上周帮一家做财税服务的客户做等保2.0预检,发现他们新配的30台Windows 10办公电脑,全都没开BitLocker,USB口也没封,管理员账号还挂着默认密码。测评老师扫了一眼就摇头:‘终端这一块,基本没动过。’
终端不是‘能开机就行’
很多人以为等保2.0重点在服务器、防火墙和日志审计系统,终端只要装个杀毒软件、打上补丁就万事大吉。其实不然——等保2.0三级要求里,‘安全计算环境’章节专门对终端提出明确控制项,覆盖身份鉴别、访问控制、入侵防范、可信验证、安全审计五大类,每一条都对应实际操作动作。
身份鉴别:不止是输密码
二级系统要求‘口令复杂度+定期更换’,三级则强制要求多因素认证。比如财务、HR、IT运维等高权限岗位的办公终端,不能只靠本地账户密码登录。必须启用Windows Hello(指纹/人脸)、智能卡,或对接单位统一身份认证平台(如LDAP+OTP)。
常见误区:给域账户设了8位密码,但没启用账户锁定策略;或者用第三方SSO登录OA后,桌面系统仍允许空密码自动登录。
访问控制:U盘不是想插就插
等保2.0三级明确要求‘移动介质使用管控’。这意味着:USB存储设备接入前需经白名单审批,或通过终端DLP软件限制只读/禁写/加密写入。实测中,很多企业还在靠‘贴封条’或‘口头提醒’来管U盘,这在测评中直接算未落实。
入侵防范:杀软只是起点
光装火绒或360是不够的。等保要求终端具备‘主动防御能力’,比如开启Windows Defender Exploit Guard(EDR基础功能),关闭不必要的服务(如SMBv1、Telnet客户端),禁用宏脚本执行(尤其Office文档)。
一个真实案例:某律所员工点开邮件里的Word合同附件,因宏未禁用,触发远控木马。事后查日志发现,终端防病毒软件没开启行为监控模块——这在等保测评中属于‘入侵防范措施失效’。
可信验证:国产化终端绕不开的坎
对政务、金融、能源等关键行业,等保2.0三级新增‘基于可信根的启动过程完整性校验’要求。简单说,就是BIOS/UEFI要支持TPM 2.0,操作系统启动链(Bootloader→Kernel→Driver)需可验证。目前主流国产终端(如华为擎云、联想开天)已内置可信芯片,但Windows或统信UOS需手动开启Secure Boot并导入可信基线。
安全审计:别让日志‘睡大觉’
终端产生的操作日志(登录登出、权限变更、文件删除、外联行为)必须留存6个月以上,并集中上传至SIEM平台。常见问题是:日志本地保存但未同步,或只开了‘失败登录’记录,漏掉‘成功提权’‘注册表修改’等关键事件。
Windows下可快速启用关键审计策略:
Audit Policy: Audit logon events - Success and Failure
Audit Policy: Audit object access - Success
Audit Policy: Audit privilege use - Success
Audit Policy: Audit process tracking - Success小动作,大影响
改几项组策略、封几个USB口、开几个日志开关,看起来都是小活儿。但等保测评不看PPT,只看终端真实运行状态和日志回溯证据。上周那家财税公司,最后花了两天时间批量推送组策略、部署轻量EDR代理、重置所有终端管理员密码——整改完重新跑测评,终端项一次通过。