– norma ustalona przez NCSC (ang. National Computer SecurityCenter – Państwowe Centrum Ochrony Komputerów). Windows NT został uznany jako system zgodny z tą normą. Poziom ochrony C2 jest oparty na wymaganiach zawartych w kryteriach oceny U.S. Department of Defense Trusted Computer System, czyli słynnej „orange book”, która jest jedną z kolekcji tęczowego zbioru ksiąg. Cały zakres kategorii bezpieczeństwa zamknięty jest w przedziale od D do A2. Każda z poszczególnych kategorii zapewnia:
D – minimalną ochronę;
C – dyskretna ochrona sekcji;
C1 – dyskretny system zabezpieczeń;
C2 – kontrolowany dostęp;
B – autorytatywną ochronę sekcji;
B1 – określony system zabezpieczeń;
B2 – strukturalną ochronę;
B3 – zabezpieczone domeny;
A – zweryfikowaną ochronę sekcji;
A1 – zweryfikowany system zabezpieczeń;
A2 – „komputer zakopany 30 metrów pod ziemią nie podłączony do niczego”.
System, który zgodny jest z normą C2 powinien mieć następujące cechy:
– ochrona obiektów na podstawie użytkowników i grup;
– hasło jest chronione przez zabezpieczoną bazę danych oraz nazwy użytkowników, które muszą być unikalne;
– kontrola zdarzeń związanych z systemem zabezpieczeń;
– autoryzacja dostępu może być wykonana tylko i wyłącznie przez autoryzowanego użytkownika;
– każdy program powinien mieć przydzieloną alokację pamięci tak by inny nie wchodził na zwolniony zasób.