安全计算环境——身份鉴别

身份鉴别

最近在摸索相关的设置，记录一下~

测评项目a）

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

核查用户是否已采用身份鉴别措施

用户进行鉴别就是登录时需要你输入用户名、口令的行为，不是强制开启的，可以在某种程度上取消掉。

针对本地登录，使用Win+R打开运行框，在里面内输入netplwiz，则会出现用户账户页面

• 如果不勾选红框内容，则表示下次开机时会跳过验证直接登录Admin账号。但是并不是任何情况都会跳过登录，账号切换、睡眠、锁定、注销都需要再次进行身份鉴别。
  如果某用户是空口令，那么肯定不能达到该要求。

检查用户列表确认用户身份标识是否具有唯一性

window自动实现，即用户名或用户ID不能相同。默认符合

核查用户配置信息或测试验证是否不存在空口令用户

查看是否存在空口令用户：
为了安全起见，在/etc/passwd中用户的密码用了*号隐藏来保护密码的。而实际的密码内容是加密后，保存在/etc/shadow文件中了，我们确认是否存在空口令的用户就确认该文件中密码对应字段的长度是否为0，如果为0则证明该用户密码为空。同样使用awk可查出。
awk -F: ‘length($2)==0 {print $1}’ /etc/shadow

核查用户鉴别信息是否具有复杂度要求并定期更换

复杂度要求

在 Win+R 中输入 secpol.msc可以打开本地安全策略

可以看到密码的复杂度以及达到了需要的要求

定期更换

在CMD中输入net user 用户名查看上一次设置密码的时间

或者直接看密码策略里面，里面都有写密码最长使用时间

对于口令更换策略还需要注意计算机管理-本地用户和组-用户中

如果这里勾选了密码永不过期的话，上面的时间策略也就失效了。

测评项目b）

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

核查是否配置并启用了登录失败处理功能，是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等

这个看账户锁定策略的锁定时间和次数，一般是5次/30min

核查是否配置并启用了登录连接超时及自动退出功能

看屏幕保护程序或者睡眠时间，小于30min即可。

测评项目c）

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。

核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听

如果服务器没有连接外部网络，没有WIFI，管理服务器只能去机房操作，无远程管理，即符合。
如果存在远程管理，则：

远程桌面

计算机配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—安全

或者运行tsconfig.msc，打开远程桌面会话主机配置

还有就是要看有没有打开telnet，打开了就默认不符合，因为telnet默认不加密。

测评项目 d)

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别

测评项中的两种组合的鉴别技术，就是使用三个要素里至少两个不同的要素，比如“用户名、口令”+“数字证书”。
所以如果只是重复的使用其中一种要素，比如登录时需要输入两次不同的“用户名、口令”，那就不叫双因素认证，而叫两步验证。

核查其中一种鉴别技术是否使用密码技术来实现

使用“密码”进行登录，不代表一定就使用了“密码技术”。
当然，纯粹的口令验证应该是不存在的，无论是windows还是linux，你的账户口令肯定都是加过密的，比如linux，存的其实是使用单向散列算法（如md5）对你的口令进行计算得出来的杂凑值。

参考链接: link
数据库相关设置链接: link