核心要点:网信电脑配置需遵循 “合规优先、安全第一、统一管控” 原则,全程覆盖硬件适配、系统安装、基础设置、域加入、安全加固与日常运维,重点满足等保 2.0 与政务终端规范要求,确保可追溯、可管控、高安全。
- 驱动兼容性:优先使用厂商提供的网信版专用驱动,避免使用公版驱动导致策略冲突
- 外设管控:提前规划 USB 设备使用策略,网信版默认可能限制移动存储接入
- TPM 芯片:必须启用 TPM 2.0(BIOS 中设置),用于 BitLocker 加密和身份认证
- BIOS 设置:禁用安全启动例外,开启 UEFI 模式,关闭不必要的硬件接口(如 COM 口)
- 镜像获取:从神州网信官网或单位 IT 部门获取正版镜像(CMGE V0/V2022 等版本)
- 安装介质:制作 UEFI 启动 U 盘(≥8GB),使用官方工具或 Rufus 制作
- 数据备份:备份所有重要数据,安装过程会格式化系统分区
- BIOS 配置:设置从 U 盘启动,启用安全启动,确认 TPM 已激活
- 选择 “神州网信政府版 Windows” 安装,接受许可条款
- 分区方案:推荐 GPT 分区表,创建系统分区(C 盘)、数据分区(D 盘)、备份分区(可选)
- 账户设置:安装时创建本地管理员账户(密码复杂度:8 位 + 字母 + 数字 + 符号)
- 完成安装后,禁止联网,先进行基础安全配置
- 安装专用驱动:通过离线存储介质安装主板、显卡、网卡等驱动
- 关闭不必要功能:
- 禁用 Cortana、遥测服务、自动更新(后续由 IT 统一管理)
- 关闭广告 ID、位置服务、反馈体验等隐私相关功能
- 配置本地安全策略:
- 运行
secpol.msc,设置密码策略(最长 90 天,最短 1 天,历史记录 5 次)
- 启用账户锁定(5 次失败登录,锁定 30 分钟)
- 以本地管理员登录,Win+R 输入
sysdm.cpl→计算机名→更改
- 选择 “域”,输入完整域名(如
gov.contoso.com)
- 输入域管理员凭据(格式:
域名\用户名),点击确定
- 系统提示 “欢迎加入域”,点击确定后立即重启
- 策略合规检查:运行
gpresult /r确认域策略已成功应用
- 禁用本地管理员:域策略启用后,禁用本地管理员账户(保留一个应急账户)
- 数据迁移:将桌面、文档等用户文件夹重定向到域服务器共享目录
- 统一软件部署:通过域策略安装标准化办公软件(如 WPS、杀毒软件)
- 强制密码策略:
- 密码长度≥12 位,必须包含大小写字母、数字和特殊字符
- 密码最长有效期 90 天,最短使用期 1 天,历史记录 10 次
- 账户管控:
- 禁用 Guest 账户,重命名管理员账户(域环境中由域策略统一配置)
- 限制本地管理员组人数,仅授权 IT 运维人员
- 禁用高危服务:
- Remote Registry(远程注册表)、Telnet、FTP 等非必要服务
- Server 服务(如需文件共享可保留,限制共享权限)
- 端口过滤:
- 仅开放必要端口(80/443/3389 等),关闭 135/139/445 等默认共享端口
- 通过 Windows 防火墙高级设置配置入站 / 出站规则
- 全盘加密:启用 BitLocker 加密系统盘和数据盘,恢复密钥存储在域控制器
- 自动备份:配置 Windows 备份功能,每日备份关键数据到域服务器
- 防病毒配置:安装单位指定的杀毒软件,启用实时保护,定期更新病毒库
- 浏览器安全:设置默认浏览器为 IE11(政务兼容)或 Edge,禁用插件自动安装
- 禁用 Windows 自动更新,通过WSUS 服务器或单位统一更新平台获取补丁
- 每月第二个周二(补丁星期二)后测试更新,确认无兼容性问题后部署
- 建立更新回滚机制,防止更新导致系统故障
- 启用远程桌面:控制面板→系统→远程设置→允许远程连接(仅允许域管理员)
- 配置防火墙:放行 3389 端口,限制仅从管理网段访问
- 远程管理工具:使用 MMC 控制台、PowerShell 远程或 VNC(需加密)
- 启用系统日志、安全日志和应用程序日志,设置日志大小≥100MB
- 配置日志审核策略:记录账户登录 / 注销、文件访问、组策略更改等关键操作
- 定期导出日志到中央日志服务器,保留时间≥6 个月(符合等保要求)
- 授权管理:所有配置操作必须获得单位 IT 部门书面授权,禁止擅自更改系统设置
- 最小权限:用户仅获得完成工作所需的最低权限,管理员权限严格管控
- 定期审计:每月进行安全审计,检查策略合规性、系统漏洞和异常操作
- 应急响应:建立系统故障应急预案,定期演练,确保快速恢复业务
