在许多 FIPS 140-2 证书中,Windows 必须置于 FIPS 140 模式并以“单用户模式”运行。我熟悉用于启用 FIPS 模式的本地/组策略对象。但是,“单用户模式”几乎总是用引号括起来(就像我做的那样)。GPO 中没有用于启用此模式的特定设置,而且我找不到任何指示如何启用此操作模式的详细信息。
我能找到的最好的信息是,这意味着在任何给定时间只有一个交互式用户。因此,我认为操作系统上只有一个用户帐户并不是必需的,而是需要配置一系列东西来防止多个交互式用户同时存在。我能想到的唯一可能影响这一点的事情是禁用传入的 RDP/远程助手。
需要进行哪些配置来防止 Windows 工作站和服务器中的多个并发交互式用户?
编辑:由于大多数企业不能只允许单一本地登录,我希望了解将环境限制为单一交互的会话而不限制多个(尽管未登录)帐户。
答案1
最简单的方法是将可以登录到给定计算机的用户限制为单个用户帐户(无论是本地帐户还是域帐户);这可以通过限制本地安全策略或 GPO 中的“本地登录”权限轻松实现。此外,各种“以...身份登录”权限也是不错的起点。
如果您想允许多个用户登录,但在任何给定时间只允许其中一个用户登录,则需要禁用远程桌面停止(或将其限制为单个会话)并禁用系统控制台的用户切换。
要记住的一点是,即使您只有一个交互式会话,您仍然可以以其他用户帐户的身份运行许多后台进程(更不用说三个系统上下文、、LocalSystem和LocalService)NetworkService;完全禁止这种情况需要在系统的许多地方进行大量调整。