聲明

本文是學(xué)習(xí) 政務(wù)計(jì)算機(jī)終端核心配置規(guī)范. 而整理的學(xué)習(xí)筆記,分享出來(lái)希望更多人受益,如果存在侵權(quán)請(qǐng)及時(shí)聯(lián)系我們

范圍

本標(biāo)準(zhǔn)提出了政務(wù)計(jì)算機(jī)終端核心配置的基本概念和要求，規(guī)定了核心配置的自動(dòng)化實(shí)現(xiàn)方法，規(guī)范了核心配置實(shí)施流程。

本標(biāo)準(zhǔn)適用于政務(wù)部門開(kāi)展計(jì)算機(jī)終端的核心配置工作。涉密政務(wù)計(jì)算機(jī)終端安全配置工作應(yīng)參照國(guó)家保密局相關(guān)保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行。

規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

政務(wù)部門 government department

從事涉及政府性事務(wù)工作的國(guó)家機(jī)關(guān)、企事業(yè)單位和大型社會(huì)團(tuán)體等機(jī)構(gòu)。

核心配置項(xiàng)（配置項(xiàng)） core configuration item

計(jì)算機(jī)操作系統(tǒng)、辦公軟件、瀏覽器、BIOS系統(tǒng)和防惡意代碼軟件等基礎(chǔ)軟件中影響計(jì)算機(jī)安全的關(guān)鍵參數(shù)可選項(xiàng)。

注：核心配置項(xiàng)類型包括開(kāi)關(guān)項(xiàng)、枚舉項(xiàng)、區(qū)間項(xiàng)和復(fù)合項(xiàng)，可以根據(jù)安全要求對(duì)其進(jìn)行賦值。

核心配置 core configuration

對(duì)核心配置項(xiàng)進(jìn)行參數(shù)設(shè)置的過(guò)程。

注：通過(guò)核心配置限制或禁止存在安全隱患或漏洞的功能，啟用或加強(qiáng)安全保護(hù)功能，來(lái)增強(qiáng)計(jì)算機(jī)抵抗安全風(fēng)險(xiǎn)的能力。

核心配置項(xiàng)基值 core configuration item base value

按照核心配置基本要求對(duì)配置項(xiàng)的參數(shù)設(shè)置。

核心配置基線 core configuration baseline

能夠滿足計(jì)算機(jī)安全基本要求的一組核心配置項(xiàng)基值構(gòu)成的集合。

核心配置清單core configuration list

由核心配置項(xiàng)構(gòu)成的一種列表，是對(duì)核心配置項(xiàng)屬性的一種形式描述。

核心配置基線包 core configuration baseline package

為實(shí)現(xiàn)核心配置基線自動(dòng)化部署而制定的一種具有特定語(yǔ)法格式的核心配置數(shù)據(jù)文件。

縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

BIOS：基本輸入輸出系統(tǒng)（Basic Input Output System）

TCM：可信密碼模塊（Trusted Cryptography Module）

FTP：文件傳輸協(xié)議（File Transfer Protocol）

XML：可擴(kuò)展置標(biāo)語(yǔ)言（Extensible Markup Language）

WMI：桌面管理規(guī)范（Windows Management Instrumentation）

GUID：全球唯一標(biāo)識(shí)符（Globally Unique Identifier）

CGDCC：政務(wù)計(jì)算機(jī)終端核心配置（Chinese Government Desktop Core
Configuration）

文本結(jié)構(gòu)

本標(biāo)準(zhǔn)分為三個(gè)部分。第一部分為概述，見(jiàn)第6章，闡述了核心配置基本概念，包括核心配置的對(duì)象、范圍、基本類型、賦值方法、對(duì)安全的作用以及自動(dòng)化實(shí)施框架。第二部分由第7章到第10章組成，在技術(shù)層面上詳細(xì)規(guī)定了核心配置的自動(dòng)化實(shí)現(xiàn)方法，包括核心配置基本要求、核心配置清單、核心配置基線包、核心配置自動(dòng)化部署及監(jiān)測(cè)技術(shù)要求。第三部分見(jiàn)第11章，在管理層面上詳細(xì)規(guī)定了核心配置的實(shí)施流程，包括實(shí)施準(zhǔn)備、基線制定、測(cè)試驗(yàn)證、配置部署、配置檢查和例外處理等六個(gè)環(huán)節(jié)。

概述

核心配置對(duì)象

本標(biāo)準(zhǔn)針對(duì)應(yīng)用于政務(wù)部門的聯(lián)網(wǎng)計(jì)算機(jī)終端提出核心配置要求，包括連接到互聯(lián)網(wǎng)、政務(wù)專網(wǎng)（政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)）的桌面計(jì)算機(jī)、膝上型計(jì)算機(jī)和瘦客戶機(jī)等。

核心配置范圍

核心配置的范圍包括如下方面：

a) 操作系統(tǒng)，如Windows系列、國(guó)外Linux和國(guó)產(chǎn)Linux等；

b) 辦公軟件，如國(guó)外Office軟件和國(guó)產(chǎn)WPS軟件等；

c) 瀏覽器軟件，如國(guó)外Internet
Explore、Chrome、Firefox和國(guó)產(chǎn)遨游、360瀏覽器等；

d) 郵件系統(tǒng)軟件，如國(guó)外Outlook和國(guó)產(chǎn)Foxmail等；

e) BIOS系統(tǒng)軟件，如AMI BIOS、Award BIOS等；

f) 防惡意代碼軟件，如內(nèi)防病毒、防木馬軟件等。

依據(jù)GB/T
22239-2008中7.1.3和7.1.4對(duì)于第三級(jí)主機(jī)安全和應(yīng)用安全的要求，從如下方面對(duì)上述基礎(chǔ)軟件提出配置要求：

a) 身份鑒別：包括賬戶登錄和口令管理；

g) 訪問(wèn)控制：包括賬戶管理和權(quán)限分配；

h) 安全審計(jì)：包括賬戶行為審計(jì)和資源訪問(wèn)審計(jì)；

i) 剩余信息保護(hù)：包括臨時(shí)文件、歷史文件和虛擬文件管理；

j) 入侵防范：包括對(duì)組件的保護(hù)功能開(kāi)啟、應(yīng)用程序的更新升級(jí)；

k) 惡意代碼防范：包括殺毒軟件的安裝、升級(jí)和病毒查殺管理；

l) 資源控制：包括服務(wù)、端口、協(xié)議等資源管理和數(shù)據(jù)的加密保護(hù)。

核心配置項(xiàng)基本類型

根據(jù)核心配置項(xiàng)的取值范圍，核心配置項(xiàng)分為開(kāi)關(guān)項(xiàng)、枚舉項(xiàng)、區(qū)間項(xiàng)和復(fù)合項(xiàng)等基本類型。

a) 開(kāi)關(guān)項(xiàng)：取值僅為"0"或"1"。例如，配置項(xiàng)"下載未簽名的Active控件"，可賦值為"啟用（1）“或"禁用（0）”。

m) 枚舉項(xiàng)：取值是離散的、可數(shù)的且多于兩種。例如，配置項(xiàng)"具有從網(wǎng)絡(luò)訪問(wèn)本地計(jì)算機(jī)權(quán)限的賬戶"，可賦值為"管理員（Administrators）"、“超級(jí)用戶（Power
Users）”、"一般用戶（Users）“或"來(lái)賓（Guests）”。

n) 區(qū)間項(xiàng)：取值連續(xù)分布在一個(gè)區(qū)間內(nèi)。例如，配置項(xiàng)"賬戶鎖定時(shí)間"，賦值范圍為
“1-99999min”。

o) 復(fù)合項(xiàng)：由上述兩種或多種關(guān)聯(lián)配置項(xiàng)組合而成。例如，配置項(xiàng)"啟動(dòng)屏幕保護(hù)程序的等待時(shí)間"，由開(kāi)關(guān)項(xiàng)和區(qū)間項(xiàng)組成。首先"啟用"屏幕保護(hù)程序，再設(shè)置"等待時(shí)間"。

核心配置項(xiàng)賦值方法

根據(jù)核心配置項(xiàng)賦值路徑不同，可分為注冊(cè)表賦值和配置文件賦值兩種方法，分別說(shuō)明如下：

a) 注冊(cè)表賦值方法

通過(guò)修改核心配置項(xiàng)對(duì)應(yīng)的注冊(cè)表鍵值等，實(shí)現(xiàn)對(duì)配置項(xiàng)的賦值，例如Windows操作系統(tǒng)；

p) 配置文件賦值方法

通過(guò)修改配置文件中有關(guān)的配置項(xiàng)，實(shí)現(xiàn)對(duì)配置項(xiàng)的賦值，例如Linux操作系統(tǒng)。

根據(jù)核心配置部署方式不同，可分為手動(dòng)和自動(dòng)兩種方法，分別說(shuō)明如下：

a) 手動(dòng)賦值

對(duì)核心配置項(xiàng)進(jìn)行人工逐項(xiàng)賦值。該方法適用于針對(duì)少量終端的少量配置部署。例如，在Windows系統(tǒng)環(huán)境下，運(yùn)行組策略編輯器（GPEdit），由人工對(duì)核心配置項(xiàng)進(jìn)行賦值；在Linux系統(tǒng)環(huán)境下，直接編輯配置文件，對(duì)核心配置項(xiàng)逐項(xiàng)進(jìn)行賦值；在BIOS系統(tǒng)中，直接在人機(jī)界面上，逐項(xiàng)進(jìn)行手動(dòng)賦值。

q) 自動(dòng)賦值

編輯核心配置基線包，調(diào)用自動(dòng)部署工具，對(duì)核心配置項(xiàng)進(jìn)行賦值。該方法適用于大量終端批量配置部署。

核心配置對(duì)安全的作用

核心配置主要通過(guò)如下四種方式提高終端安全性：

a) 啟用數(shù)字簽名、數(shù)據(jù)執(zhí)行保護(hù)（DEP）、加密存儲(chǔ)、更新升級(jí)等安全保護(hù)功能；

r) 禁止使用存在或可能存在安全漏洞的服務(wù)、端口、程序、腳本和驅(qū)動(dòng)等；

s) 加強(qiáng)口令管理、身份鑒別、賬戶管理和安全審計(jì)等安全保護(hù)手段；

t) 限制軟硬件訪問(wèn)權(quán)限、資源共享和遠(yuǎn)程登錄等功能。

核心配置自動(dòng)化實(shí)施框架

核心配置自動(dòng)化實(shí)施框架包括以下四個(gè)部分：

a) 提出核心配置基本要求，根據(jù)計(jì)算機(jī)終端所屬系統(tǒng)或環(huán)境的安全需求及安全級(jí)別，確定核心配置具體要求。核心配置基本要求見(jiàn)第7章。

u) 編制核心配置清單，采用清單方式描述核心配置要求，包括配置項(xiàng)標(biāo)識(shí)、配置項(xiàng)名稱、配置項(xiàng)組別、安全級(jí)別、取值范圍、配置項(xiàng)基值、賦值路徑和檢查規(guī)則等。核心配置清單格式要求見(jiàn)第8章。

v) 生成核心配置基線包，將配置清單轉(zhuǎn)化成為一種符合XML語(yǔ)法的嵌套式結(jié)構(gòu)數(shù)據(jù)文件，以供自動(dòng)化部署工具實(shí)施。核心配置基線包格式要求見(jiàn)第9章。

w) 自動(dòng)部署及監(jiān)測(cè)，通過(guò)搭建核心配置自動(dòng)化部署平臺(tái)，實(shí)現(xiàn)核心配置項(xiàng)的批量自動(dòng)賦值和合規(guī)性實(shí)時(shí)檢測(cè)。具體技術(shù)要求見(jiàn)第10章。

核心配置基本要求

操作系統(tǒng)核心配置要求

概要

本標(biāo)準(zhǔn)依據(jù)GB/T
22239-2008中7.1.3對(duì)第三級(jí)主機(jī)安全的要求，針對(duì)國(guó)內(nèi)外主流操作系統(tǒng)，在身份鑒別、訪問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、入侵防范和資源控制等方面提出核心配置基本要求。

身份鑒別

身份鑒別配置要求包括：

a) 賬戶登錄時(shí)，應(yīng)啟動(dòng)身份驗(yàn)證機(jī)制，限制連續(xù)登錄失敗次數(shù)，連續(xù)多次登錄失敗后應(yīng)鎖定賬戶；

x) 應(yīng)配置安全的口令長(zhǎng)度、復(fù)雜度、有效期和加密強(qiáng)度，禁止不設(shè)置口令；

y) 啟動(dòng)賬戶登錄界面時(shí)，應(yīng)禁止無(wú)關(guān)進(jìn)程的啟動(dòng)和運(yùn)行，防止鑒別信息被竊聽(tīng)。

注：附錄A給出了身份鑒別配置要求示例。

訪問(wèn)控制

訪問(wèn)控制配置要求包括：

a) 應(yīng)禁用匿名賬戶（Anonymous）、來(lái)賓賬戶（Guest）、產(chǎn)品支持賬戶（Support），限用管理員賬戶（Administrator），重命名管理員賬戶，限制普通用戶的訪問(wèn)權(quán)限，禁止任何賬戶遠(yuǎn)程訪問(wèn)；

z) 應(yīng)限制賬戶對(duì)文件、硬件、驅(qū)動(dòng)、內(nèi)存和進(jìn)程等重要資源的訪問(wèn)權(quán)限；

a) 應(yīng)限制賬戶權(quán)限提升和授權(quán)訪問(wèn)等操作。

安全審計(jì)

安全審計(jì)配置要求包括：

a) 應(yīng)啟用安全日志，記錄賬戶的創(chuàng)建、更改、刪除、啟用、禁用和重命名等操作，記錄賬戶登錄和注銷、開(kāi)關(guān)機(jī)、配置變更等操作；

b) 應(yīng)啟用系統(tǒng)日志，記錄對(duì)文件、文件夾、注冊(cè)表和系統(tǒng)資源的訪問(wèn)操作。

剩余信息保護(hù)

剩余信息保護(hù)配置要求包括：

a) 關(guān)閉系統(tǒng)時(shí)，應(yīng)清除虛擬內(nèi)存頁(yè)面文件；

c) 斷開(kāi)會(huì)話時(shí)，應(yīng)清除臨時(shí)文件夾；

d) 應(yīng)禁止剪貼板存儲(chǔ)信息與遠(yuǎn)程計(jì)算機(jī)共享。

入侵防范

入侵防范配置要求包括：

a) 應(yīng)啟用資源管理器數(shù)據(jù)執(zhí)行保護(hù)（DEP）模式和Shell協(xié)議保護(hù)模式；

e) 打開(kāi)郵件的附件時(shí)，應(yīng)啟用殺毒軟件進(jìn)行掃描；

f) 應(yīng)啟動(dòng)屏幕保護(hù)和休眠功能，設(shè)置喚醒口令；

g) 應(yīng)開(kāi)啟系統(tǒng)定期備份功能；

h) 應(yīng)限制應(yīng)用程序的下載和安裝，保持操作系統(tǒng)補(bǔ)丁及時(shí)更新。

資源控制

資源控制配置要求包括：

a) 應(yīng)禁用信息共享、動(dòng)態(tài)數(shù)據(jù)交換（Dynamic Data
Exchange）、互聯(lián)網(wǎng)信息服務(wù)（Internet Information
Services）、FTP和Telnet等網(wǎng)絡(luò)連接、遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)等服務(wù)，限制藍(lán)牙等無(wú)線連接；

b) 禁止介質(zhì)自動(dòng)運(yùn)行（Auto run）；

c) 應(yīng)關(guān)閉FTP、HTTP（超文本傳輸協(xié)議Hypertext Transport
Protocol）、RPC（遠(yuǎn)程過(guò)程調(diào)用協(xié)議Remote Procedure Call
Protocol）、UPNP（通用即插即用Universal Plug and
Play）、遠(yuǎn)程桌面服務(wù)、遠(yuǎn)程控制類軟件服務(wù)端監(jiān)聽(tīng)、木馬軟件等對(duì)應(yīng)開(kāi)放的端口；

d) 應(yīng)禁止IPC（進(jìn)程間通信Inter Process
Communication)管道連接，限制SYN（同步字符Synchronize）的傳輸次數(shù)和發(fā)送時(shí)間；

e) 應(yīng)啟用磁盤加密系統(tǒng)等數(shù)據(jù)保密配置。對(duì)于三級(jí)以上政務(wù)計(jì)算機(jī)應(yīng)配置TCM模塊，遵循國(guó)家密碼管理局發(fā)布的可信計(jì)算相關(guān)標(biāo)準(zhǔn)保護(hù)敏感數(shù)據(jù)。

辦公軟件核心配置要求

本標(biāo)準(zhǔn)依據(jù)GB/T中22239-2008
7.1.4對(duì)第三級(jí)應(yīng)用安全的要求，針對(duì)國(guó)內(nèi)外主流辦公軟件提出如下核心配置要求：

a) 應(yīng)禁止ActiveX控件的使用；

i) 應(yīng)禁用所有未經(jīng)驗(yàn)證的加載項(xiàng)；

j) 應(yīng)限用未數(shù)字簽名的宏；

b) 應(yīng)限制在線自動(dòng)更新升級(jí)、網(wǎng)上下載剪貼畫和模板等資源，以及訪問(wèn)超級(jí)鏈接。

瀏覽器核心配置要求

概要

本標(biāo)準(zhǔn)依據(jù)GB/T
22239-2008中7.1.4對(duì)第三級(jí)應(yīng)用安全的要求，針對(duì)國(guó)內(nèi)外主流瀏覽器，在瀏覽器安全選項(xiàng)、域安全管理和隱私保護(hù)等方面提出核心配置基本要求。

瀏覽器安全選項(xiàng)

瀏覽器安全選項(xiàng)配置要求包括：

a. 應(yīng)嚴(yán)格禁止運(yùn)行java小程序腳本；

b. 應(yīng)限制下載和安裝未簽名的Active X控件；

c. 應(yīng)開(kāi)啟瀏覽器的保護(hù)模式。

域安全管理

域安全管理配置要求包括：

a) 訪問(wèn)以太網(wǎng)的安全限制應(yīng)設(shè)為中或高；

k) 訪問(wèn)企業(yè)專網(wǎng)的安全限制可設(shè)為中；

l) 訪問(wèn)可信站點(diǎn)的安全限制可設(shè)為低；

m) 應(yīng)限制訪問(wèn)受限站點(diǎn)，禁止從受限站點(diǎn)下載或保存文件。

隱私保護(hù)

隱私保護(hù)配置要求包括：

a) 退出網(wǎng)頁(yè)時(shí)，應(yīng)刪除Cookie文件、下載記錄、訪問(wèn)網(wǎng)站歷史記錄和臨時(shí)文件夾；

n) 應(yīng)限制輸入框自動(dòng)關(guān)聯(lián)功能。

郵件系統(tǒng)核心配置要求

本標(biāo)準(zhǔn)依據(jù)GB/T
22239-2008中7.1.4對(duì)第三級(jí)應(yīng)用安全的要求，針對(duì)國(guó)內(nèi)外主流郵件系統(tǒng)軟件提出如下配置要求：

a) 應(yīng)配置安全的郵箱登錄口令的長(zhǎng)度和復(fù)雜度；

o) 對(duì)本地存儲(chǔ)的郵件應(yīng)開(kāi)啟加密功能；

p) 發(fā)送郵件應(yīng)使用數(shù)字簽名和數(shù)字加密技術(shù)，接收郵件應(yīng)對(duì)數(shù)字簽名進(jìn)行驗(yàn)證；

q) 應(yīng)開(kāi)啟加密協(xié)議收發(fā)郵件；

r) 應(yīng)禁止直接運(yùn)行附件中存在安全隱患的文件類型；

s) 應(yīng)禁止運(yùn)行郵件中的超鏈接；

t) 應(yīng)啟用垃圾郵件過(guò)濾功能。

BIOS 系統(tǒng)核心配置要求

本標(biāo)準(zhǔn)依據(jù)GB/T中22239-2008
7.1.3對(duì)第三級(jí)主機(jī)安全的要求，對(duì)BIOS系統(tǒng)提出如下配置要求：

a) 開(kāi)機(jī)時(shí)應(yīng)啟動(dòng)身份鑒別機(jī)制，并設(shè)置安全的口令長(zhǎng)度和復(fù)雜度；

u) 應(yīng)限制硬件資源使用，包括軟驅(qū)、硬盤、內(nèi)存、USB設(shè)備、網(wǎng)卡和CPU等；

v) 應(yīng)啟用硬盤寫保護(hù)；

w) 應(yīng)限制使用定時(shí)開(kāi)機(jī)、遠(yuǎn)程模式控制開(kāi)機(jī)、鍵盤鼠標(biāo)開(kāi)機(jī)等開(kāi)機(jī)模式；

x) 操作系統(tǒng)操作關(guān)機(jī)后，應(yīng)立即斷開(kāi)計(jì)算機(jī)電源；

y) 應(yīng)限制由外部設(shè)備，如U盤、光驅(qū)等引導(dǎo)啟動(dòng)計(jì)算機(jī)終端。

防惡意代碼軟件核心配置要求

防惡意代碼軟件核心配置要求包括：

a) 應(yīng)開(kāi)啟實(shí)時(shí)保護(hù)功能；

b) 應(yīng)及時(shí)升級(jí)防惡意代碼軟件至最新版本，開(kāi)啟自動(dòng)更新病毒庫(kù)功能；

c) 應(yīng)定期進(jìn)行病毒、木馬等惡意代碼掃描，發(fā)現(xiàn)惡意代碼立即隔離或刪除。

核心配置清單

概要

核心配置清單描述配置項(xiàng)的屬性，包括配置項(xiàng)標(biāo)識(shí)、配置項(xiàng)名稱、配置項(xiàng)描述、配置項(xiàng)組別、安全級(jí)別、取值范圍、配置項(xiàng)基值、賦值路徑和檢查規(guī)則。

配置項(xiàng)屬性

配置項(xiàng)標(biāo)識(shí)

配置項(xiàng)標(biāo)識(shí)是配置項(xiàng)的唯一編碼，由三組字符構(gòu)成，通過(guò)"-“進(jìn)行分隔，標(biāo)識(shí)規(guī)則如圖1所示。最高組位的字符使用CGDCC，代表政務(wù)終端核心配置；中間組位引用軟件產(chǎn)品標(biāo)識(shí)；最低組位使用4位數(shù)字代表配置項(xiàng)序號(hào)。例如"Window7口令長(zhǎng)度"配置項(xiàng)，其標(biāo)識(shí)為"CGDCC-win7-0011”。

1. 配置項(xiàng)標(biāo)識(shí)規(guī)則

配置項(xiàng)名稱

描述配置項(xiàng)名稱的字符串。

配置項(xiàng)描述

從終端的安全風(fēng)險(xiǎn)、配置項(xiàng)的應(yīng)對(duì)措施和潛在影響等三個(gè)方面對(duì)配置項(xiàng)進(jìn)行解釋說(shuō)明。其中，安全風(fēng)險(xiǎn)主要描述配置項(xiàng)所對(duì)應(yīng)的系統(tǒng)脆弱性；應(yīng)對(duì)措施主要描述配置項(xiàng)推薦參數(shù)賦值；潛在影響主要描述配置生效后可能對(duì)終端系統(tǒng)造成的影響。

配置項(xiàng)組別

需對(duì)配置項(xiàng)進(jìn)行分組時(shí)，描述配置項(xiàng)所屬的組別。

安全級(jí)別

描述配置項(xiàng)對(duì)計(jì)算機(jī)終端安全性的影響程度，分為一般、重要和嚴(yán)重三個(gè)級(jí)別。

取值范圍

描述配置項(xiàng)允許賦值的范圍，可用開(kāi)關(guān)、枚舉和區(qū)間表示。

配置項(xiàng)基值

描述符合核心配置基本要求的配置項(xiàng)基值。當(dāng)配置項(xiàng)安全級(jí)別為嚴(yán)重時(shí)，此配置項(xiàng)必須按照基值進(jìn)行賦值。

賦值路徑

描述配置項(xiàng)的賦值路徑。對(duì)于Windows的配置項(xiàng)，可以依據(jù)配置項(xiàng)的賦值路徑，使用相應(yīng)的配置工具進(jìn)行賦值。例如，配置項(xiàng)"賬戶鎖定時(shí)間"的賦值路徑為"Computer
Configuration\Windows Settings\Security Settings\Account
Policies\Account Lockout
Policy"，通過(guò)組策略編輯器（GPEdit）工具，在該路徑下可對(duì)"賬戶鎖定時(shí)間"進(jìn)行賦值。

檢查規(guī)則

描述檢查配置項(xiàng)的實(shí)際值是否達(dá)到基值的判斷規(guī)則，如大于配置項(xiàng)基值、小于配置項(xiàng)基值、等于配置項(xiàng)基值、大于等于配置項(xiàng)基值、小于等于配置項(xiàng)基值。

核心配置基線包

概要

核心配置基線包是一種嵌套式結(jié)構(gòu)的數(shù)據(jù)文件，采用XML格式對(duì)核心配置基線中各配置項(xiàng)的屬性進(jìn)行規(guī)范性標(biāo)記，以實(shí)現(xiàn)核心配置部署及監(jiān)測(cè)的自動(dòng)化。

核心配置基線包由格式版本標(biāo)記、基線標(biāo)記和產(chǎn)品標(biāo)記三部分組成。其中，基線標(biāo)記包括基線版本標(biāo)記、配置組標(biāo)記、配置項(xiàng)標(biāo)記和檢查標(biāo)記。核心配置基線包格式結(jié)構(gòu)如圖2所示。

2. 核心配置基線包格式結(jié)構(gòu)

主標(biāo)記

核心配置基線包用"CGDCC-Package"作為主標(biāo)記，其結(jié)構(gòu)如表1所示。

1. 主標(biāo)記

格式版本標(biāo)記

格式版本用"CGDCC-FormatInfo"作為標(biāo)記，描述核心配置基線包格式版本的基本信息，其結(jié)構(gòu)如表2所示。

2. 格式版本標(biāo)記

基線標(biāo)記

基線主標(biāo)記

用"CGDCC-Baseline"作為基線主標(biāo)記，描述核心配置基線的基本信息，其結(jié)構(gòu)如表3所示。

3. 基線標(biāo)記

表3（續(xù)）

配置項(xiàng)組別標(biāo)記

用"SettingGroup"作為配置項(xiàng)組別標(biāo)記，描述配置項(xiàng)分類的基本信息，其結(jié)構(gòu)如表4所示。

4. 配置項(xiàng)組別標(biāo)記

表4（續(xù)）

配置項(xiàng)標(biāo)記

配置項(xiàng)主標(biāo)記

用"SettingItem"作為配置項(xiàng)標(biāo)記，描述各核心配置項(xiàng)的基本信息，如表5所示。

5. 配置項(xiàng)標(biāo)記

配置項(xiàng)內(nèi)容標(biāo)記

1. 配置項(xiàng)內(nèi)容主標(biāo)記

用"Content"作為配置項(xiàng)內(nèi)容標(biāo)記，描述各核心配置項(xiàng)內(nèi)容的主要信息，如表6所示。

6. 配置項(xiàng)內(nèi)容標(biāo)記

表6（續(xù)）

1. 配置項(xiàng)取值映射表標(biāo)記

用"ValueMappingTable"作為配置項(xiàng)取值映射表標(biāo)記，描述核心配置項(xiàng)取值映射表的主要信息，如表7所示。

7. 取值映射表標(biāo)記

配置項(xiàng)取值標(biāo)記

用"DiscoveryInfo"作為配置項(xiàng)取值標(biāo)記，描述核心配置項(xiàng)取值方法，如表8所示。

8. 配置項(xiàng)取值標(biāo)記

1. cgdcc-core是命名空間的前綴。

配置項(xiàng)賦值標(biāo)記

用"ExportInfo"作為配置項(xiàng)賦值標(biāo)記，描述核心配置項(xiàng)賦值方法，如表9所示。在組策略工具中，通過(guò)加載組策略導(dǎo)出文件（GPO
Backup）進(jìn)行賦值。

9. 配置項(xiàng)賦值標(biāo)記

配置項(xiàng)檢查標(biāo)記

用"Check"作為配置項(xiàng)檢查標(biāo)記，描述判斷配置項(xiàng)是否存在，以及實(shí)際值是否達(dá)到基值的規(guī)則，如表10所示。

10. 配置項(xiàng)檢查標(biāo)記

產(chǎn)品標(biāo)記

用"CGDCC-Product"作為配置基線的產(chǎn)品標(biāo)記，描述配置基線適用產(chǎn)品的主要信息，如表11所示。

11. 產(chǎn)品標(biāo)記

延伸閱讀

更多內(nèi)容 可以 政務(wù)計(jì)算機(jī)終端核心配置規(guī)范. 進(jìn)一步學(xué)習(xí)

聯(lián)系我們

DB3202-T 1047-2023 工貿(mào)企業(yè)安全風(fēng)險(xiǎn)分級(jí)管控和隱患排查治理規(guī)范 無(wú)錫市.pdf文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-679401.html

到了這里，關(guān)于計(jì)算機(jī)終端核心安全配置規(guī)范的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！