1. 前言

与以前的文章不同的是，结果记录描述类的文章主要写实际测评中，我是如何写测评项的结果记录的，所以重点并不在测评项的判定上。
测评结果记录的描述，个人有个人的风格，也没有统一的标准，我在这里也只是说说自己的一些思路、想法，错误肯定很多啦，主要是抛砖引玉。

2. 对结果记录的思考

测评项的结果记录是测评报告的重要基础之一，从资产表到测评对象再到测评对象的测评结果记录，然后才会有风险分析、整体测评、主要问题、测评结论等一些列东西。
如果测评项的结果记录写得有问题，整个报告的质量和最终结论是很值得怀疑的。
每年一度的报告抽查中，结果记录的检查是很重要的一部分。

常见的结果记录描述中的错误大概有以下几种：

所以我们在写结果记录的时候，要尽量避免出现这4个问题，我的大概解决思路如下：

2.1. 问题1-3

1、结果记录无针对性；

2、照抄测评项；

3、直接下结论。

其实这三个问题基本的根源是一样的，就是缺少细节。
缺少现场测评中的各种细节，只会让人觉得有些空，泛泛而谈。
解决方法也很简单，就是增加一些细节信息，如：写到到账户、用户方面，可以加上具体的用户名；写到权限、访问控制方面，可以加上具体的权限名称、角色名称等；写到策略配置方面，可以放上具体的配置信息；等等。
虽然实际上还是会有雷同的地方（因为很多时候都用的默认配置），但是针对性是相对的，只要有足够的细节的填充，就能让人确信这是你在现场进行实际测评后得到的真实的信息。

2.2. 问题4

未完全覆盖测评项

这种就是没有将测评项的理解不深，或者嫌麻烦没写全要求。
这个只要把测评要求好好看一看就可以解决了。

3. 测评项a

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

关于windows身份鉴别涉及到的知识点，可以看之前的文章：
等保测评2.0：Windows身份鉴别

测评要求中的描述如下：

1) 应核查用户在登录时是否采用了身份鉴别措施；

2) 应核查用户列表确认用户身份标识是否具有唯一性；

3) 应核查用户配置信息或测试验证是否不存在空口令用户；

4) 应核查用户鉴别信息是否具有复杂度要求并定期更换。

所以结果记录中就要把这4点完全覆盖，对于windows而言，我的描述格式大概类似于下面这种：

1.用户登录时，使用用户名进行身份标识，使用口令进行身份鉴别，用户名具有唯一性；

2.存在Administrator账户，其口令由大小写字母、数字、特殊字符组成，长度为14位；

3.口令策略中，口令必须符合复杂性要求已启用，口令长度最小值未设置，口令最短使用期限为0天，口令最长使用期限为42天，强制口令历史为0个；

4.已定期更换口令，Administrator账户上次设置口令时间为2020年5月。

注意，我在这里这么写是方便阅读，实际写记录表的过程中，可以不要换行（方便粘贴进入测评能手中），也可以没有1、2、3、4。

3.1. 结果记录第1项

1.用户登录时，使用用户名进行身份标识，使用口令进行身份鉴别，用户名具有唯一性；

这里提一下，身份标识和身份鉴别是两个过程，所以这里分开描述，也算是体现专业性了吧。
这方面等保测评