《信息安全技术政务计算机终端核心配置规范》（征求意见稿).doc

ICS35.040 L80 中华人民共和国国家标准 GB/T XXXXX—XXXX 信息安全技术 政务计算机终端核心配置规范 Information security technology - Chinese government desktop core configuration specifications 点击此处添加与国际标准一致性程度的标识 （本稿完成日期：2012年9月18日） XXXX - XX - XX发布 XXXX - XX - XX实施 GB/T XXXXX—XXXX 目次 前言 III 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 3.1　核心配置项（配置项）　core　configuration　item 1 3.2　核心配置　core　configuration 1 3.3　核心配置项基值　core　configuration　item　base　value 1 3.4　核心配置基线　core　configuration　baseline 1 3.5　核心配置清单core　configuration　list 1 3.6　核心配置基线包　Core　configuration　baseline　package 2 4　缩略语 2 5　文本结构 2 6　概述 2 6.1　核心配置对象 2 6.2　核心配置范围 2 6.3　核心配置项基本类型 3 6.4　核心配置项赋值方法 3 6.5　核心配置对安全的作用 3 6.6　核心配置自动化实施框架 3 7　核心配置基本要求 4 7.1　操作系统核心配置要求 4 7.2　办公软件核心配置要求 5 7.3　浏览器核心配置要求 5 7.4　邮件系统核心配置要求 6 7.5　BIOS　系统核心配置要求 6 8　核心配置清单 6 8.1　概要 6 8.2　配置项属性 6 9　核心配置基线包 7 9.2　主标记 8 9.3　格式版本标记 9 9.4　基线标记 9 9.5　产品标记 14 10　核心配置自动化部署及监测技术要求 14 10.1　自动化部署及监测平台基本架构 14 10.2　配置编辑模块 15 10.3　配置验证模块 15 10.4　配置部署模块 16 10.5　状态监测模块 16 11　管理实施流程 16 11.1　实施流程框架 16 11.2　实施准备 17 11.3　基线制定 18 11.4　测试验证 18 11.5　配置部署 18 11.6　配置检查 19 11.7　例外处理 19 附录A（资料性附录）　身份鉴别配置要求示例 20 A.1　身份鉴别配置要求 20 A.2　账户登录 20 A.3　口令管理 20 附录B（资料性附录）　核心配置清单 21 B.1　概要 21 B.2　配置清单 21 图1　配置项标识规则 7 图2　核心配置包格式结构 8 图3　自动化部署及监测平台 15 图4　实施流程 17 表1　主标记 8 表2　格式版本标记 9 表3　基线标记 9 表4　配置项组别标记 10 表5　配置项标记 10 表6　配置项内容标记 11 表7　取值映射表标记 12 表8　配置项取值标记 12 表9　配置项赋值标记 13 表10　配置项检查标记 13 表11　产品标记 14 前言 本标准的附录A和附录B为资料性附录。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准起草单位：国家信息中心、中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司。 本标准主要起草人：刘蓓、许涛、吴亚非等。 25 信息安全技术 政务计算机终端核心配置规范      1　 范围 本标准提出了政务计算机终端核心配置的基本概念和要求，规定了核心配置的自动化实现方法，包括核心配置清单和核心配置基线包格式，核心配置自动化部署及监测技术要求，规范了核心配置实施流程。 本标准适用于规范政务部门开展的计算机终端核心配置工作。 2　 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2008 《信息系统安全等级保护基本要求》 3　 术语和定义 下列术语和定义适用于本文件。 3.1　 核心配置项（配置项） core configuration item 计算机操作系统、办公软件、浏览器和BIOS系统等基础软件中影响计算机安全的关键参数可选项。注：核心配置项类型包括开关项、枚举项、区间项和复合项，可以根据安全要求对其进行赋值。 3.2　 核心配置 core configuration 对核心配置项进行参数设置的过程。主要通过核心配置限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，来增强计算机抵抗安全风险的能力。 3.3　 核心配置项基值 core configuration item base value 按照核心配置基本要求对配置项的最低参数设置。 3.4　 核心配置基线 core configuration baseline 能够满足计算机安全基本要求的一组核心配置项基值构成的集合。 3.5　 核心配置清单core configuration list 由核心配置项构成的一种列表，是对核心配置项属性的一种形式描述。 3.6　 核心配置基线包 Core configuration baseline package 为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。 4　 缩略语 下列缩略语适用于本文件。 BIOS：基本输入输出系统（Basic Input Output System） FTP：文件传输协议（File Transfer Protocol） XML：可扩展标记语言（Extensible Markup Language） WMI：桌面管理规范（Windows Management Instrumentation） GUID：全球唯一标识符（Globally Unique Identifier） 5　 文本结构 本标准分为三个部分。第一部分为概述，见第6章，阐述了核心配置基本概念，包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。第二部分由第7章到第10章组成，在技术层面上详细规定了核心配置的自动化实现方法，包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。第三部分见第11章，在管理层面上详细规定了核心配置的实施流程，包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。 6　 概述 6.1　 核心配置对象 本标准针对政务计算机终端提出核心配置要求。政务计算机终端包括我国各级政务部门应用于政务的联网计算机设备，如连接到互联网、政务专网（政务内网、政务外网）的桌面计算机、膝上型计算机和瘦客户机等。 6.2　 核心配置范围 核心配置的范围包括如下方面： a) 操作系统，如Windows系列、国外Linux和国产Linux等； b) 办公软件，如国外Office软件和国产WPS软件等； c) 浏览器软件，如国外Internet Explore、Chrome、Firefox和国产遨游、360浏览器等； d) 邮件系统软件，如国外Outlook和国产Foxmail等； e) BIOS系统软件，如AMI BIOS、Award BIOS等。 依据GB/T 22239-2008 7.1.3和7.1.4节中对于第三级主机安全和应用安全的要求，从如下方面对上述基础软件提出配置要求： f) 身份鉴别：包括账户登录和口令管理； g) 访问控制：包括帐户管理、权限管理、服务管理和操作管理； h) 信息保护：包括临时文件、历史文件和虚拟文件管理； i) 安全审计：包括账户行为审计和资源访问审计。 6.3　 核心配置项基本类型 根据核心配置项的取值范围，核心配置项分为开关项、枚举项、区间项和复合项等基本类型。 a) 开关项：取值仅为“0”或“1”。例如，配置项“下载未签名的Active控件”，可赋值为“启用（1）”或“禁用（0）”。 b) 枚举项：取值是离散的、可数的且多于两种。例如，配置项“具有从网络访问本地计算机权限的账户”，可赋值为“管理员（Administrators）”、“超级用户（Power Users）”、“一般用户（Users）”或“来宾（Guests）”。 c) 区间项：取值连续分布在一个区间内。例如，配置项“账户锁定时间”，赋值范围为“1-99999”分钟。 d) 复合项：由上述两种或多种关联配置项组合而成。例如，配置项“启动屏幕保护程序的等待时间”，由开关项和区间项组成。首先“启用”屏幕保护程序，再设置“等待时间”。 6.4　 核心配置项赋值方法 根据核心配置项赋值路径不同，可分为注册表赋值和配置文件赋值两种方法，分别说明如下： a) 注册表赋值方法 通过修改核心配置项对应的注册表键值等，实现对配置项的赋值，例如Windows操作系统； b) 配置文件赋值方法 通过修改配置文件中有关的配置项，实现对配置项的赋值，例如Linux操作系统。 根据核心配置部署方式不同，可分为手动和自动两种方法，分别说明如下： c) 手动赋值 对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如，在Windows系统环境下，运行组策略编辑器（GPEdit），由人工对核心配置项进行赋值；在Linux系统环境下，直接编辑配置文件，对核心配置项逐项进行赋值；在BIOS系统中，直接在人机界面上，逐项进行手动赋值。 d) 自动赋值 编辑核心配置基线包，调用自动部署工具，对核心配置项进行赋值。该方法适用于大量终端批量配置部署。 6.5　 核心配置对安全的作用 核心配置主要通过如下四种方式提高终端安全性： a) 启用数字签名、数据执行保护（DEP）、加密存储、更新升级等安全保护功能； b) 禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等； c) 加强密码管理、身份认证、账户管理和安全审计等安全保护手段； d) 限制软硬件访问权限、资源共享和远程登录等功能。 6.6　 核心配置自动化实施框架 核心配置自动化实施框架包括以下四个部分： a) 提出核心配置基本要求，根据计算机终端所属系统或环境的安全需求及安全等级，确定核心配置具体要求。核心配置基本要求见第7章。 b) 编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、配置项组别、重要性级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8章。 c) 生成核心配置基线包，将配置清单转化成为一种符合XML语法的嵌套式结构数据文件，以供自动化部署工具实施。核心配置基线包格式要求见第9章。 d) 自动部署及监测，通过搭建核心配置自动化部署平台，实现核心配置项的批量自动赋值和合规性实时检测。具体技术要求见第10章。 7　 核心配置基本要求 7.1　 操作系统核心配置要求 7.1.1　 概要 本标准依据GB/T 22239-2008 7.1.3节对第三级主机安全的要求，针对国内外主流操作系统，在身份鉴别、访问控制、数据保密、剩余信息保护、安全审计、网络通信安全、系统组件安全等方面提出核心配置基本要求。 7.1.2　 身份鉴别 身份鉴别配置要求包括： a) 账户登录时，应启动身份验证机制，限制连续登录失败次数，连续多次登录失败后应锁定账户； b) 应配置安全的口令长度、复杂度、有效期和加密强度，禁止不设置口令； c) 启动账户登录界面时，应禁止无关进程的启动和运行，防止鉴别信息被窃听。 注：附录A给出了身份鉴别配置要求示例。 7.1.3　 访问控制 访问控制配置要求包括： a) 应禁用匿名账户（Anonymous）、来宾账户（Guest）、产品支持账户（Support），限用管理员账户（Administrator），限制普通用户的访问权限，禁止所有账户或未登录账户远程访问； b) 应限制对文件、硬件、驱动、内存和进程等重要资源的访问权限； c) 应禁用信息共享、动态数据交换（Dynamic Data Exchange）、互联网信息服务（Internet Information Services）、FTP和Telnet等网络连接、远程网络访问等服务，限制蓝牙等无线连接； d) 应限制权限提升和授权访问等操作，禁止介质自动运行（Auto run），限制软件下载、安装和升级操作。 7.1.4　 数据保密 应启用磁盘加密系统等数据保密配置。 7.1.5　 剩余信息保护 剩余信息保护配置要求包括： a) 关闭系统时，应清除虚拟内存页面文件； b) 断开会话时，应清除临时文件夹； c) 应禁止剪贴板存储信息与远程计算机共享。 7.1.6　 安全审计 安全审计配置要求包括： a) 应启用安全日志，记录账户的创建、更改、删除、启用、禁用和重命名等操作，记录账户登录和注销、开关机、配置变更等操作； b) 应启用系统日志，记录对文件、文件夹、注册表和系统资源的访问操作。 7.1.7　 网络通信安全 网络通信配置要求包括： a) 应关闭FTP、HTTP（超文本传输协议Hypertext Transport Protocol）、RPC（远程过程调用协议Remote Procedure Call Protocol）、UPNP（通用即插即用Universal Plug and Play）、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口； b) 应设置SYN（同步字符Synchronize）的传输次数和发送时间，防范DOS攻击； c) 应禁止IPC（进程间通信Inter Process Communication)管道连接。 7.1.8　 系统组件安全 系统组件配置要求包括： a) 应启用资源管理器数据执行保护（DEP）模式和Shell协议保护模式； b) 打开邮件的附件时，应启用杀毒软件进行扫描； c) 应启动屏幕保护和休眠功能，设置唤醒口令； d) 应开启系统定期备份功能。 7.2　 办公软件核心配置要求 本标准依据GB/T 22239-2008 7.1.4节对第三级应用安全的要求，针对国内外主流办公软件提出如下核心配置要求： a) 应禁止ActiveX控件的使用； b) 应禁用所有未经验证的加载项； c) 应限用未数字签名的宏； d) 应限制在线自动更新升级、网上下载剪贴画和模板等资源，以及访问超级链接。 7.3　 浏览器核心配置要求 7.3.1　 概要 本标准依据GB/T 22239-2008 7.1.4节对第三级应用安全的要求，针对国内外主流浏览器，在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。 7.3.2　 浏览器安全选项 浏览器安全选项配置要求包括： a） 应严格禁止运行java小程序脚本； b） 应限制下载和安装未签名的Active X控件； c） 应开启浏览器的保护模式。 7.3.3　 域安全管理 域安全管理配置要求包括： a) 访问以太网的安全级别应设为中或高； b) 访问企业专网的安全级别可设为中； c) 访问可信站点的安全级别可设为低； d) 应限制访问受限站点，禁止从受限站点下载或保存文件。 7.3.4　 隐私保护 隐私保护配置要求包括： a) 退出网页时，应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹； b) 应限制输入框自动关联功能。 7.4　 邮件系统核心配置要求 本标准依据GB/T 22239-2008 7.1.4节对第三级应用安全的要求，针对国内外主流邮件系统软件提出如下配置要求： a) 应配置安全的邮箱登录口令的长度和复杂度； b) 对本地存储的邮件应开启加密功能； c) 发送邮件应使用数字签名和数字加密技术，接收邮件应对数字签名进行验证； d) 应开启加密协议收发邮件； e) 应禁止直接运行附件中存在安全隐患的文件类型； f) 应禁止运行邮件中的超链接； g) 应启用垃圾邮件过滤功能。 7.5　 BIOS 系统核心配置要求 本标准依据GB/T 22239-2008 7.1.3节对第三级主机安全的要求，对BIOS系统提出如下配置要求： a) 开机时应启动身份认证机制，并设置安全的口令长度和复杂度； b) 应限制硬件资源使用，包括软驱、硬盘、内存、USB设备、网卡和CPU等； c) 应启用硬盘写保护； d) 应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式； e) 操作系统操作关机后，应停止计算机所有运行程序和磁盘读写操作； f) 应限制由外部设备，如U盘、光驱等引导启动计算机终端。 8　 核心配置清单 8.1　 概要 核心配置清单描述配置项的属性，包括配置项标识、配置项名称、配置项描述、配置项组别、重要性级别、取值范围、配置项基值、赋值路径和检查规则。 8.2　 配置项属性 8.2.1　 配置项标识 配置项标识是配置项的唯一编码，由三组字符构成，通过“-”进行分隔，标识规则如图1所示。最高组位的字符使用CGDCC，代表政务终端核心配置；中间组位引用软件产品标识；最低组位使用4位数字代表配置项序号。例如“Window7口令长度”配置项，其标识为“CGDCC-win7-0011”。 图1　 配置项标识规则 8.2.2　 配置项名称 描述配置项名称的字符串。 8.2.3　 配置项描述 从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中，安全风险主要描述配置项所对应的系统脆弱性；应对措施主要描述配置项推荐参数赋值；潜在影响主要描述配置生效后可能对终端系统造成的影响。 8.2.4　 配置项组别 需对配置项进行分组时，描述配置项所属的组别。 8.2.5　 重要性级别 描述配置项对计算机终端安全性的影响程度，分为一般、重要和严重三个级别。 8.2.6　 取值范围 描述配置项允许赋值的范围，可用开关、枚举和区间表示。 8.2.7　 配置项基值 描述符合核心配置基本要求的配置项基值。当配置项重要性级别为严重时，此配置项的必须按照基值进行赋值。 8.2.8　 赋值路径 描述配置项的赋值路径。对于Windows的配置项，可以依据配置项的赋值路径，使用相应的配置工具进行赋值。例如，配置项“账户锁定时间”的赋值路径为“Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy”，通过组策略编辑器（GPEdit）工具，在该路径下可对“账户锁定时间”进行赋值。 8.2.9　 检查规则 描述检查配置项的实际值是否达到基值的判断规则，如大于、小于、等于、大于等于、小于等于。 9　 核心配置基线包 9.1.1　 概要 核心配置基线包是一种嵌套式结构的数据文件，采用XML格式对核心配置基线中各配置项的属性进行规范性标记，以实现核心配置部署及监测的自动化。 核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中，基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。 图2　 核心配置包格式结构 9.2　 主标记 核心配置基线包用“CGDCC-Package”作为主标记，其结构如表1所示。 表1　 主标记 标记 名称 解释说明 CGDCC-FormatInfo 格式版本信息 描述核心配置基线包格式的基本信息。 CGDCC-Baseline 基线信息 描述核心配置基线的完成信息，可以描述多条基线。 CGDCC-Product 产品信息 描述软件产品基本信息，可以描述多个产品信息。 举例： <CGDCC-Package> <CGDCC-FormatInfo>……</CGDCC-FormatInfo> <CGDCC-Baseline>……</CGDCC-Baseline> <CGDCC-Baseline>……</CGDCC-Baseline> …… < CGDCC-Product >……</ CGDCC-Product > < CGDCC-Product >……</ CGDCC-Product > …… </ CGDCC-Package> 9.3　 格式版本标记 格式版本用“CGDCC-FormatInfo”作为标记，描述核心配置基线包格式版本的基本信息，其结构如表2所示。 表2　 格式版本标记 标记 名称 解释说明 Version 版本编号 核心配置基线包规则版本的唯一标识。 Description 概要介绍 对版本规则进行简要说明。 举例： <CGDCC-FormatInfo> <Version Minor="0" Major="1"/> <Description> 此格式专用于核心配置基线包，版本为1.0。 </Description> </CGDCC-FormatInfo> 9.4　 基线标记 9.4.1　 基线主标记 用“CGDCC-Baseline”作为基线主标记，描述核心配置基线的基本信息，其结构如表3所示。 表3　 基线标记 标记 名称 解释说明 Name 基线名称 描述核心配置基线名称。 ID 基线标识 描述核心配置基线唯一标识。此标识按照唯一标识（GUID）生成规则自动生成。 RevisionNumber 基线修订版本次数 描述核心配置基线的修订版本号，并与ID一起可用来追溯基线的修订过程。 Version 基线版本 描述所生成核心配置基线的版本。 Mode 基线状态 包括可编辑状态和已发布状态两种。 VersionControl 版本控制 描述核心配置基线版本相关信息。 SettingGroup 配置组信息 描述核心配置基线所包含的每个策略组的基本信息，可包括多个基线组。 Check 检查信息 描述策略组所包含的核心配置项的检查信息，每个配置项都有一条相应的检查信息。 ProductID 基线所属产品标识 描述该核心配置基线所属的软件产品标识，用于基线适用性检查。 举例： <CGDCC-Baseline Name="CGDCC-Win7-v1.0" ID="{0ff11dd2-2186-4670-939d-968347e81558}" <RevisionNumber>0</RevisionNumber> <Version Minor="0" Major="1"/> < Mode>Edit</Mode> < VersionControl>……</VersionControl> < SettingGroup>……</SettingGroup> …… <Check>……</Check> …… <ProductID>{1739795a-9a4f-4032-b8db-8834dba5a0ea}</ProductID> </CGDCC-Baseline> 9.4.2　 配置项组别标记 用“SettingGroup”作为配置项组别标记，描述配置项分类的基本信息，其结构如表4所示。 表4　 配置项组别标记 标记 名称 解释说明 Name 配置项组别名称 描述配置项组别的名称。 ID 配置项组别标识 描述配置项组别的唯一标识（GUID）。 Description 配置项组别描述 描述配置项组别的功能介绍。 Version 配置项组别版本 描述配置项组别的版本序号。 SettingItem 配置项信息 描述配置项的基本信息，可以包含多个配置项。 举例： < SettingGroup Name="帐户锁定策略组" ID="{f74636ac-0619-4be7-ac00-6ae9887707b6}" < Description>……</Description> < Version Minor="0" Major="1"/> < SettingItem>……</ SettingItem> …… < SettingItem>……</ SettingItem> </ SettingGroup> 9.4.3　 配置项标记 9.4.3.1　 配置项主标记 用“SettingItem”作为配置项标记，描述各核心配置项的基本信息，如表5所示。 表5　 配置项标记 标记 名称 解释说明 Name 配置项名称 描述配置项的名称。 ID 配置项标识 描述配置项的唯一标识（GUID）。 Content 配置项内容 描述配置项内容，包括：赋值路径、脆弱性、应对措施、潜在影响等,详见9.4.3.2节。 DiscoveryInfo 配置项取值 描述配置项取值类型，包括：作用范围、取值方式、取值数据类型等,详见9.4.3.3节。 ExportInfo 配置项赋值 描述配置项赋值的过程，包括组策略导出文件类型、导出文件中配置项的名称等，详见9.4.3.4。 举例： <SettingItem Name="帐户锁定时间"ID="{7ddcb250-58ff-452b-8b38-bafa8b782675}"> <Content>…….</Content> <DiscoveryInfo>……</DiscoveryInfo> <ExportInfo>……</ExportInfo> </SettingItem> 9.4.3.2　 配置项内容标记 9.4.3.2.1　 配置项内容主标记 用“Content”作为配置项内容标记，描述各核心配置项内容的主要信息，如表6所示。 表6　 配置项内容标记 标记 名称 解释说明 Description 介绍 描述配置项功能及相关参数。 UIPath 赋值路径 描述配置项的赋值具体路径。 Vulnerability 脆弱性 描述该配置项所对应的系统脆弱性。 CounterMeasure 应对措施 解决如何对配置项参数正确赋值。 PotentialImpact 潜在影响 说明启用配置项后可能会造成不确定的影响。 ValueRange 取值范围 允许配置项赋值的范围。 Unit 计量单位 配置项参数的计量单位。 ValueMappingTable 取值映射表 如果配置项的参数是几个可枚举值，比如是代表颜色的红（0xFF0000）、绿（0x00FF00）和蓝（0x0000FF），括号内为真正取值，此表描述取值与代表此值的显示名称的映射关系，可帮助用户在界面上对取值进行指定。 举例： <Content> <Description>本配置项内容的解释</Description> <UIPath>计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略</UIPath> <Vulnerability>对本配置项的解决的脆弱点进行描述。</Vulnerability> <Countermeasure>使用配置项建议的描述。</Countermeasure> <PotentialImpact>采用配置项后所带来的潜在风险描述。</PotentialImpact> <ValueRange High="99999"Low="0"></ValueRange> <Unit>分钟</Unit> <ValueMappingTable>……</ValueMappingTable> </Content> 9.4.3.2.2　 配置项取值映射表标记 用“ValueMappingTable”作为配置项取值映射表标记，描述核心配置项取值映射表的主要信息，如表7所示。 表7　 取值映射表标记 标记 名称 解释说明 Mapping 一个映射 描述一个取值和与之相对应的显示名称的对应关系。 DisplayName 显示名称 取值相对应的显示名称。 Value 值 配置项真正取值。 举例： <ValueMappingTable> <Mapping DisplayName="Enabled" Value=”1” /> <Mapping DisplayName ="Disabled" Value="0" /> …… </ValueMappingTable> 9.4.3.3　 配置项取值标记 用“DiscoveryInfo”作为配置项取值标记，描述核心配置项取值方法，如表8所示。 表8　 配置项取值标记 标记 名称 解释说明 Scope 作用范围 指配置项作用范围：本机（Machine）或当前账户（User）。 DiscoveryType 取值方式 描述配置项的取值方式，包括WMI、注册表等。 DataType 取值数据类型 描述配置项取值的数据类型，比如：整型、字符串。 WMIDiscoveryInfo WMI取值信息 描述值在WMI中的位置。 RegistryDiscoveryInfo 注册表取值信息 描述值在注册表中的位置。 ScriptDiscoveryInfo 脚本取值信息 描述用来取值的脚本。 举例： 例1（注册表类型）： <DiscoveryInfo> <SettingDiscoveryInfo DiscoveryType="Registry" Scope="Machine"> <RegistryDiscoveryInfo> <mssasc-core:Hive>HKEY_LOCAL_MACHINE</mssasc-core:Hive> <mssasc-core:DataType>REG_DWORD</mssasc-core:DataType> <mssasc-core:KeyPath>System\CurrentControlSet\Services\LanManServer\Parameters</mssasc-core:KeyPath> <mssasc-core:ValueName>enableforcedlogoff</mssasc-core:ValueName> </RegistryDiscoveryInfo> </SettingDiscoveryInfo> <DataType>Int64</DataType> </DiscoveryInfo> 例2（WMI类型）： <DiscoveryInfo Scope="Machine" DiscoveryType="WMI" DataType=”Int64”> <WMIDiscoveryInfo> <cgdcc-core:Namespace>root\rsop\computer</cgdcc-core:Namespace> <cgdcc-core:Class>RSOP_SecuritySettingNumeric</cgdcc-core:Class> <cgdcc-core:Property>Setting</cgdcc-core:Property> <cgdcc-core:Where>KeyName='LockoutDuration'Andprecedence=1</cgdcc-core:Where> </WMIDiscoveryInfo> </DiscoveryInfo> 注： cgdcc-core是命名空间的前缀。 9.4.3.4　 配置项赋值标记 用“ExportInfo”作为配置项赋值标记，描述核心配置项赋值方法，如表9所示。在组策略工具中，通过加载组策略导出文件（GPO Backup）进行赋值。 表9　 配置项赋值标记 标记 名称 解释说明 GPOGenerateFormat 组策略导出文件类型 描述组策略导出文件的类型，包括INF、CSV、POL三种类型。 Inf Name 导出文件中配置项的名称 组策略导出文件中描述配置项的名称。 SectionName 导出文件中的段名称 组策略导出文件中描述配置项所在的段的名称。 举例： <ExportInfo GPOGenerateFormat="INF"> <Inf Name="LockoutDuration" SectionName="SystemAccess"/> </ExportInfo> 9.4.4　 配置项检查标记 用“Check”作为配置项检查标记，描述判断配置项是否存在，以及实际值是否达到基值的规则，如表10所示。 表10　 配置项检查标记 标记 名称 解释说明 SettingRef 配置项标识引用 描述所要检查配置项的标识。 ExistentialRule 配置项存在规则 检查配置项是否存在。 ValidationRules 配置项有效规则 检查配置项参数是否符合规定。 举例： < Check> <SettingRef setting_ref="{7ddcb250-58ff-452b-8b38-bafa8b782675}"/> <ExistentialRule Name="Account lockout duration" Value="0" Operator="GreaterThan" Severity="Important"> <Description>Win7, Vista, and XP have the same duration. Their environment set to 15 minutes.</Description> </ExistentialRule> <ValidationRules> <SettingRule Name="Account lockout duration" Operator="Equals" Severity="Informational"> <Description>The setting does this by specifying the number of minutes a locked out account will remain unavailable. If the value for this policy setting is configured to 0, locked out accounts will remain locked out until an administrator manually unlocks them.</Description> <Value Value="15"/> </SettingRule> </ValidationRules> </Check> 9.5　 产品标记 用“CGDCC-Product”作为配置基线的产品标记，描述配置基线适用产品的主要信息，如表11所示。 表11　 产品标记 标记 名称 解释说明 ID 产品标识 描述软件产品的唯一标识（GUID）。 Displa