Windows 安全配置指南

计算机终端安全配置是一种解决终端安全问题的非常重要且有效的方法。本书配合2014年正式颁布实施的国家标准《信息安全技术政务计算机终端核心配置规范》（GB/T30278-2013），从实践角度出发，全面系统地介绍了Windows操作系统的安全机制和安全配置方法，并对终端核心配置基本概念、技术实现方法、实施管理流程和实际应用案例进行了详细解读。本书对于帮助单位安全管理人员或个人计算机用户实施安全配置管理，提高计算机抵抗安全风险的能力具有重要的参考价值。

李新友，获清华大学工学博士学位，现为国家信息中心研究员，中国计算机学会高级会员。主要研究领域包括：电子政务、信息安全。承担多项国家863高技术计划项目和国家电子政务重大工程项目。获第六届中国青年科技奖、北京市科技进步奖、教育部科技进步奖等。在国际国内学术刊物和学术会议上发表学术论文40余篇，出版著作4本，获实用新型专利3项。
刘蓓，博士，现为国家信息中心信息与网络安全部高级工程师，中国信息协会信息安全专业委员会副秘书长。主要研究领域包括电子政务、信息安全。近年来参与国家宏观经济管理信息系统等重大电子政务工程设计及建设，承担多项国家信息安全专项，完成《政务计算机终端核心配置规范》等5项国家标准和10余项电子政务工程标准编制工作。目前负责政务终端安全核心配置研究和相关应用开发工作，已在国际国内学术刊物和学术会议上发表论文20余篇。
许涛，国家信息中心信息与网络安全部，工程师。主要研究领域为电子政务和信息安全。在国家发改委、工信部、公安部等专项和课题中负责标准编制、系统设计和研发工作，目前主要从事终端安全配置和网间单向传输方面的研究，已完成多项国家标准和行业标准，并发表过多篇学术论文。
蔡军霞，国家信息中心信息与网络安全部，工程师。2009年毕业于北京航空航天大学计算机学院，师从我国著名计算机专家赵沁平院士，获工学硕士学位。加盟国家信息中心以来，主要从事网络大数据分析、政务信息安全、大规模软件系统的设计与研发等工作。
袁志强，北京联合大学本科毕业，从2001年开始从事软件开发，有丰富的软件开发管理经验。2007年3月，加入微软Solution Accelerators团队，研究微软各种产品的安全配置设置，格式化并提取不同种类的配置信息，最终完成微软安全基线格式和各种微软产品基线的生成。2009年4月，配合国家信息中心研制CGDCC，并且研制了配套的配置、检测、验证等工具。
王啸天，国家信息中心信息与网络安全部工程师，从事政务终端安全核心配置的研究与推广工作。目前在中国科学院研究生院攻读硕士学位。主要精力集中于终端安全核心配置管理系统及相关工具的研发与测试。
张海昆，2001年毕业于北京联合大学，2007年参与微软安全基线数据定义、采集和相关工具的开发，领导外包团队开发了Security Compliance Manager 1.0。2009年参与国家信息中心领导的CGDCC标准的定义，领导开发了所有相关工具。

1计算机安全概述1
1.1计算机安全风险分析1
1.1.1系统漏洞2
1.1.2外部攻击3
1.1.3安全管理不到位4
1.2计算机安全防护措施5
1.2.1安装个人防火墙6
1.2.2查杀病毒9
1.2.3打补丁14
1.2.4系统优化18
1.2.5安全状态监控22
1.3计算机安全配置管理24
1.3.1核心配置的概念及作用25
1.3.2外国政府桌面核心配置实践26
1.3.3我国政务终端安全配置研究进展30
1.3.4Windows安全配置引读31
2Windows安全机制33
2.1账户管理33
2.1.1用户账户创建33
2.1.2用户账户登录37
2.2访问控制38
2.2.1ACL38
2.2.2UAC40
2.3设备控制43
2.4入侵防范44
2.4.1浏览器保护模式44
2.4.2DEP45
2.5安全审计46
2.5.1什么是日志文件46
2.5.2怎样查看日志文件47
2.5.3如何修改日志文件47
3安全配置基本原理49
3.1安全配置项基本类型49
3.1.1开关型配置项49
3.1.2区间型配置项50
3.1.3枚举型配置项50
3.1.4复合型配置项50
3.2手动赋值的方法51
3.2.1注册表手动赋值51
3.2.2组策略手动赋值55
3.3自动化配置方法61
3.3.1域控环境下的自动化配置61
3.3.2非域控环境下的自动化配置69
4安全配置基本要求71
4.1概述71
4.2账户配置要求75
4.3口令配置要求76
4.4用户权限配置要求79
4.5审核及日志配置要求85
4.6安全选项配置要求89
4.7组件配置要求95
4.7.1IE管理95
4.7.2附件管理99
4.7.3电源管理99
4.7.4显示管理100
4.7.5会话服务101
4.7.6系统服务102
4.7.7网络服务105
5安全配置数据文件106
5.1安全配置清单106
5.1.1配置清单结构106
5.1.2配置项属性108
5.2安全配置基线包110
5.2.1安全配置基线包格式110
5.2.2安全配置基线标记111
5.2.3格式版本标记112
5.2.4基线标记113
5.2.5适用产品标记124
6安全配置基线包的生成127
6.1概述127
6.2基线包生成器128
6.3基线包编辑器142
6.4基线验证工具147
6.4.1基线验证方法147
6.4.2基线验证工具的使用149
7自动化部署及监测153
7.1自动化部署及监测平台基本架构153
7.2基线分发部署工具155
7.2.1功能155
7.2.2使用方法157
7.3安全配置状态监测及报告工具162
7.3.1功能162
7.3.2使用方法164
7.4安全配置符合性检查工具166
7.4.1工具功能166
7.4.2工具使用方法168
8安全配置实施管理172
8.1概述172
8.2安全配置实施流程173
8.3实施准备175
8.3.1准备阶段的工作内容175
8.3.2需求调研175
8.3.3制定总体方案179
8.3.4制定管理制度180
8.3.5组织保障180
8.4基线制定181
8.4.1基线制定阶段的工作内容181
8.4.2确定安全配置基本要求181
8.4.3制定安全配置清单184
8.4.4生成安全配置基线包190
8.5测试验证190
8.5.1基线测试验证阶段的工作内容190
8.5.2搭建测试验证环境190
8.5.3开展测试验证191
8.5.4安全配置调整192
8.6部署及监测192
8.6.1安全配置部署阶段的工作内容192
8.6.2搭建自动化部署及监测平台193
8.6.3基线分发195
8.6.4安全配置执行195
8.6.5安全配置监测196
8.7合规性检查197
8.7.1安全配置合规性检查阶段的工作内容197
8.7.2合规性检查197
8.7.3纠正安全配置偏差198
8.8例外处理198
8.8.1例外处理阶段的工作内容198
8.8.2审批备案198
8.8.3整改计划199
9安全配置应用实践200
9.1安全配置应用支撑平台200
9.2政务终端安全护理系统201
9.3政务安全虚拟桌面系统206
9.4终端安全配置在线服务平台211
附录安全配置清单详细分类列表216