Во многих сертификатах FIPS 140-2 Windows должна быть переведена в режим FIPS 140, а также работать в «однопользовательском режиме». Я знаком с объектами локальной / групповой политики для включения режима FIPS. Однако «однопользовательский режим» почти всегда пишется в кавычках (как и я). В объекте групповой политики не существует специальных настроек для включения этого режима, и я не нашел никаких подробностей, указывающих, как включить этот режим работы.
Лучшее, что я смог найти, это то, что это означает, что в любой момент времени это означает только одного интерактивного пользователя. Таким образом, я считаю, что наличие только одной учетной записи пользователя в операционной системе является не требованием, а скорее набором вещей, которые необходимо настроить для предотвращения одновременного использования нескольких интерактивных пользователей. Единственное, что может повлиять на это, - это отключить входящий RDP / Remote Assistant.
Что необходимо настроить для предотвращения одновременного использования нескольких интерактивных пользователей на рабочих станциях и серверах Windows?
РЕДАКТИРОВАТЬ: Поскольку большинство предприятий не могут разрешить только один локальный вход в систему, я хочу понять, что составляет ограничение среды одним интерактивный сеанс, при этом не ограничивая несколько учетных записей, но без входа в систему.
Самый простой подход - ограничить тех, кто может входить на данный компьютер в одну учетную запись пользователя (будь то локальная или доменная); это можно легко сделать, ограничив «локальный вход в систему» прямо в локальных политиках безопасности или через GPO. Кроме того, можно начать с различных прав «войти в систему как ...».
Если вместо этого вы хотите разрешить многим пользователям входить в систему, но только одному из них в любой момент времени, вам потребуется отключить удаленную остановку (или ограничить ее одним сеансом), а также отключить переключение пользователей для системной консоли.
Следует иметь в виду, что даже если у вас есть только один интерактивный сеанс, у вас все равно может быть много фоновых процессов, запущенных под другими учетными записями пользователей (не говоря уже о трех системных контекстах, LocalSystem, LocalService и NetworkService); полное запрещение этого потребовало бы множества настроек во многих частях системы.