一、前言

随着社会的进步和科技的发展，新技术、新业务下的产品与服务不断创新与升级，云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用，使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求，并且以“勒索病毒”为代表的新型攻击席卷全球，使传统安全防护手段已经难以有效保护网络空间安全，网络安全保护体系需要全面升级，以便配合《网络安全法》的实施，下面结合我多年的等保测评经验，为大家解读等保测评2.0的相关内容。

二、测评项

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

三、测评项a

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

3.1. 测评项a要求1

应对登录的用户进行身份标识和鉴别

这里的“身份标识”就是用户名，“鉴别”就是密码，属于windows自带功能，也就是我们进入Windows系统时需要输入用户名和密码，这个用户是可以不设置的，当然也就不符合要求了。

我们可以使用Win+R组合键打开运行框，在运行窗口里面输入netplwiz回车，则会出现用户账户页面，如下所示：

用户账户

当我们在本机用户列表中，选择其中某一个用户，比如lenovo后，勾掉“要使用本计算机，用户必须输入用户名和密码“选项的对勾后，下次开机进入系统时，将会跳过对用户进行身份鉴别的过程，如果该用户是空口令，那么自然也没法达到该要求，这就不用多说了。

3.2. 测评项a要求2

身份标识具有唯一性

即用户名不能重复，这个不用多说，windows不会允许相同用户名的，默认符合。

3.3. 测评项a要求3

身份鉴别信息具有复杂度要求

一般来说密码的复杂度要求包括长度最少8个字符，内容包含字母、数字及特殊字符，且不能是简单密码的组合，例如：admin@123等。

这个可以在Windows系统中的控制面板-系统和安全-管理工具-本地安全策略-密码策略里边设置进行设置，如下图所示：

密码策略

这里我主要关心的是“密码必须符合复杂性要求”和“密码长度最小值”这两个选项。“密码必须符合复杂性要求”要开启，“密码长度最小值”设置为8或者8以上即可符合口令长度要求。

3.4. 测评项a要求4

要求并定期更换

对于口令而言使用的时间越长，风险就越大，如果你的口令已经被他人获取，长时间内不更改密码，就会是你的计算机长期处于密码失控的状态，定期更改密码可以很好地防止类似事件发生，

这里我们可以通过访谈相关人员的方式进行，但是也没有可靠的证据，最好查看相关的配置，例如控制面板-系统和安全-管理工具-计算机管理-本地用户和组-用户中，选择一个用户右键单击选择属性查看“密码永不过期”是否已经勾选，勾选了就不符合。

用户属性

当然也可以查看控制面板-系统和安全-管理工具-本地安全策略-密码策略里边的“密码最长使用期限”只要是小于90天就算是符合。

密码策略

再一个就是在cmd中输入：net user 用户名，例如：

net user lenovo

就可以看到上次设置密码的时间和密码过期的时间限制，如下图所示：

net user

一般只要从上次设置密码到现在不超过90天就算符合要求，当然如果“password expires”为“never”则该项为不符合要求。

四、测评项b

b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

4.1. 测评项b要求1

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数

这个要求比较好理解，即连续登录达到N次的时候，将登录账户锁定，在windows的控制面板-系统和安全-管理工具-本地安全策略-账户锁定策略中设置，如下图所示：

账户锁定策略

一般账户锁定阈值设置小于等于5，锁定时间和重置时间大于等于30分钟即可符合要求。

4.2. 测评项b要求2

当登录连接超时自动退出

一般设置时间限制小于等于30分钟即可，一般我都看计算机是否设置屏幕保护设置设置了就算是符合要求。

屏幕保护

这里选择了“在恢复时显示登录屏幕”，再设置“等待”时间，即可实现超过时间限制自动退出的功能。

对于“远程登录”，如果用的是windows自带的远程桌面，当然得在计算机属性-远程设置-系统属性-远程里边的远程桌面选择允许运行远程桌面，如下图所示：

远程桌面

然后同时按下win+r键，在运行框中输入gpedit.msc，按enter键，在本地本地计算机策略-计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-会话时间限制

会话设置

点击win+r，运行tsconfig.msc，右键RDP-TCP的属性，如下图所示

会话

其中，活动会话限制：即远程登录成功后，无论你是否操作，达到限定时间后就会断开连接；空闲会话限制：即远程登录成功后，如果你不进行操作的时间达到限定值，即断开连接。可以根据实际情况自行设置。

五. 测评项c

c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

该测评项比较容易理解，进行远程管理时，要保证数据的保密性。

5.1远程会话安全设置

win+r键，在运行框中输入gpedit.msc，按enter键，在本地本地计算机策略-计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-安全里边进行安全配置。

会话安全配置

如果连接了外网，并且存在远程管理，那么点击win+r，运行tsconfig.msc，右键RDP-TCP的属性在常规里有安全性和加密级别。

安全加密配置

5.2查看是否关闭了telnet功能

如果可以与外部网络连通，就要查看是否关闭telnet功能，因为telnet是明文传输，一旦开启了telnet功能，无论运维人员是否使用，都算不符合要求，可以在cmd命令提示符输入：

netstat -an | findstr :23

telnet端口23

如果返回如上图所示，那么说明telnet功能开启，当然我们也可以在本地服务中找是否开启telnet功能，如下图所示：

telnet功能

六. 测评项d

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

6.1. 身份认证三要素

口令：就是大家常用的“用户名、口令”，你提交了只有你自己知道的验证信息，对方就可以认为提交了这个信息的人即为你，即身份认证通过；

辅助物品：如数字证书、密钥盘、加密狗等，你通过向对方出示了此类物品或信息来进行身份验证。

生物特征：指纹、虹膜、DNA等等。

所以，测评项中的两种组合的鉴别技术，就是使用三个要素里至少两个不同的要素，比如“用户名、口令”+“数字证书”。

所以如果只是重复的使用其中一种要素，比如登录时需要输入两次不同的“用户名、口令”，那就不叫双因素认证，而叫两步验证。

6.2. 密码技术

什么是密码技术？密码技术的运用有很多，比如数字签名、消息认证码等等，比较复杂，当然，其中最基本的元素应该是加密算法（对称加密、非对称加密）以及单向散列算法。

我们通常使用的“密码”，并不一定都采用了密码技术，实际上应该叫“口令”而非“密码”。

我们通过提供口令，通过了身份验证，获得了想要的数据，但是数据本身其实没有啥变化，它的特点是一旦绕过验证，就可以直接获得数据。

而如果是密码，比如加密算法将某数据进行了加密，我们想要获得原来的数据，就要提供密钥将数据还原，这里不存在什么绕过验证不逃过验证的，无法提供正确的密钥将数据还原的话，得到的就是一堆无意义的数据，也无法用它来做任何事。

结束语

身份鉴别是大家最常见的一种安全措施，往往是计算机的第一道屏障，大家应该重视，我在测评过程中很少会遇到身份鉴别做得非常好的情况，绝大多数服务器都是采用的默认密码和弱密码，而且长时间不更换，尤其是终端电脑，桌面密码大多数都是简单的几位数字密码，更别提其他的保护措施了，因此身份鉴别的情形还是非常严峻的，希望大家能够重视，以上就是等保测评2.0解读——Windows身份鉴别的所有内容，希望对大家有所帮助

原文始发于微信公众号（安全帮）：一项一项教你测等保2.0——Windows身份鉴别