–前言等保测评时身份鉴别最容易被扣分在等保2.0三级系统测评中身份鉴别是最高频失分项之一。测评专家进入机房拿起一台服务器做基线核查敲几个命令看账号配置如果发现仍是用户名静态密码单因素认证结果写入报告的那一刻整改就不可避免。更麻烦的是这不是一两台服务器的问题——大多数企业有几十到几百台服务器全部改造的工作量可想而知。本文把等保2.0三级系统身份鉴别要求逐条拆解再给出Windows 和 Linux 两套改造方案以及离线工业场景的特殊处理方式最后附上可直接执行的整改 Checklist。一、等保2.0身份鉴别4条原文要求逐条解读等保2.0三级系统GB/T 22239-2019对安全区域边界和安全计算环境的身份鉴别要求如下条款 8.1.3.1 - a“应对登录的用户进行身份标识和鉴别身份标识具有唯一性身份鉴别信息具有复杂度要求并定期更换。”测评关注点每个账号是否唯一对应一个人禁止共用账号密码是否满足复杂度长度、大小写、数字、特殊字符密码是否有有效期是否有历史密码限制典型整改动作# Linux - 配置密码策略/etc/security/pwquality.confminlen12# 最短12位dcredit-1# 至少1个数字ucredit-1# 至少1个大写字母lcredit-1# 至少1个小写字母ocredit-1# 至少1个特殊字符# /etc/login.defsPASS_MAX_DAYS90# 密码90天过期PASS_MIN_DAYS1# 最短1天才能改PASS_WARN_AGE14# 到期前14天警告条款 8.1.3.1 - b“应具有登录失败处理功能应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。”测评关注点失败N次是否锁定账号空闲多久是否自动注销典型整改动作# Linux - /etc/security/faillock.confdeny5# 失败5次锁定unlock_time300# 锁定5分钟后自动解锁fail_interval900# 15分钟内统计失败次数# SSH超时退出 - /etc/ssh/sshd_configClientAliveInterval300# 5分钟无操作ClientAliveCountMax3# 超过3次无响应断开# Windows - 通过组策略配置# 计算机配置 → Windows设置 → 安全设置 → 账户策略 → 账户锁定策略# 账户锁定阈值: 5次# 账户锁定时间: 30分钟条款 8.1.3.1 - c ⭐最容易被扣分“当进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听。”测评关注点是否禁用了 Telnet、FTP 等明文协议SSH 是否配置了强加密算法Windows 远程桌面RDP是否启用了 NLA典型整改动作# 禁用Telnetsystemctl disable telnet systemctl stop telnet# SSH加密算法加固 - /etc/ssh/sshd_configProtocol2Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512,hmac-sha2-256 KexAlgorithms curve25519-sha256,diffie-hellman-group-exchange-sha256条款 8.1.3.1 - d ⭐⭐核心要求最多失分“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且其中一种鉴别技术至少应使用密码技术来实现。”测评关注点系统登录是否有第二因素第二因素是否满足密码技术要求OTP TOTP算法、USBKey数字签名均满足是否所有运维账号都纳入了双因素这一条是绝大多数企业的整改重点。二、双因素认证技术选型3种路径对比方案第二因素类型优势劣势适用场景OTP动态口令TOTP软件令牌手机APP成本低、部署快、无硬件手机丢失风险、需联网校时互联网企业、中小型系统USBKey硬件令牌硬件数字签名PKI私钥不可导出、抗克隆有硬件成本、需安装驱动金融、政务、高安全系统硬件OTP令牌独立设备显示动态码无手机依赖、离线可用硬件成本较高、分发管理工业离网场景三、Windows 服务器双因素改造方案改造原理Windows 登录认证通过Credential Provider凭据提供程序机制扩展双因素认证的实现就是在原有密码 Provider 基础上叠加一个 OTP/UKey 验证层。用户登录 → 输入用户名密码 → Windows原生CP验证密码 → → 弹出第二因素验证界面 → 输入OTP / 插入USBKey → → 双因素CP验证通过 → 登录成功本地账号 域账号均支持双因素认证覆盖范围 ├── 本地账号登录控制台/RDP ├── 域账号登录AD域成员服务器 ├── RDP远程登录支持NLA模式 └── 批量登录策略组策略推送无需逐台配置关键配置示例以OTP双因素为例在双因素认证管理平台上的操作添加目标服务器IP / 机器名为服务器上的运维账号绑定OTP种子设置强制策略该服务器所有远程登录必须双因素用户端体验RDP连接 192.168.1.100 → 第一步输入 Windows 用户名 密码 → 第二步弹窗提示请输入动态口令 → 打开手机认证APP输入当前6位动态码 → 登录成功四、Linux 服务器双因素改造方案改造原理Linux 的认证通过PAMPluggable Authentication Modules可插拔认证模块框架实现双因素认证通过安装 PAM 模块扩展SSH登录 → sshd → PAM框架 → ├── pam_unix.so验证密码 └── pam_otp.so验证OTP动态码← 新增模块PAM 配置示例# /etc/pam.d/sshd# 在密码认证之后追加OTP验证auth required pam_unix.so auth required pam_otp.so# 新增OTP二次验证account required pam_unix.so session required pam_unix.soSSH 配置调整# /etc/ssh/sshd_config# 开启键盘交互认证PAM OTP需要此选项ChallengeResponseAuthenticationyesUsePAMyes# 重启SSH服务systemctl restart sshd验证双因素是否生效# 尝试SSH登录sshadmin192.168.1.50 admin192.168.1.50s password: ← 第一步输入SSH密码 Verification code: ← 第二步输入OTP动态码 Last login: Thu May2109:00:002026from192.168.0.1五、离线工业场景无网络时如何保证双因素正常工作工厂车间、地铁系统、化工厂等场景普遍存在网络隔离要求这给双因素认证带来了特殊挑战。挑战分析挑战原因影响OTP时间同步设备离网NTP无法同步时间漂移导致OTP失效认证服务可达性RADIUS/认证服务器无法访问认证超时无法登录令牌补发员工令牌损坏无法联系服务器无法紧急补发解决方案离线双因素认证核心思路将部分认证逻辑下沉到本地无需实时连接中央服务器。离线双因素认证架构 ┌────────────────────────────────────────────┐ │ 工控服务器离线 │ │ │ │ 本地认证代理Local Auth Agent │ │ ├── 缓存用户账号白名单定期同步 │ │ ├── 缓存OTP种子加密存储定期更新 │ │ └── 本地验证密码验证 OTP验证离线TOTP │ │ │ │ ↓ 每天凌晨网络窗口期同步一次 │ │ │ │ 中央身份认证服务器联网区 │ │ ├── 账号变更推送 │ │ └── 密钥/种子分发 │ └────────────────────────────────────────────┘关键技术点TOTP基于时间的OTP只需时钟同步不需要联网离线环境保证服务器时钟精度即可本地代理定期每晚与中央服务器同步账号变更紧急情况下管理员可通过带外通道U盘/序列口更新本地账号六、等保整改 6 步 Checklist□ Step 1 【摸底】盘点所有服务器IP、OS、负责人、账号清单 工具nmap -sV 192.168.0.0/24 □ Step 2 【密码策略】所有服务器配置密码复杂度有效期 Windows组策略批量推送 Linux修改 /etc/security/pwquality.conf /etc/login.defs □ Step 3 【失败锁定】配置登录失败锁定策略 Windows组策略账户锁定阈值5次 Linux配置 faillock.conf □ Step 4 【禁用明文协议】禁用 Telnet、FTP启用 SSH/RDP-TLS 验证ss -tlnp | grep 23 结果应为空 □ Step 5 【部署双因素】对所有运维账号启用第二因素认证 优先级高权限账号 普通账号 Windows: 安装 Credential Provider 绑定OTP Linux: 安装 PAM 模块 配置 /etc/pam.d/sshd □ Step 6 【测评材料整理】 ✓ 双因素认证截图登录时弹出OTP输入框 ✓ 认证日志导出含时间戳、用户名、IP ✓ 密码策略配置截图 ✓ 失败锁定测试记录七、测评时检查人员会问什么根据实际等保测评经验检查人员在身份鉴别项通常会做以下操作1. 现场演示登录最重要“能否演示一下登录这台服务器的过程”他们需要亲眼看到第二因素认证界面弹出。只有系统配置截图是不够的必须现场可演示。2. 查账号清单“能否导出所有账号的列表是否有共用账号”# Linux导出账号列表cat/etc/passwd|grep-vnologin\|false|cut-d:-f1# Windows查询账号net user# 结合AD账号管理截图3. 查认证日志“最近30天有没有认证失败的记录失败次数超过5次的账号有哪些”# Linux SSH认证日志grepFailed password\|Invalid user/var/log/auth.log|tail-50# 双因素认证平台应能导出认证成功/失败报告4. 测试失败锁定“我来尝试多次错误密码看能否触发锁定。”总结等保2.0对身份鉴别的要求其实并不难理解核心就是四条唯一标识 复杂密码 防窃听 双因素。最容易被忽视、也最容易被扣分的是第d条——双因素认证。很多企业完成了前三条基线加固却在双因素认证上没有行动结果测评结论写不符合。合规改造的核心建议优先对有远程登录权限的账号强制双因素覆盖80%的风险利用PAM Credential Provider机制无需替换认证体系改造成本低离线工业场景不是借口离线TOTP 本地代理完全可以解决 话题讨论你们公司的服务器登录现在用什么认证方式等保测评时身份鉴别项有没有踩过坑欢迎评论区交流。
等保2.0操作系统基线检查:身份鉴别从静态密码到双因素认证的完整合规升级路径
–前言等保测评时身份鉴别最容易被扣分在等保2.0三级系统测评中身份鉴别是最高频失分项之一。测评专家进入机房拿起一台服务器做基线核查敲几个命令看账号配置如果发现仍是用户名静态密码单因素认证结果写入报告的那一刻整改就不可避免。更麻烦的是这不是一两台服务器的问题——大多数企业有几十到几百台服务器全部改造的工作量可想而知。本文把等保2.0三级系统身份鉴别要求逐条拆解再给出Windows 和 Linux 两套改造方案以及离线工业场景的特殊处理方式最后附上可直接执行的整改 Checklist。一、等保2.0身份鉴别4条原文要求逐条解读等保2.0三级系统GB/T 22239-2019对安全区域边界和安全计算环境的身份鉴别要求如下条款 8.1.3.1 - a“应对登录的用户进行身份标识和鉴别身份标识具有唯一性身份鉴别信息具有复杂度要求并定期更换。”测评关注点每个账号是否唯一对应一个人禁止共用账号密码是否满足复杂度长度、大小写、数字、特殊字符密码是否有有效期是否有历史密码限制典型整改动作# Linux - 配置密码策略/etc/security/pwquality.confminlen12# 最短12位dcredit-1# 至少1个数字ucredit-1# 至少1个大写字母lcredit-1# 至少1个小写字母ocredit-1# 至少1个特殊字符# /etc/login.defsPASS_MAX_DAYS90# 密码90天过期PASS_MIN_DAYS1# 最短1天才能改PASS_WARN_AGE14# 到期前14天警告条款 8.1.3.1 - b“应具有登录失败处理功能应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。”测评关注点失败N次是否锁定账号空闲多久是否自动注销典型整改动作# Linux - /etc/security/faillock.confdeny5# 失败5次锁定unlock_time300# 锁定5分钟后自动解锁fail_interval900# 15分钟内统计失败次数# SSH超时退出 - /etc/ssh/sshd_configClientAliveInterval300# 5分钟无操作ClientAliveCountMax3# 超过3次无响应断开# Windows - 通过组策略配置# 计算机配置 → Windows设置 → 安全设置 → 账户策略 → 账户锁定策略# 账户锁定阈值: 5次# 账户锁定时间: 30分钟条款 8.1.3.1 - c ⭐最容易被扣分“当进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听。”测评关注点是否禁用了 Telnet、FTP 等明文协议SSH 是否配置了强加密算法Windows 远程桌面RDP是否启用了 NLA典型整改动作# 禁用Telnetsystemctl disable telnet systemctl stop telnet# SSH加密算法加固 - /etc/ssh/sshd_configProtocol2Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512,hmac-sha2-256 KexAlgorithms curve25519-sha256,diffie-hellman-group-exchange-sha256条款 8.1.3.1 - d ⭐⭐核心要求最多失分“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别且其中一种鉴别技术至少应使用密码技术来实现。”测评关注点系统登录是否有第二因素第二因素是否满足密码技术要求OTP TOTP算法、USBKey数字签名均满足是否所有运维账号都纳入了双因素这一条是绝大多数企业的整改重点。二、双因素认证技术选型3种路径对比方案第二因素类型优势劣势适用场景OTP动态口令TOTP软件令牌手机APP成本低、部署快、无硬件手机丢失风险、需联网校时互联网企业、中小型系统USBKey硬件令牌硬件数字签名PKI私钥不可导出、抗克隆有硬件成本、需安装驱动金融、政务、高安全系统硬件OTP令牌独立设备显示动态码无手机依赖、离线可用硬件成本较高、分发管理工业离网场景三、Windows 服务器双因素改造方案改造原理Windows 登录认证通过Credential Provider凭据提供程序机制扩展双因素认证的实现就是在原有密码 Provider 基础上叠加一个 OTP/UKey 验证层。用户登录 → 输入用户名密码 → Windows原生CP验证密码 → → 弹出第二因素验证界面 → 输入OTP / 插入USBKey → → 双因素CP验证通过 → 登录成功本地账号 域账号均支持双因素认证覆盖范围 ├── 本地账号登录控制台/RDP ├── 域账号登录AD域成员服务器 ├── RDP远程登录支持NLA模式 └── 批量登录策略组策略推送无需逐台配置关键配置示例以OTP双因素为例在双因素认证管理平台上的操作添加目标服务器IP / 机器名为服务器上的运维账号绑定OTP种子设置强制策略该服务器所有远程登录必须双因素用户端体验RDP连接 192.168.1.100 → 第一步输入 Windows 用户名 密码 → 第二步弹窗提示请输入动态口令 → 打开手机认证APP输入当前6位动态码 → 登录成功四、Linux 服务器双因素改造方案改造原理Linux 的认证通过PAMPluggable Authentication Modules可插拔认证模块框架实现双因素认证通过安装 PAM 模块扩展SSH登录 → sshd → PAM框架 → ├── pam_unix.so验证密码 └── pam_otp.so验证OTP动态码← 新增模块PAM 配置示例# /etc/pam.d/sshd# 在密码认证之后追加OTP验证auth required pam_unix.so auth required pam_otp.so# 新增OTP二次验证account required pam_unix.so session required pam_unix.soSSH 配置调整# /etc/ssh/sshd_config# 开启键盘交互认证PAM OTP需要此选项ChallengeResponseAuthenticationyesUsePAMyes# 重启SSH服务systemctl restart sshd验证双因素是否生效# 尝试SSH登录sshadmin192.168.1.50 admin192.168.1.50s password: ← 第一步输入SSH密码 Verification code: ← 第二步输入OTP动态码 Last login: Thu May2109:00:002026from192.168.0.1五、离线工业场景无网络时如何保证双因素正常工作工厂车间、地铁系统、化工厂等场景普遍存在网络隔离要求这给双因素认证带来了特殊挑战。挑战分析挑战原因影响OTP时间同步设备离网NTP无法同步时间漂移导致OTP失效认证服务可达性RADIUS/认证服务器无法访问认证超时无法登录令牌补发员工令牌损坏无法联系服务器无法紧急补发解决方案离线双因素认证核心思路将部分认证逻辑下沉到本地无需实时连接中央服务器。离线双因素认证架构 ┌────────────────────────────────────────────┐ │ 工控服务器离线 │ │ │ │ 本地认证代理Local Auth Agent │ │ ├── 缓存用户账号白名单定期同步 │ │ ├── 缓存OTP种子加密存储定期更新 │ │ └── 本地验证密码验证 OTP验证离线TOTP │ │ │ │ ↓ 每天凌晨网络窗口期同步一次 │ │ │ │ 中央身份认证服务器联网区 │ │ ├── 账号变更推送 │ │ └── 密钥/种子分发 │ └────────────────────────────────────────────┘关键技术点TOTP基于时间的OTP只需时钟同步不需要联网离线环境保证服务器时钟精度即可本地代理定期每晚与中央服务器同步账号变更紧急情况下管理员可通过带外通道U盘/序列口更新本地账号六、等保整改 6 步 Checklist□ Step 1 【摸底】盘点所有服务器IP、OS、负责人、账号清单 工具nmap -sV 192.168.0.0/24 □ Step 2 【密码策略】所有服务器配置密码复杂度有效期 Windows组策略批量推送 Linux修改 /etc/security/pwquality.conf /etc/login.defs □ Step 3 【失败锁定】配置登录失败锁定策略 Windows组策略账户锁定阈值5次 Linux配置 faillock.conf □ Step 4 【禁用明文协议】禁用 Telnet、FTP启用 SSH/RDP-TLS 验证ss -tlnp | grep 23 结果应为空 □ Step 5 【部署双因素】对所有运维账号启用第二因素认证 优先级高权限账号 普通账号 Windows: 安装 Credential Provider 绑定OTP Linux: 安装 PAM 模块 配置 /etc/pam.d/sshd □ Step 6 【测评材料整理】 ✓ 双因素认证截图登录时弹出OTP输入框 ✓ 认证日志导出含时间戳、用户名、IP ✓ 密码策略配置截图 ✓ 失败锁定测试记录七、测评时检查人员会问什么根据实际等保测评经验检查人员在身份鉴别项通常会做以下操作1. 现场演示登录最重要“能否演示一下登录这台服务器的过程”他们需要亲眼看到第二因素认证界面弹出。只有系统配置截图是不够的必须现场可演示。2. 查账号清单“能否导出所有账号的列表是否有共用账号”# Linux导出账号列表cat/etc/passwd|grep-vnologin\|false|cut-d:-f1# Windows查询账号net user# 结合AD账号管理截图3. 查认证日志“最近30天有没有认证失败的记录失败次数超过5次的账号有哪些”# Linux SSH认证日志grepFailed password\|Invalid user/var/log/auth.log|tail-50# 双因素认证平台应能导出认证成功/失败报告4. 测试失败锁定“我来尝试多次错误密码看能否触发锁定。”总结等保2.0对身份鉴别的要求其实并不难理解核心就是四条唯一标识 复杂密码 防窃听 双因素。最容易被忽视、也最容易被扣分的是第d条——双因素认证。很多企业完成了前三条基线加固却在双因素认证上没有行动结果测评结论写不符合。合规改造的核心建议优先对有远程登录权限的账号强制双因素覆盖80%的风险利用PAM Credential Provider机制无需替换认证体系改造成本低离线工业场景不是借口离线TOTP 本地代理完全可以解决 话题讨论你们公司的服务器登录现在用什么认证方式等保测评时身份鉴别项有没有踩过坑欢迎评论区交流。
