控制点安全要求身份鉴别访问控制a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听a)应对登录的用户分配账户和权限b)应重命名或删除默认账户,修改默认账户的默认口令访问控制入侵防范c)应及时删除或停用多余的、过期的账户,避免共享账户的存在a)应遵循最小安装的原则仅安装需要的组件和应用程序b)应关闭不需要的系统服务、默认共享和高危端口入侵防范恶意代码防范可信验证c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制d) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心要求解读用户的身份标识和鉴别,就是用户向操作系统以一种安全的方式提交自己的身份证实,然后由操作系统确认用户的身份是否属 实 的 过 程 , 身 份 标 识 要 求 具 有 唯 一 性 。 在 用 户 进 入Windows桌面前,如果弹出一个用户登录界面,要求用户输入用户名和密码,Windows 操作系统对用户的用户名和密码进行验证通过后,用户可以登录操作系统。猜测密码是操作系统最常遇到的攻击方法之-,因此对操作系统的密码策略提出要求,在Windows操作系统中,要求密码历史记录、密码最短长度、密码复杂度等,并要求定期更换非法用户能够通过反复输入密码,达到猜测用户密码的目的,因此应该限制用户登录过程中连续输入错误密码的次数。 当用户多次输入错误密码后,操作系统应自动锁定该用户或一段时间内禁止该用户登录,从而增加猜测密码难度的目的。Windows操作系统具备登录失败处理功能,可以通过适当的配置“账户锁定策略”来对用户的登录进行限制为方便管理员进行管理操作,众多服务器采用网络登录的方式进行远程管理操作,Windows一般使用“远程桌面 (Remote Desktop)”进行远程管理,《基本要求》中规定了这些传输的数据需要进行加密处理,目的是为了保障账户和口令的安全访问控制是安全防范和保护的主要策略,操作系统访问控制的主要任务是保证操作系统资源不该非法使用和访向,使用访问控制的目的在于通过限制用户对特定资源的访问来保护系统资源。在操作系统中的每一个文件或目录都包含有访问权限, 这些访可权限决定了谁能访问和如何访问这些文件和目录。对于操作系统中一些重要的文件,则需要严格控制其访问权限,从而加强系统的安全性。因此,为了确保系统的安全,需要对登录的用户分配账户,并合理配置账户权限。在Windows系统中,重要目录不能对“everyone".账户开放,因为这样会带来很大的安全问题,在权限控制方面,尤其要注意当文件权限更改后对于应用系统的影响对于操作系统的默认账户, 由于它们的某些权限与实际系统的要求可能存在差异,从而造成安全隐患,因此这些默认账户应重命名或被删除,并修改默认账户的默认口令。Windows 的系统管理员账户名称就是Administrator,在一定环境下,黑客可以省略猜测用户名这个步骤,直接破解密码。因此,允许默认账访问的危害性是显而易见的根据管理用户的角色对权限进行细致的划分,有利于各岗位细致协调工作,同时仅授予管理用户所需的最小权限,避免出现权限的漏洞使得一些高级用户拥有过大的权限Windows默认安装时会开启许多不必要的系统服务,为了避免由于多余的系统服务带来安全风险,通常遵循最小安装原则,仅安装需要的组件和应用程序等。有些操作系统中运行的多余服务和应用程序,如:存在某台终端作为共享打印机使用Windows默认安装时会开启许多不必要的系统服务,为了避免由于多余的系统服务带来安全风险,通常...
