等保测评2.0：Windows 剩余信息保护_a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;

一、说明

本篇文章主要说一说个人就windows系统中剩余信息保护控制点的相关内容和理解。

二、测评项

a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；
b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

三、测评项a

a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

这一条强调的鉴别信息。即用户名、密码等鉴别相关的信息，在Window Server 2008以前的版本中未明确鉴别信息是否进行了存储或缓存，但在Window Server 2008及以上版本中就可以配置了。

交互式登录: 之前登录到缓存的次数(域控制器不可用时)

打开“本地组策略编辑器”（win+R键输入“gpedit.msc”），然后查看 “计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“安全选项”：


根据Microsoft的官方文档描述:

策略设置确定用户是否可以使用缓存的帐户信息登录到 Windows 域。 可在本地缓存域帐户的登录信息，这样，如果无法在后续登录时联系到域控制器，用户仍然可以登录。

这个缓存的信息至少是有用户名的。
再看看 默认值：

允许值是多少呢：

可能值：
从0到50的用户定义的数字
未定义

说明可以缓存50次鉴别信息。

但缓存鉴别信息是存在漏洞的：

访问服务器控制台的用户具有其在该服务器上缓存的登录凭据。 能够访问服务器文件系统的攻击者可以找到此缓存的信息，并使用强力攻击来尝试确定用户密码。
Windows 通过加密信息并将缓存的凭据保留在系统的注册表中

所以：为了不缓存鉴别信息，“交互式登录: 之前登录到缓存的次数(域控制器不可用时)”应设置为0。

“关机：清除虚拟内存页面文件”

打开“本地组策略编辑器”（win+R键输入“gpedit.msc”），然后查看 “计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“安全选项”

Microsoft的官方文档是这样描述的：

保留在实际内存中的重要信息可能会定期写入页面文件，以帮助 Windows 处理多任务处理功能。 对已关闭的服务器具有物理访问权限的攻击者可以查看页面文件的内容。 攻击者可以将系统卷移动到另一个设备，然后分析页面文件的内容。 虽然此过程非常耗时，但它可能会将缓存的数据从随机存取内存（RAM）公开到页面文件。

所以：应启用“关机：清除虚拟内存页面文件”

关于“用可还原的加密来存储密码”

打开“本地组策略编辑器”（win+R键输入“gpedit.msc”），然后查看 “计算机配置”->“Windows设置”->“安全设置”->“账户策略”->“密码策略”

Microsoft的官方文档是这样描述的：

“使用可逆的加密存储密码” 策略设置提供对使用需要用户密码进行身份验证的协议的应用程序的支持。 以可逆方式存储加密的密码意味着可以解密加密的密码。 这样, 能够中断此加密的知识攻击者就可以通过使用已遭破坏的帐户登录到网络资源。 出于此原因, 除非应用程序要求超过保护密码信息的需要, 否则切勿为域中的所有用户启用 “存储密码使用可逆的加密”。

启用此策略设置允许操作系统以可能削弱整体安全性的格式存储密码。

所以：应禁用“用可还原的加密来存储密码”

综上所述：“交互式登录: 之前登录到缓存的次数(域控制器不可用时)设置为0、启用“关机：清除虚拟内存页面文件”，并且禁用“用可还原的加密来存储密码”才是符合的。

四、测评项b

b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

这一条强调的敏感数据，也就是重要的信息、数据。

“关机：清除虚拟内存页面文件”

前面的“测评项a”中已经说了，这里就不再复述了。

启用“关机：清除虚拟内存页面文件”，符合。