多くのFIPS 140-2証明書では、WindowsはFIPS 140モードになり、「シングルユーザーモード」で実行する必要があります。私は有効にするローカル/グループポリシーオブジェクトFIPSモード。ただし、「シングルユーザーモード」はほとんどの場合引用符で記述されます(私が行ったように)。GPOこのモードを有効にしますが、このモードの操作を有効にする方法を示す詳細は見つかりませんでした。
私が見つけた最高のことは、これは常に1人のインタラクティブユーザーのみを意味するということです。したがって、O/Sにユーザーアカウントが1つしかないという要件ではなく、複数の同時インタラクティブユーザーを防ぐために構成する必要がある一連の事項が必要であると思います。これに影響を与える可能性があると私が考えることができる唯一のことは、着信RDP /リモートアシスタントを無効にすることです。
Windowsワークステーションおよびサーバーで複数の同時対話ユーザーを防ぐために何を構成する必要がありますか?
編集:ほとんどの企業は単一のローカルログインのみを許可できないため、複数の(ログインしていない)アカウントを制限せずに、環境を単一のインタラクティブセッションに制限することを構成するものを理解しようとしています。
最も簡単なアプローチは、特定のコンピューターにログオンできるユーザーを1つのユーザーアカウント(ローカルアカウントまたはドメインアカウント)に制限することです。これは、ローカルセキュリティポリシーで「ローカルログオン」権を制限するか、GPOを介して簡単に実行できます。また、さまざまな「ログオン...」権限から始めることをお勧めします。
代わりに、多くのユーザーにログオンを許可したいが、一度に1人だけにログオンさせたい場合は、リモートdekstopを無効にし(または単一のセッションに制限し)、システムコンソールのユーザー切り替えも無効にする必要があります。
覚えておくべきことは、インタラクティブセッションが1つしかない場合でも、他のユーザーアカウントとして多くのバックグラウンドプロセスを実行できることです(3つのシステムコンテキスト、LocalSystem
、LocalService
およびNetworkService
);これを完全に禁止するには、システムの多くの場所で多くの調整が必要になります。