ 远程桌面会话主机
               └─ 会话时间限制
                  └─ 设置活动但空闲的远程桌面服务会话的时间限制

2. 第二种方法：查看注册表

注册表路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

关键键值：

键名	描述	类型
MaxConnectionTime	活动会话最大持续时间（单位：毫秒）	DWORD
MaxDisconnectionTime	断开连接后的保留时间	DWORD
MaxIdleTime	空闲会话的最大时间（单位：毫秒）	DWORD

reg add "HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v MaxIdleTime /t REG_DWORD /d 900000

3、查看恢复时是否显示登录屏幕

打开—>控制面板—>外观—>显示—>更改屏幕保护程序;，查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾；

d）边缘物联代理应基于公司统一密码基础设施进行身份认证和加密保护，采用硬件密码模块或软件密码模块等方式实现，硬件密码模块应采用安全可控的安全芯片。

首先要问一下：是否有物联代理，如果没有，这条不适用

如果有
问：是否有统一的基础密码设施，nam系统，单点登录系统，统一的加解密的模块，看看没有统一的密码策略，是否运用到边缘的物联代理上；硬件密码采用的什么安全可控的安全芯片

二、访问控制

a) 应及时删除或禁用终端系统中多余、过期的账户。

配置方法：进入控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组 -> 用户 -> Guest帐号 -> 属性 -> 设置已停用

在管理员终端输入命令net user

net user 用户名  # 查看指定账户的详细信息（如登录时间、密码过期时间等）

b) 应重命名系统默认账户并修改其默认口令，限制其访问权限

配置方法：进入控制面板 -> 管理工具 -> 计算机管理 -> 系统工具 -> 本地用户和组 -> 用户 -> 重命名Administrator

如果使用的是Administrator、root 作为管理员，就需要修改一下用户名

c）应避免操作系统中存在共享账户

一般情况下，这一条都是符合规定的；可以问题一下负责人：是否一人一号登录系统

d）管理信息大区的桌面终端采取安全U盘离线导出数据，终端保密措施按照公司统一密管策略实施。

直接找负责人进行访谈，询问关于 U 盘管理方面，提供相关凭证等等。

三、安全审计

a）应当以系统日志方式记录用户登录行为和系统资源异常访问等重要安全事件。

1、 查看系统是否开启了安全审计功能

在命令行输入“secpol.msc”弹出“本地安全策略”窗口，查看“安全设置→本地策略→审计策略”中的相关项目。右侧的详细信息窗格即显示审计策略的设置情况。

方法2：通过命令提示符（CMD）管理员模式执行

按Win+S→ 搜索“cmd” → 右键选择“以管理员身份运行”。

输入命令： auditpol /get /category:*

2、询问并查看是否有第三方审计工具或系统。

b）审计记录应包括事件的日期、时间、类型、主客体标识和事件结果等。

1、查看审计记录是否包含要求的信息

在命令行输入“eventvwr.msc”弹出“事件查看器”，“事件查看器（本地）→Windows日志”下包括“应用程序”、“安全”、“设置”、“系统”几类记录事件，点击任意类型事件，查看日志文件是否满足此项要求。

2、如果安装了第三方审计工具，则：查看审计记录是否包括日期、时间、类型、主体标识、客体标识和结果。

四、剩余信息保护

a）应保证操作系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

1、询问系统管理员，主机系统是否采取措施保证对存储介质（如硬盘和内存等）中的用户鉴别信息进行及时清除，防止其他用户非授权获取该用户的鉴别信息；

2、依次展开[开始]-> [管理工具]->[本地安全策略]->[安全设置]->[本地策略]的安全选项中，查看“不显示上次登录用户名”的启用情况。

查看“不显示上次登录用户名”策略 ，还可以看注册表

打开注册表编辑器（Win+R→ 输入regedit），定位到路径：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

检查右侧键值DontDisplayLastUserName：

值为1：已启用（不显示上次登录用户名）。
值为0或不存在：未启用

b）应确保主机系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。

1、询问主机管理员，差配置系统是否采取措施保证对存储介质（如硬盘和内存等）中的敏感数据进行及时清除，防止其他用户非授权获取敏感数据

2、依次展开[开始]-> [管理工具]->[本地安全策略]->[安全设置]->[本地策略]的安全选项中，查看“关机前清除虚拟内存页面”的启用情况。

查看“关机前清除虚拟内存页面文件”策略，还可以看注册表

导航至注册表路径：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management

检查键值ClearPageFileAtShutdown：

值为1：每次关机自动清除虚拟内存页面。
值为0或不存在：未启用

五、入侵防御

a）应遵循最小安装的原则，仅安装必要的操作系统组件和应用程序。

1、cmd输入appwiz.cpl，查看是否存在多余的程序。

2、cmd输入dcomcnfg，查看是否存在多余组件。

b）管理信息大区和互联网大区桌面终端和采用通用操作系统的物联终端，应通过设置升级服务器等方式保持系统补丁得到及时更新。物联终端、边缘物联代理等应支持本地及远程升级，并校验升级包的合法性。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有的话，只需要访谈即可

有没有远程升级机制和措施，支持本地和远程升级，还有效验升级包的合法性什么的

1、 证据材料：要求提供补丁管理策略文档、升级服务器配置截图、补丁校验记录、漏洞扫描报告等。

2、 不一致处理：若发现未配置升级服务器或缺乏校验机制，需记录为高风险不符合项，并建议整改（如部署WSUS服务器、启用数字签名验证）。

c）应对物联终端采用安全专控模块进行安全加固。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

确认他们采用的安全专控模块是啥，这里我理解的是似于基线，脚本的东西，对物联网终端进行安全加固，如果是商用工具有没有安全专控的加固模块

d）对物联终端，应通过统一监控系统集中监控其运行状态及安全事件。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

对物联终端有没有统一监控其运行状态及安全事件。

e）采用通用操作系统的物联终端应关闭设备调试接口，防范软硬件逆向工程。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

除了业务所需要的接口，有没有开调试接口，关了没有

需要证明截图什么的

f）边缘物联代理应具备对自身应用、漏洞补丁等重要程序代码以及配置参数和控制指令等重要操作的数字签名或验证能力。

需要向客户确认是否有物联代理，没有的话，该项为不适用。

有：访谈

物联网代理，有没有对应用，定期生成一个哈希值，有没有防篡改的机制，数字签名什么的。

g）边缘物联代理应支持软件定义安全策略，并支持自动和联动处置。

需要向客户确认是否有物联代理，没有的话，该项为不适用。

有：访谈

1、自定义配置的安全模块

2、有没有对外成熟的接口，支持扩展，联动其他安全设备的

3、有没有联动处置的接口文档

六、恶意代码防范

Windows系列桌面终端应安装本单位统一部署的防病毒软件，对防病毒软件和恶意代码库进行集中管理和升级。

1、查看是否安装了防病毒软件。

2、查看防病毒软件的版本、与病毒库版本，是否为最新日期。

3、询问系统管理员网络防病毒软件和主机防病毒软件分别采用什么病毒库。

4、询问系统管理员是否采用有统一的病毒更新策略和查杀策略。

5、当发现病毒入侵行为时，如何发现，如何有效阻断，采用什么报警机制等。

七、资源控制

应根据安全策略设置登录终端的操作超时锁定。

查看恢复时是否显示登录屏幕

打开—>控制面板—>外观—>显示—>更改屏幕保护程序;，查看等待时间的长短以及在恢复时显示登录屏幕选项是否打勾；

八、安全准入控制

a）管理信息大区桌面终端，应采取IP/MAC地址与交换机端口绑定、安装公司统一的桌面安全管控软件等措施进行安全准入控制。

看电脑上没有准入的控制软件

b）互联网大区桌面终端，应采取IP/MAC地址与交换机端口绑定、安装桌面安全管控软件等措施进行安全准入控制。

看电脑上没有准入的控制软件

c）管理信息大区桌面终端应通过安全配置或加装安全管控软件，限制使用无线鼠标、无线键盘、无线网卡等无线设备，禁止发生违规外联。

是否有限制外设的功能

需要去终端桌面管理软件上看有没有限制无线外联的设置，询问管理员关于违规外联的管控有没有具体措施等等，最好有证据证明。

d）任意两个直接接入公司不同安全大区的物联终端，如需本地通信，应采取等同大区间隔离强度的技术措施。未直接接入公司各安全大区的物联终端与直接接入管理信息大区的物联终端本地通信时，应实现身份认证，在网络协议、数据格式等方面加强过滤和校验。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

问两大区的物联终端要通信的话，有没有采用等同大区隔离强度的技术措施。

如果没有接入安全大区的终端想要与两个大区的安全终端通信，有没有在网络协议、数据格式等方面加强过滤和校验。

e）边缘物理代理、物联终端等设备接入管理信息大区时，应结合应用需求采用公司认可的安全接入网关、信息网络安全隔离装置实现双向认证和加密传输，或通过安全接入区实现和管理信息大区交互。

需要向客户确认是否有物联终端和代理，没有的话，该项为不适用。

有：访谈

问一下对没有采用对应的安全网关设备(VPN)

f）边缘物理代理、物联终端等设备在互联网大区直接访问公司对内业务时，应通过公司认可的安全接入网关或与之连接的前置服务器实现双向认证和机密传输。

需要向客户确认是否有物联终端和代理，没有的话，该项为不适用。

有：访谈

问一下如果从家里（互联网）上网直接访问公司业务时，没有没有通过公司认可的安全网关设备VPN。

g）对采用专线接入管理信息大区的物联终端，应保证专机专用、交互固定。对采用专线接入管理信息大区的物联终端，应保证专机专用、交互固定。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

大区指定这个终端的IP为白名单，还有mac地址绑定。而且终端账号应交由一人管理。

h）物联网终端之间应进行网络隔离，禁止任意两个终端直接进行网络通信。

需要向客户确认是否有物联终端，没有的话，该项为不适用。

有：访谈

确认是否存在制度规范及技术方案。

询问是否制定物联网终端网络隔离策略，明确禁止终端间直连通信。

确认隔离技术方案（如VLAN划分、微隔离策略、物理网段隔离等）及实施范围。