等保測評2.0：Windows安全審計

一、應啓用安全審計功能，審計覆蓋到每一個用戶，對重要的用戶行爲和重要安全事件進行審計

方案：

　　在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\審覈策略，將所有審覈策略配置爲：成功,失敗。包括審覈策略更改、審覈對象訪問、審覈進程跟蹤、審覈目錄服務訪問、審覈帳戶登錄事件、審覈特權使用、審覈系統事件、審覈帳戶管理、審覈登錄事件共九項。

 

 

 

二、應對登陸的用戶進行身份標識和鑑別，身份標識具備惟一性，身份鑑別信息具備複雜度要求並按期更換

應對登陸的用戶進行身份標識和鑑別

　　身份標識功能（用戶名）就不用說了，屬於windows自帶功能。而對用戶進行鑑別也就是登陸時須要你輸入用戶名、口令的行爲，不是強制開啓的，能夠在某種程度上取消掉。

　　針對本地登陸，使用Win+R組合鍵打開運行框，在裏面內輸入netplwiz，則會出現用戶帳戶頁面，以下所示：

　　

 

 

在本機用戶列表中，選擇其中某一個用戶，好比Administrator後，再去掉「要使用本計算機，用戶必須輸入用戶名和密碼「選項的選擇後。則表示，下次開機登陸時，將會跳過對用戶進行鑑別的過程，直接以咱們所選擇的用戶Administrator的身份登入電腦。

但有一點，並非全部狀況下對用戶進行鑑別的過程都被跳過了，如切換帳號、睡眠、鎖定、註銷這幾種狀況後從新登陸的，仍然要輸入用戶口令。因此這裏的選項僅僅能跳過開機時對用戶的身份鑑別過程。

另外，若是某用戶是空口令，那麼天然也無法達到該要求，這就不用多說了。

針對「遠程登陸」（好比遠程桌面或其餘第三方遠程管理軟件），則通常是要看對方是否勾選了「記住密碼」此類選項。

 

身份標識具備惟一性

即用戶名或用戶ID不能重複，windows自動實現，默認符合。

 

身份鑑別信息具備複雜度要求

 windows是否進行了口令複雜度策略的設置，強制要求口令具備必定的複雜度，也即在windows的密碼策略中進行了設置：

 打開控制面板->管理工具->本地安全策略->帳戶策略->密碼策略

 

 

 

主要關心的是「密碼必須符合複雜性要求」、「密碼長度最小值」、「強制密碼歷史」這三個選項。

「密碼必須符合複雜性要求」，其具體內容以下：

 

 

 要求並按期更換

和口令複雜度同樣，一個方面是看實際的口令更換週期。

這裏能夠經過訪談相關人員或者直接覈查配置，推薦第二種方法。對於簡單的、不復雜的問題仍是本身查配置較好

對於口令更換週期，在cmd中使用以下命令便可得知上一次口令更換時間：

 

 

 

 

也就是上圖中的「上次設置密碼」的值，通常90天內有過更換便可。

另外一方面就是查看windows的密碼策略：    

即上圖的「密碼最長使用期限」，通常設置值小於等於90天便可。

至於「密碼最短使用期限」，指的是多少天內不能更改密碼，與測評要求基本沒啥關係，不用管。

不過對於口令更換策略而言，還有個地方須要先去看看，也就是在計算機管理-本地用戶和組-用戶中：

 

若是這裏勾選了「密碼永不過時」，那麼windows的密碼策略中的「密碼最長使用期限」也就失效了。