Requisito de “modo de usuário único” FIPS no Microsoft Windows

4

Em muitos certificados FIPS 140-2, o Windows deve ser colocado no modo FIPS 140 e executado no "modo de usuário único". Estou familiarizado com os objetos de política local / de grupo para ativar o modo FIPS. No entanto, "modo de usuário único" é quase sempre escrito em citações (como eu fiz). Nenhuma definição específica existe no GPO para habilitar esse modo, e não encontrei nenhum detalhe que indique como habilitar esse modo de operação.

O melhor que consegui encontrar é que isso significa apenas um usuário interativo a qualquer momento. Assim, acredito que não é um requisito que haja apenas uma conta de usuário no O / S, mas sim uma série de coisas que precisam ser configuradas para evitar múltiplos usuários interativos simultâneos. A única coisa que posso pensar que pode afetar isso é desabilitar o RDP / Remote Assistant.

O que precisa ser configurado para impedir vários usuários interativos simultâneos em estações de trabalho e servidores Windows?

EDIT: Como a maioria das empresas não pode permitir apenas um único login local, eu estou procurando entender o que constitui restringir o ambiente a uma única sessão interativa enquanto não restringe várias - embora não conectadas - - contas.

    
por logicalscope 23.02.2012 / 20:13

1 resposta

1

A abordagem mais fácil seria limitar quem pode conectar-se a um determinado computador a uma única conta de usuário (seja local ou de domínio); Isso pode ser feito facilmente restringindo o direito "fazer logon localmente" nas diretivas de segurança locais ou por meio de um GPO. Além disso, os vários direitos "fazer logon como ..." são um bom lugar para começar.

Se você quiser permitir que muitos usuários façam logon, mas apenas um deles em um determinado momento, será necessário desativar o dekstop remoto (ou restringi-lo a uma única sessão) e também desabilitar a troca de usuário para o console do sistema .

Uma coisa a ter em mente é que, mesmo se você tiver apenas uma sessão interativa, ainda assim poderá ter muitos processos em segundo plano sendo executados como outras contas de usuário (sem mencionar os três contextos do sistema, LocalSystem , LocalService e NetworkService ); completamente desautorizar isso exigiria muitos ajustes em muitos lugares do sistema.

    
por 23.02.2012 / 20:35