Требование FIPS "однопользовательский режим" в Microsoft Windows

Question

Требование FIPS "однопользовательский режим" в Microsoft Windows

Во многих сертификатах FIPS 140-2 Windows должна быть переведена в режим FIPS 140, а также работать в "однопользовательском режиме". Я знаком с объектами локальной / групповой политики для включения режима FIPS. Однако "однопользовательский режим" почти всегда пишется в кавычках (как я это сделал). В объекте групповой политики нет конкретных настроек для включения этого режима, и я не нашел никаких подробностей, которые указывают, как включить этот режим работы.

Лучшее, что я смог найти, это то, что это означает, что в любой момент времени может быть только один интерактивный пользователь. Таким образом, я считаю, что это не требование, чтобы в O/S была только одна учетная запись пользователя, а скорее ряд вещей, которые необходимо настроить, чтобы предотвратить одновременное одновременное использование нескольких пользователей. Единственное, о чем я могу подумать, это может повлиять на отключение входящего RDP/Remote Assistant.

Что необходимо настроить для предотвращения одновременного одновременного взаимодействия нескольких пользователей на рабочих станциях и серверах Windows?

РЕДАКТИРОВАТЬ: Поскольку большинство предприятий не могут разрешить только один локальный вход в систему, я пытаюсь понять, что представляет собой ограничение среды одним интерактивным сеансом, не ограничивая при этом несколько - хотя и не вошедших - учетных записей.

4

windows fips-140-2

Источник

logicalscope 23 фев '12 в 19:13

1 ответ

Решение

Другие вопросы по тегам windows fips-140-2

Massimo 23 фев '12 в 19:35 2012-02-23 19:35 · Accepted Answer · 2012-02-23 19:35

Самый простой подход - ограничить число пользователей, которые могут входить на данный компьютер, в одну учетную запись пользователя (локальную или доменную); это можно легко сделать, ограничив "локальный вход" прямо в локальной политике безопасности или через объект групповой политики. Кроме того, различные права "войти в систему как..." - хорошее место для начала.

Если вы вместо этого хотите разрешить многим пользователям входить в систему, но только одному из них в любой момент времени, вам необходимо отключить удаленный декстоп (или ограничить его одним сеансом), а также отключить переключение пользователей для системной консоли.

Следует иметь в виду, что даже если у вас есть только один интерактивный сеанс, у вас все равно может быть много фоновых процессов, работающих как другие учетные записи пользователей (не говоря уже о трех системных контекстах, LocalSystem, LocalService а также NetworkService); Полное запрещение этого потребует много настроек во многих местах системы.