互联网安全中心6.1版关键安全控制16-10

Question

我的项目是实施CIS的关键安全控制，6.1版可以请任何人给我一些建议，我们如何解决次级控制16.10说……

“通过确定正常的每日访问时间和访问持续时间来分析每个用户的典型帐户使用情况。应该生成报告，显示在不正常时间内登录或超过正常登录时间的用户。这包括标记用户从用户通常工作的计算机以外的计算机上使用的凭据。”

是否有方法向Windows O/S添加诸如日期名称、日期范围、时间和访问持续时间等用户访问约束，并在尝试在这些约束之外使用用户帐户时报告？

Answer 1

有没有办法向Windows O/S添加诸如日期名称、日期范围、时间和访问持续时间等用户访问约束？

可以使用Active的登录时间属性控制一天的天数、名称和时间。您可以在一个用户或选定的用户上使用手动设置，也可以通过使用脚本实现流程的自动化。您还需要在他们的时间结束时使用在登录时间到期时强制注销来强迫他们离开。

至于登录持续时间，您可以使用从日志中计算出来，但不能在Active或Windows中配置最大值。(这不是完全正确的。例如，使用Microsoft家庭帐户，如果您的孩子不满18岁，您可以同时限制他们的时间和持续时间。不过，我还没有看到这种特性出现在企业Windows中，这可能是因为大多数公司都缺少孩子。)

报告何时尝试在这些约束之外使用用户帐户？

您可以从日志中提取这些信息(如果您使用的是SIEM，您应该能够发出警报或报告)。例如，Windows事件ID 4625 (“帐户登录失败”)条目带有Status = 0xC000006F，意思是“用户在授权时间之外登录”。