1. 测评项目 a)

内容
应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

1.1 应核查用户在登录时是否采用了身份鉴别措施

身份标识功能（用户名）属于windows自带功能。用户进行鉴别就是登录时需要你输入用户名、口令的行为，不是强制开启的，可以在某种程度上取消掉。

针对本地登录，使用Win+R打开运行框，在里面内输入netplwiz，则会出现用户账户页面

• 如果不勾选红框内容，则表示下次开机时会跳过验证直接登录Admin账号。但是并不是任何情况都会跳过登录，账号切换、睡眠、锁定、注销都需要再次进行身份鉴别。
• 如果某用户是空口令，那么肯定不能达到该要求。

1.2 应核查用户列表确认用户身份标识是否具有唯一性

window自动实现，即用户名或用户ID不能相同。默认符合

1.3 应核查用户配置信息或测试验证是否不存在空口令用户

空口令去查就能知道，略过

1.4 应核查用户鉴别信息是否具有复杂度要求并定期更换

复杂度要求

1. 要看口令有没有达到实际要求的复杂度。
2. 要看windows是否配置了复杂度安全策略

• 在 Win+R 中输入 secpol.msc可以打开本地安全策略
  
  可以看到密码的复杂度以及达到了需要的要求
  
  定期更换
  这个就是看口令的更换周期在CMD中输入net user 用户名查看上一次设置密码的时间
  
  或者我们也可以直接看密码策略里面，里面都有写密码最长使用时间
  
  对于口令更换策略还需要注意计算机管理-本地用户和组-用户中
  
  如果这里勾选了密码永不过期的话，上面的时间策略也就失效了。
  

2. 测评项目 b)

内容
应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

2.1 应核查是否配置并启用了登录失败处理功能，是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等

这个只用看账户锁定策略的锁定时间和次数就行，一般是5次/30min

2.2应核查是否配置并启用了登录连接超时及自动退出功能

这个只用看屏幕保护程序或者睡眠时间就行，小于30min即可。

3. 测评项目 c)

内容
当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

3.1 应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听

如果服务器没有连接外部网络，没有WIFI，管理服务器只能去机房操作，就不村子啊远程管理，即符合。
如果存在远程管理，则：

1. 远程桌面
   计算机配置—管理模板—window组件—远程桌面服务—远程桌面会话主机—安全
   
   或者运行tsconfig.msc，打开远程桌面会话主机配置
   
   还有就是要看有没有打开telnet，打开了就默认不符合，因为telnet默认不加密。
   

4. 测评项目 d)

内容
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

4.1应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别

测评项中的两种组合的鉴别技术，就是使用三个要素里至少两个不同的要素，比如“用户名、口令”+“数字证书”。

所以如果只是重复的使用其中一种要素，比如登录时需要输入两次不同的“用户名、口令”，那就不叫双因素认证，而叫两步验证。

4.2应核查其中一种鉴别技术是否使用密码技术来实现

使用“密码”进行登录，不代表一定就使用了“密码技术”。

当然，纯粹的口令验证应该是不存在的，无论是windows还是linux，你的账户口令肯定都是加过密的，比如linux，存的其实是使用单向散列算法（如md5）对你的口令进行计算得出来的杂凑值。

标签：登录,windows,用户,口令,密码,鉴别,核查,计算环境
来源： https://blog.csdn.net/weixin_44477223/article/details/120884703