在许多FIPS 140-2证书中,Windows必须置于FIPS 140模式,并以“单用户模式”运行。 我熟悉本地/组策略对象以启用FIPS模式。 但是,“单用户模式”几乎总是用引号(正如我所做的那样)写成。 GPO中没有特定的设置来启用此模式,我还没有find任何指示如何启用此模式的详细信息。
我已经能够find的最好的是,这意味着在任何时候只有一个交互式用户。 因此,我认为并不是要求O / S上只有一个用户帐户,而是需要configuration一系列防止多个同时交互用户的事情。 我能想到的唯一可能会影响到这一点是禁用传入的RDP /远程助手。
需要configuration什么以防止Windows工作站和服务器中的多个并发交互式用户?
编辑:由于大多数企业不能只允许一个本地login,我期待了解什么构成限制环境,而不是一个单一的交互式会议,而不是限制多个 – 虽然没有login的帐户。
最简单的方法是限制谁可以login到一个给定的计算机到一个用户帐户(无论是本地或域名); 这可以通过限制本地安全策略中的“本地login”权限或通过GPO轻松完成。 此外,各种“login为…”权利是一个很好的起点。
如果您希望允许许多用户login,但在任何给定时间只允许其中一个用户login,则需要禁用远程dekstop(或将其限制为单个会话),并禁用系统控制台的用户切换。
需要记住的一点是,即使只有一个交互式会话,仍然可以有许多后台进程作为其他用户帐户运行(更不用说三个系统上下文LocalSystem , LocalService和NetworkService )。 完全不允许这样做需要在系统的许多地方进行大量的调整。