信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).docx

《信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).docx》由会员分享，可在线阅读，更多相关《信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).docx（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术政务计算机终端核心配置规范Information security technology - Chinese governmentdesktop core configuration specifications（报批稿）XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言III1范围12规范性引用文件13术语和定义14缩略语25文本结构26概述26.1核心配置对象26.2核心配置范围26.3核心配置项基本类型36.4核心配置项赋值方法36.5核心配置对安全的作

2、用36.6核心配置自动化实施框架37核心配置基本要求47.1操作系统核心配置要求47.2办公软件核心配置要求57.3浏览器核心配置要求57.4邮件系统核心配置要求67.5BIOS系统核心配置要求67.6 防恶意代码软件核心配置要求68核心配置清单68.1概要68.2配置项属性69核心配置基线包79.2主标记89.3格式版本标记99.4基线标记99.5产品标记1410核心配置自动化部署及监测技术要求1410.1自动化部署及监测平台基本架构1410.2配置编辑模块1510.3配置验证模块1510.4配置部署模块1610.5状态监测模块1611实施流程1611.1实施流程框架1611.2实施准备17

3、11.3基线制定1811.4测试验证1811.5配置部署1811.6配置检查1911.7例外处理19附录A（资料性附录）身份鉴别配置要求示例20附录B（资料性附录）核心配置清单21前言本标准按照GB/1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准起草单位：国家信息中心、中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息

4、中心、山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心、广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心、青海省信息中心、新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息中心。本标准主要起草人： 李新友、刘蓓、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、刘海峰、甘杰夫、李建彬、闵京华、林浩、王华峰、陆小敏、马志红、谷和启、彭云峰、洪之民、宋苏宇、柳松、马占飞、余靖浊、袁继会、闫加元、靳力、赵俊、史小列、阮高峰。25信息安全技术 政务计算机终端核心配置规范1 范围本标准提出了政务计算机终端核心配置的基本概念和要求，规定

5、了核心配置的自动化实现方法，规范了核心配置实施流程。本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2008 信息系统安全等级保护基本要求3 术语和定义下列术语和定义适用于本文件。3.1 政务部门 government department从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。3.2 核心配置项（配置项

6、） core configuration item计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。注：核心配置项类型包括开关项、枚举项、区间项和复合项，可以根据安全要求对其进行赋值。3.3 核心配置 core configuration对核心配置项进行参数设置的过程。注：通过核心配置限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，来增强计算机抵抗安全风险的能力。3.4 核心配置项基值 core configuration item base value按照核心配置基本要求对配置项的参数设置。3.5 核心配置基线 core c

7、onfiguration baseline 能够满足计算机安全基本要求的一组核心配置项基值构成的集合。3.6 核心配置清单core configuration list由核心配置项构成的一种列表，是对核心配置项属性的一种形式描述。3.7 核心配置基线包 core configuration baseline package为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。4 缩略语下列缩略语适用于本文件。BIOS：基本输入输出系统（Basic Input Output System）TCM：可信密码模块（Trusted Cryptography Module）FTP：

8、文件传输协议（File Transfer Protocol）XML：可扩展置标语言（Extensible Markup Language）WMI：桌面管理规范（Windows Management Instrumentation）GUID：全球唯一标识符（Globally Unique Identifier）CGDCC：政务计算机终端核心配置（Chinese Government Desktop Core Configuration）5 文本结构本标准分为三个部分。第一部分为概述，见第6章，阐述了核心配置基本概念，包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。第

9、二部分由第7章到第10章组成，在技术层面上详细规定了核心配置的自动化实现方法，包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。第三部分见第11章，在管理层面上详细规定了核心配置的实施流程，包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。6 概述6.1 核心配置对象本标准针对应用于政务部门的联网计算机终端提出核心配置要求，包括连接到互联网、政务专网（政务内网、政务外网）的桌面计算机、膝上型计算机和瘦客户机等。6.2 核心配置范围核心配置的范围包括如下方面：a) 操作系统，如Windows系列、国外Linux和国产Linux等；b)

10、办公软件，如国外Office软件和国产WPS软件等；c) 浏览器软件，如国外Internet Explore、Chrome、Firefox和国产遨游、360浏览器等；d) 邮件系统软件，如国外Outlook和国产Foxmail等；e) BIOS系统软件，如AMI BIOS、Award BIOS等；f) 防恶意代码软件，如内防病毒、防木马软件等。依据GB/T 22239-2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求，从如下方面对上述基础软件提出配置要求：a) 身份鉴别：包括账户登录和口令管理；b) 访问控制：包括账户管理和权限分配；c) 安全审计：包括账户行为审计和资源访问

11、审计；d) 剩余信息保护：包括临时文件、历史文件和虚拟文件管理；e) 入侵防范：包括对组件的保护功能开启、应用程序的更新升级；f) 恶意代码防范：包括杀毒软件的安装、升级和病毒查杀管理；g) 资源控制：包括服务、端口、协议等资源管理和数据的加密保护。6.3 核心配置项基本类型根据核心配置项的取值范围，核心配置项分为开关项、枚举项、区间项和复合项等基本类型。a) 开关项：取值仅为“0”或“1”。例如，配置项“下载未签名的Active控件”，可赋值为“启用（1）”或“禁用（0）”。b) 枚举项：取值是离散的、可数的且多于两种。例如，配置项“具有从网络访问本地计算机权限的账户”，可赋值为“管理员（A

12、dministrators）”、“超级用户（Power Users）”、“一般用户（Users）”或“来宾（Guests）”。c) 区间项：取值连续分布在一个区间内。例如，配置项“账户锁定时间”，赋值范围为 “1-99999min”。d) 复合项：由上述两种或多种关联配置项组合而成。例如，配置项“启动屏幕保护程序的等待时间”，由开关项和区间项组成。首先“启用”屏幕保护程序，再设置“等待时间”。6.4 核心配置项赋值方法根据核心配置项赋值路径不同，可分为注册表赋值和配置文件赋值两种方法，分别说明如下：a) 注册表赋值方法通过修改核心配置项对应的注册表键值等，实现对配置项的赋值，例如Windows

13、操作系统；b) 配置文件赋值方法通过修改配置文件中有关的配置项，实现对配置项的赋值，例如Linux操作系统。根据核心配置部署方式不同，可分为手动和自动两种方法，分别说明如下：a) 手动赋值对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如，在Windows系统环境下，运行组策略编辑器（GPEdit），由人工对核心配置项进行赋值；在Linux系统环境下，直接编辑配置文件，对核心配置项逐项进行赋值；在BIOS系统中，直接在人机界面上，逐项进行手动赋值。b) 自动赋值编辑核心配置基线包，调用自动部署工具，对核心配置项进行赋值。该方法适用于大量终端批量配置部署。6.5 核心配置

14、对安全的作用核心配置主要通过如下四种方式提高终端安全性：a) 启用数字签名、数据执行保护（DEP）、加密存储、更新升级等安全保护功能；b) 禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等；c) 加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段；d) 限制软硬件访问权限、资源共享和远程登录等功能。6.6 核心配置自动化实施框架 核心配置自动化实施框架包括以下四个部分：a) 提出核心配置基本要求，根据计算机终端所属系统或环境的安全需求及安全级别，确定核心配置具体要求。核心配置基本要求见第7章。b) 编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、

15、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8章。c) 生成核心配置基线包，将配置清单转化成为一种符合XML语法的嵌套式结构数据文件，以供自动化部署工具实施。核心配置基线包格式要求见第9章。d) 自动部署及监测，通过搭建核心配置自动化部署平台，实现核心配置项的批量自动赋值和合规性实时检测。具体技术要求见第10章。7 核心配置基本要求7.1 操作系统核心配置要求7.1.1 概要本标准依据GB/T 22239-2008中7.1.3对第三级主机安全的要求，针对国内外主流操作系统，在身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制等方面提出核

16、心配置基本要求。7.1.2 身份鉴别身份鉴别配置要求包括：a) 账户登录时，应启动身份验证机制，限制连续登录失败次数，连续多次登录失败后应锁定账户；b) 应配置安全的口令长度、复杂度、有效期和加密强度，禁止不设置口令；c) 启动账户登录界面时，应禁止无关进程的启动和运行，防止鉴别信息被窃听。注：附录A给出了身份鉴别配置要求示例。7.1.3 访问控制访问控制配置要求包括：a) 应禁用匿名账户（Anonymous）、来宾账户（Guest）、产品支持账户（Support），限用管理员账户（Administrator），重命名管理员账户，限制普通用户的访问权限，禁止任何账户远程访问；b) 应限制账户对

17、文件、硬件、驱动、内存和进程等重要资源的访问权限；c) 应限制账户权限提升和授权访问等操作。7.1.4 安全审计安全审计配置要求包括：a) 应启用安全日志，记录账户的创建、更改、删除、启用、禁用和重命名等操作，记录账户登录和注销、开关机、配置变更等操作；b) 应启用系统日志，记录对文件、文件夹、注册表和系统资源的访问操作。7.1.5 剩余信息保护剩余信息保护配置要求包括：a) 关闭系统时，应清除虚拟内存页面文件；b) 断开会话时，应清除临时文件夹；c) 应禁止剪贴板存储信息与远程计算机共享。7.1.6 入侵防范入侵防范配置要求包括：a) 应启用资源管理器数据执行保护（DEP）模式和Shell协

18、议保护模式；b) 打开邮件的附件时，应启用杀毒软件进行扫描；c) 应启动屏幕保护和休眠功能，设置唤醒口令；d) 应开启系统定期备份功能；e) 应限制应用程序的下载和安装，保持操作系统补丁及时更新。 7.1.7 资源控制资源控制配置要求包括：a) 应禁用信息共享、动态数据交换（Dynamic Data Exchange）、互联网信息服务（Internet Information Services）、FTP和Telnet等网络连接、远程网络访问等服务，限制蓝牙等无线连接；b) 禁止介质自动运行（Auto run）；c) 应关闭FTP、HTTP（超文本传输协议Hypertext Transport

19、Protocol）、RPC（远程过程调用协议Remote Procedure Call Protocol）、UPNP（通用即插即用Universal Plug and Play）、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口；d) 应禁止IPC（进程间通信Inter Process Communication)管道连接，限制SYN（同步字符Synchronize）的传输次数和发送时间；e) 应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置TCM模块，遵循国家密码管理局发布的可信计算相关标准保护敏感数据。7.2 办公软件核心配置要求本标准依据GB/T中22239

20、-2008 7.1.4对第三级应用安全的要求，针对国内外主流办公软件提出如下核心配置要求：a) 应禁止ActiveX控件的使用； b) 应禁用所有未经验证的加载项；c) 应限用未数字签名的宏；d) 应限制在线自动更新升级、网上下载剪贴画和模板等资源，以及访问超级链接。7.3 浏览器核心配置要求7.3.1 概要本标准依据GB/T 22239-2008中7.1.4对第三级应用安全的要求，针对国内外主流浏览器，在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。7.3.2 浏览器安全选项浏览器安全选项配置要求包括：a） 应严格禁止运行java小程序脚本；b） 应限制下载和安装未签名的A

21、ctive X控件；c） 应开启浏览器的保护模式。7.3.3 域安全管理域安全管理配置要求包括：a) 访问以太网的安全限制应设为中或高；b) 访问企业专网的安全限制可设为中；c) 访问可信站点的安全限制可设为低；d) 应限制访问受限站点，禁止从受限站点下载或保存文件。7.3.4 隐私保护隐私保护配置要求包括：a) 退出网页时，应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹；b) 应限制输入框自动关联功能。7.4 邮件系统核心配置要求本标准依据GB/T 22239-2008中7.1.4对第三级应用安全的要求，针对国内外主流邮件系统软件提出如下配置要求：a) 应配置安全的邮箱登录口

22、令的长度和复杂度；b) 对本地存储的邮件应开启加密功能；c) 发送邮件应使用数字签名和数字加密技术，接收邮件应对数字签名进行验证；d) 应开启加密协议收发邮件；e) 应禁止直接运行附件中存在安全隐患的文件类型；f) 应禁止运行邮件中的超链接；g) 应启用垃圾邮件过滤功能。7.5 BIOS 系统核心配置要求本标准依据GB/T中22239-2008 7.1.3对第三级主机安全的要求，对BIOS系统提出如下配置要求：a) 开机时应启动身份鉴别机制，并设置安全的口令长度和复杂度；b) 应限制硬件资源使用，包括软驱、硬盘、内存、USB设备、网卡和CPU等；c) 应启用硬盘写保护；d) 应限制使用定时开机

23、、远程模式控制开机、键盘鼠标开机等开机模式；e) 操作系统操作关机后，应立即断开计算机电源；f) 应限制由外部设备，如U盘、光驱等引导启动计算机终端。7.6 防恶意代码软件核心配置要求防恶意代码软件核心配置要求包括：a) 应开启实时保护功能；b) 应及时升级防恶意代码软件至最新版本，开启自动更新病毒库功能；c) 应定期进行病毒、木马等恶意代码扫描，发现恶意代码立即隔离或删除。8 核心配置清单8.1 概要核心配置清单描述配置项的属性，包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。8.2 配置项属性8.2.1 配置项标识配置项标识是配置项的

24、唯一编码，由三组字符构成，通过“-”进行分隔，标识规则如图1所示。最高组位的字符使用CGDCC，代表政务终端核心配置；中间组位引用软件产品标识；最低组位使用4位数字代表配置项序号。例如“Window7口令长度”配置项，其标识为“CGDCC-win7-0011”。图1 配置项标识规则8.2.2 配置项名称描述配置项名称的字符串。8.2.3 配置项描述从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中，安全风险主要描述配置项所对应的系统脆弱性；应对措施主要描述配置项推荐参数赋值；潜在影响主要描述配置生效后可能对终端系统造成的影响。8.2.4 配置项组别需对配置项进行分

25、组时，描述配置项所属的组别。8.2.5 安全级别描述配置项对计算机终端安全性的影响程度，分为一般、重要和严重三个级别。8.2.6 取值范围描述配置项允许赋值的范围，可用开关、枚举和区间表示。8.2.7 配置项基值描述符合核心配置基本要求的配置项基值。当配置项安全级别为严重时，此配置项必须按照基值进行赋值。8.2.8 赋值路径描述配置项的赋值路径。对于Windows的配置项，可以依据配置项的赋值路径，使用相应的配置工具进行赋值。例如，配置项“账户锁定时间”的赋值路径为“Computer ConfigurationWindows SettingsSecurity SettingsAccount P

26、oliciesAccount Lockout Policy”，通过组策略编辑器（GPEdit）工具，在该路径下可对“账户锁定时间”进行赋值。8.2.9 检查规则描述检查配置项的实际值是否达到基值的判断规则，如大于配置项基值、小于配置项基值、等于配置项基值、大于等于配置项基值、小于等于配置项基值。9 核心配置基线包9.1 概要 核心配置基线包是一种嵌套式结构的数据文件，采用XML格式对核心配置基线中各配置项的属性进行规范性标记，以实现核心配置部署及监测的自动化。核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中，基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基

27、线包格式结构如图2所示。图2 核心配置基线包格式结构9.2 主标记 核心配置基线包用“CGDCC-Package”作为主标记，其结构如表1所示。表1 主标记标记名称解释说明CGDCC-FormatInfo格式版本信息描述核心配置基线包格式的基本信息。CGDCC-Baseline基线信息描述核心配置基线的完成信息，可以描述多条基线。CGDCC-Product产品信息描述软件产品基本信息，可以描述多个产品信息。举例： 9.3 格式版本标记格式版本用“CGDCC-FormatInfo”作为标记，描述核心配置基线包格式版本的基本信息，其结构如表2所示。表2 格式版本标记标记名称解释说明Version版

28、本编号核心配置基线包规则版本的唯一标识。Description概要介绍对版本规则进行简要说明。举例： 此格式专用于核心配置基线包，版本为1.0。 9.4 基线标记9.4.1 基线主标记用“CGDCC-Baseline”作为基线主标记，描述核心配置基线的基本信息，其结构如表3所示。表3 基线标记标记名称解释说明Name基线名称描述核心配置基线名称。表3（续）标记名称解释说明ID基线标识描述核心配置基线唯一标识。此标识按照唯一标识（GUID）生成规则自动生成。RevisionNumber基线修订版本次数描述核心配置基线的修订版本号，并与ID一起可用来追溯基线的修订过程。Version基线版本描述所

29、生成核心配置基线的版本。Mode 基线状态包括可编辑状态和已发布状态两种。VersionControl版本控制描述核心配置基线版本相关信息。SettingGroup配置组信息描述核心配置基线所包含的每个策略组的基本信息，可包括多个基线组。Check检查信息描述策略组所包含的核心配置项的检查信息，每个配置项都有一条相应的检查信息。ProductID基线所属产品标识描述该核心配置基线所属的软件产品标识，用于基线适用性检查。举例：CGDCC-Baseline Name=CGDCC-Win7-v1.0 ID=0ff11dd2-2186-4670-939d-968347e81558 0Edit 1739

30、795a-9a4f-4032-b8db-8834dba5a0ea9.4.2 配置项组别标记用“SettingGroup”作为配置项组别标记，描述配置项分类的基本信息，其结构如表4所示。表4 配置项组别标记标记名称解释说明Name配置项组别名称描述配置项组别的名称。ID 配置项组别标识描述配置项组别的唯一标识（GUID）。Description配置项组别描述描述配置项组别的功能介绍。Version配置项组别版本描述配置项组别的版本序号。SettingItem配置项信息描述配置项的基本信息，可以包含多个配置项。表4（续）标记名称解释说明举例： SettingGroup Name=账户锁定策略组 I

31、D=f74636ac-0619-4be7-ac00-6ae9887707b6 9.4.3 配置项标记9.4.3.1 配置项主标记用“SettingItem”作为配置项标记，描述各核心配置项的基本信息，如表5所示。表5 配置项标记标记名称解释说明Name配置项名称描述配置项的名称。ID配置项标识描述配置项的唯一标识（GUID）。Content配置项内容描述配置项内容，包括：赋值路径、脆弱性、应对措施、潜在影响等,详见9.4.3.2节。DiscoveryInfo配置项取值描述配置项取值类型，包括：作用范围、取值方式、取值数据类型等,详见9.4.3.3节。ExportInfo配置项赋值描述配置项赋值

32、的过程，包括组策略导出文件类型、导出文件中配置项的名称等，详见9.4.3.4。举例：.9.4.3.2 配置项内容标记9.4.3.2.1 配置项内容主标记用“Content”作为配置项内容标记，描述各核心配置项内容的主要信息，如表6所示。表6 配置项内容标记标记名称解释说明Description介绍描述配置项功能及相关参数。表6（续）标记名称解释说明UIPath赋值路径描述配置项的赋值具体路径。Vulnerability脆弱性描述该配置项所对应的系统脆弱性。CounterMeasure应对措施解决如何对配置项参数正确赋值。PotentialImpact潜在影响说明启用配置项后可能会造成不确定的影

33、响。ValueRange取值范围允许配置项赋值的范围。Unit计量单位配置项参数的计量单位。ValueMappingTable取值映射表如果配置项的参数是几个可枚举值，比如是代表颜色的红（0xFF0000）、绿（0x00FF00）和蓝（0x0000FF），括号内为真正取值，此表描述取值与代表此值的显示名称的映射关系，可帮助用户在界面上对取值进行指定。举例：本配置项内容的解释计算机配置Windows设置安全设置账户策略账户锁定策略对本配置项的解决的脆弱点进行描述。使用配置项建议的描述。采用配置项后所带来的潜在风险描述。分钟9.4.3.2.2 配置项取值映射表标记用“ValueMappingTab

34、le”作为配置项取值映射表标记，描述核心配置项取值映射表的主要信息，如表7所示。表7 取值映射表标记标记名称解释说明Mapping一个映射描述一个取值和与之相对应的显示名称的对应关系。DisplayName显示名称取值相对应的显示名称。Value值配置项真正取值。举例： 9.4.3.3 配置项取值标记用“DiscoveryInfo”作为配置项取值标记，描述核心配置项取值方法，如表8所示。表8 配置项取值标记标记名称解释说明Scope作用范围指配置项作用范围：本机（Machine）或当前账户（User）。DiscoveryType取值方式描述配置项的取值方式，包括WMI、注册表等。DataTyp

35、e取值数据类型描述配置项取值的数据类型，比如：整型、字符串。WMIDiscoveryInfoWMI取值信息描述值在WMI中的位置。RegistryDiscoveryInfo注册表取值信息描述值在注册表中的位置。ScriptDiscoveryInfo脚本取值信息描述用来取值的脚本。举例：例1（注册表类型）： HKEY_LOCAL_MACHINE REG_DWORD SystemCurrentControlSetServicesLanManServerParameters enableforcedlogoff Int64例2（WMI类型）：rootrsopcomputerRSOP_Security

36、SettingNumericSettingKeyName=LockoutDurationAndprecedence=1注： cgdcc-core是命名空间的前缀。9.4.3.4 配置项赋值标记用“ExportInfo”作为配置项赋值标记，描述核心配置项赋值方法，如表9所示。在组策略工具中，通过加载组策略导出文件（GPO Backup）进行赋值。表9 配置项赋值标记标记名称解释说明GPOGenerateFormat组策略导出文件类型描述组策略导出文件的类型，包括INF、CSV、POL三种类型。Inf Name导出文件中配置项的名称组策略导出文件中描述配置项的名称。SectionName导出文件中

37、的段名称组策略导出文件中描述配置项所在的段的名称。举例：9.4.4 配置项检查标记用“Check”作为配置项检查标记，描述判断配置项是否存在，以及实际值是否达到基值的规则，如表10所示。表10 配置项检查标记标记名称解释说明SettingRef配置项标识引用描述所要检查配置项的标识。ExistentialRule配置项存在规则检查配置项是否存在。ValidationRules配置项有效规则检查配置项参数是否符合规定。举例：Win7, Vista, and XP have the same duration. Their environment set to 15 minutes.The setting does this by specifying the number of minutes a locked out account will remain unavailable. If the value for this policy setting is configured to