核心结论:网信电脑是面向政企 / 政务场景的定制化 Windows 终端,以合规与强管控为核心设计,在系统权限、安全策略、应用生态、管理机制上与普通消费级电脑存在根本性差异,目标是满足等保 2.0 与政务安全规范要求。
网信版对 Windows 原生应用进行了大规模移除 / 禁用,只保留核心办公功能,彻底剔除娱乐与云服务相关组件:
- 娱乐类:Xbox、Groove 音乐、电影和电视、Microsoft Solitaire Collection 等
- 个人助理:Cortana(小娜)、Windows Hello 等
- 云服务:Microsoft Store、OneDrive、Office Hub 等
- 社交 / 生活:人脉、地图、天气、反馈中心等
- 浏览器:Edge(部分版本保留但限制功能)
- 其他:相机、语音录音机、闹钟和时钟、3D Builder 等
- 遥测服务(Connected User Experiences and Telemetry)
- 远程桌面(默认仅允许主动控制,禁止被动接入)
- Windows Error Reporting Service(错误报告)
- Administrative Shares(默认共享)
- Windows Defender(部分版本,由单位指定杀毒软件替代)
- USB 存储:默认禁止写入或完全禁用,仅允许授权设备接入(通过组策略严格控制)
- 摄像头 / 麦克风:默认禁用且权限不可修改,符合政务保密要求
- 蓝牙 / 红外:默认禁用,特殊需求需审批
- 打印机:仅允许域内打印机,禁止连接外部设备
- 其他接口:可通过 BIOS / 组策略禁用 COM 口、HDMI 等不必要接口
- TPM 2.0:必须启用,用于 BitLocker 加密和身份认证
- 安全启动:强制开启,仅信任官方签名的系统组件
- 设备卫士(Device Guard):严格校验应用程序代码,防止恶意软件运行
- BitLocker:默认启用全盘加密,恢复密钥存储在域控制器
- 防火墙:强制开启且不可关闭,仅放行域通信必要端口(88/Kerberos、135/RPC 等)
- 网信电脑必须加入域(部分场景例外),由域控制器统一管理策略
- 组策略强制应用,用户无法修改核心设置(如网络配置、安全策略)
- 用户文件夹(桌面、文档)自动重定向到域服务器共享目录
- 软件部署通过域策略统一推送,禁止用户自行安装未经授权软件
- 普通用户无管理员权限,无法修改系统设置、安装软件、更改网络配置
- 禁止用户修改系统时间、关闭防火墙、更改电源计划等关键操作
- 浏览器限制:禁用插件自动安装、禁止保存密码、限制访问非授权网站
- 仅 IT 运维人员可通过域管理员权限远程连接
- 远程桌面默认配置为 “单向控制”(可控制他人电脑,禁止他人连接本机)
- 远程管理工具(如 MMC、PowerShell 远程)需通过域策略授权使用
- 强制启用系统日志、安全日志和应用程序日志,日志大小≥100MB
- 详细记录账户登录 / 注销、文件访问、组策略更改等关键操作
- 日志定期导出到中央日志服务器,保留时间≥6 个月(符合等保要求)
- 必须支持 TPM 2.0 芯片(BIOS 中强制启用)
- 推荐使用网信版专用驱动,避免公版驱动导致策略冲突
- 优先选择经过网信认证的硬件设备(如国产处理器、安全芯片)
- 禁用安全启动例外,开启 UEFI 模式
- 关闭不必要的硬件接口(如 COM 口、读卡器)
- 启用硬件级安全功能(如 Intel TXT、AMD Secure Encrypted Virtualization)
- 网信电脑≠信创电脑:网信电脑基于 Windows 定制,信创电脑基于国产 CPU + 国产操作系统(如麒麟、统信)
- 部分网信版可通过特殊授权开放有限功能(如 USB 写入权限),但需严格审批
- 网信电脑的所有配置更改必须获得单位 IT 部门书面授权,禁止擅自操作
