该文详细阐述了Windows服务器在等保三级2.0标准下,关于安全计算环境中身份鉴别的四个关键点:用户身份标识与鉴别信息的唯一性和复杂度要求,登录失败处理功能,远程管理的安全措施,以及采用多因素鉴别技术,尤其是密码技术的应用。内容包括测评对象、评测方法和实施步骤,旨在确保系统的安全性。
等保测评三级2.0——【安全计算环境】2.服务器设备_Windows 一、身份鉴别
服务器设备_Windows(七个测评单元(控制项))
Windows三级共 23 控制点,二级共 15 控制点,其中高危控制点为 个。
一、身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
1、测评对象
Windows系统
2、评测方法 (测评师培训教材_初级)
3、实施步骤
3个主要检查点
- 首先查看有多少个用户,用户名是否唯一,查看是否登录需要密码、是否有用户存在空口令的情况。
- 登录密码是否符合复杂度要求:复杂性要求是否开启、密码长度8位及以上(包含数字、大小写字母、特殊字符)。
- 密码是否定期更换:密码最长最短使用期限不为0,强制密码历史:至少记住五个密码以上。
3.1、核查
1)首先查看有多少个用户,用户名是否唯一,查看是否登录需要密码、是否有用户存在空口令的情况;
操作:控制面板-》 管理工具(win11为 windows工具)-》计算机管理-》本地用户和组-》用户
如图:共有5个用户(下面三个有向下的小箭头,代表被禁用);每个用户的用户名唯一,然后查看每一个用户登录都需要密码,都没有空口令情况。
2)登录密码是否符合复杂度要求:复杂性要求是否开启、密码长度8位及以上(包含数字、大小写字母、特殊字符)。
3. 密码是否定期更换:密码最长最短使用期限不为0,强制密码历史:至少记住五个密码以上。
操作 控制面板-》管理工具-》本地安全策略-》账户策略-》密码策略
如图:
- (1)密码复杂度性要求被禁用,密码最小长度为0。
- (2)密码最短使用期限为0,最长为42,记住历史密码为0。
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
1、测评对象
Windows系统
2、评测方法 (测评师培训教材_初级)
3、实施步骤
2个主要检查点
- 首先查看是否开启账户锁定阈值和设置次数,并以此开启设置了账户锁定时间和重置账户锁定计数器。
- 在屏幕保护程序中,是否勾选 在恢复时显示登录屏幕。
3.1、核查
1)首先查看是否开启账户锁定阈值和设置次数,并以此开启设置了账户锁定时间和重置账户锁定计数器。
操作:控制面板-》 管理工具(win11为 windows工具)-》本地安全策略-》账户策略-》账户锁定策略
如图:账户锁定阈值开启并设置为 10次无效登录,账户锁定时间设置为10分钟,重置账户锁定时间为10分钟之后(注意:重置账户锁定时间会自动小于等于账户锁定时间)。
2)在屏幕保护程序中,是否勾选 在恢复时显示登录屏幕。
右键-》个性化-》锁屏界面-》屏幕保护程序。
如图:已勾选 在恢复时显示登录屏幕
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
1、测评对象
Windows系统
2、评测方法 (测评师培训教材_初级)
3、实施步骤
1个主要检查点
- 如果采用本地管理或者KVM等硬件管理方式,此项默认满足。
- 客户端连接加密级别为是否高级别,远程连接要求指定的安全层是否为RDP。
3.1、核查
2)客户端连接加密级别为是否高级别,远程连接要求指定的安全层是否为RDP。
操作:
如图:客户端连接加密级别为高级别,远程连接要求指定的安全层为RDP。
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
1、测评对象
Windows系统
2、评测方法 (测评师培训教材_初级)
3、实施步骤
个主要检查点
- 查看除了口令之外,另一种鉴别机制应为采用了密码技术(采用双因素方式进行身份鉴别且其中一种鉴别机制应用了密码技术)。
3.1、核查
1) 查看除了口令之外,另一种鉴别机制应为采用了密码技术(采用双因素方式进行身份鉴别且其中一种鉴别机制应用了密码技术)。
操作:
- 访谈:
询问管理员在登录系统的时候采用了哪些身份鉴别方法,是否采用了两种及两种以上组合的鉴别技术,且其中一种是否采用了密码技术。
2.核查:
记录管理员在登录系统时用的身份鉴别方法,以及使用密码技术的鉴别方法。
扫一扫
306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
