1、應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
方案:
在管理工具打開本地安全策略,打開路徑:安全設置\本地策略\審核策略,將全部審核策略配置為:成功,失敗。包括審核策略更改、審核對象訪問、審核進程跟蹤、審核目錄服務訪問、審核賬戶登陸事件、審核特權使用、審核系統事件、審核賬戶管理、審核登陸事件共九項。
2、應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求並定期更換
應對登錄的用戶進行身份標識和鑒別
身份標識功能(用戶名)就不用說了,屬於windows自帶功能。而對用戶進行鑒別也就是登錄時需要你輸入用戶名、口令的行為,不是強制開啟的,可以在某種程度上取消掉。
針對本地登錄,使用Win+R組合鍵打開運行框,在里面內輸入netplwiz,則會出現用戶賬戶頁面,如下所示:
在本機用戶列表中,選擇其中某一個用戶,比如Administrator后,再去掉“要使用本計算機,用戶必須輸入用戶名和密碼“選項的選擇后。則表示,下次開機登錄時,將會跳過對用戶進行鑒別的過程,直接以我們所選擇的用戶Administrator的身份登入電腦。
但有一點,並不是所有情況下對用戶進行鑒別的過程都被跳過了,如切換賬號、睡眠、鎖定、注銷這幾種情況后重新登錄的,仍然要輸入用戶口令。所以這里的選項僅僅能跳過開機時對用戶的身份鑒別過程。
另外,如果某用戶是空口令,那么自然也沒法達到該要求,這就不用多說了。
針對“遠程登錄”(比如遠程桌面或其他第三方遠程管理軟件),則一般是要看對方是否勾選了“記住密碼”此類選項。
身份標識具有唯一性
即用戶名或用戶ID不能重復,windows自動實現,默認符合。
身份鑒別信息具有復雜度要求
windows是否進行了口令復雜度策略的設置,強制要求口令具有一定的復雜度,也即在windows的密碼策略中進行了設置:
打開控制面板->管理工具->本地安全策略->賬戶策略->密碼策略
主要關心的是“密碼必須符合復雜性要求”、“密碼長度最小值”、“強制密碼歷史”這三個選項。
“密碼必須符合復雜性要求”,其具體內容如下:
要求並定期更換
和口令復雜度一樣,一個方面是看實際的口令更換周期。
這里可以通過訪談相關人員或者直接核查配置,推薦第二種方法。對於簡單的、不復雜的問題還是自己查配置較好
對於口令更換周期,在cmd中使用如下命令即可得知上一次口令更換時間:
也就是上圖中的“上次設置密碼”的值,一般90天內有過更換即可。
另一方面就是查看windows的密碼策略:
即上圖的“密碼最長使用期限”,一般設置值小於等於90天即可。
至於“密碼最短使用期限”,指的是多少天內不能更改密碼,與測評要求基本沒啥關系,不用管。
不過對於口令更換策略而言,還有個地方需要先去看看,也就是在計算機管理-本地用戶和組-用戶中:
如果這里勾選了“密碼永不過期”,那么windows的密碼策略中的“密碼最長使用期限”也就失效了。