1、终端安全核心配置研究终端安全核心配置研究docin/sundae_mengFDCC简介简介 联邦桌面核心配置计划( Federal Desktop Core Configuration )由美国联邦政府提出,称为 FDCC。 该计划由美国联邦预算管理办公室( OMB)和美国国家标准与技术研究院(NIST)共同负责实施, 旨在提高美国联邦政府所使用的 Windows 安全性,并使联邦政府桌面计算机的 安全管理实现标准化和自动化 。 美国国土安全部 (DHS)、美国空军 (USAF)、美国国家安全局 (NSA)、美国国防情报系统机构 (DISA)等参与制定 , 是美国国家网络安全综合计划( CNC
2、I)的一个部分。 FDCC强制规定 , 联邦政府所有使用 Windows 的计算机必须符合一定的标准化配置要求 (对 Windows XP 、 Vista、 IE和 Office作出了具体规定 ). 原因是为了加强减少黑客访问和利用政府电脑系统的机会。 基于 SCAP标准进行自动化检查与评估 。docin/sundae_meng计算机硬件设备操作系统浏览器 办公软件 邮件系统 其它常用软件“终端安全核心配置终端安全核心配置 ”定位定位设备配置管理 加强 密码管理 身份认证 系统审核 禁止 不必要或高危服务和端口 非法程序脚本执行 未授权程序驱动安装 限制 用户权限 程序内存配额 远程进程调用
3、(RPC) 启用 数字签名 系统空间占用 进程保护 降低 和业务应用软件安全加固优化加速终端安全核心配置软件配置管理操作系统docin/sundae_mengFDCC的起源的起源 最早起源于 2019年美国空军实施的标准桌面配置(SDC)。美国空军在 435,000个终端上部署 SDC,并进行了 10个月的试验性测试,两年内全面投入使用。 标准桌面配置( SDC)中采用的安全配置主要基于微软发布的操作系统安全指南。docin/sundae_mengFDCC的形成的形成2019 2019 2019 20192019 年年 11 月月NSA、 DISA、NIST、 CIS和 Microsoft 就
4、 XP 达成共识2019 年年 2 月月USAF 司令部达成共识XP、 IE6 和Office 2019 设置2019 第第 4 季度季度USAF 司令部达成共识Vista、 IE7 和Office 2019 设置20192019 年年第第 1 季度季度DoD 就 Vista 设置达成共识2019 年年3 月月OMB 备忘录2019 年年 2 月月民用标准桌面标准2019 年年第第 1 季度季度Microsoft 对于 XP 的安全指南2019 年中期年中期NIST SCAP民用机构和军事机构的标准配置工作2019 第第 4 季度季度Microsoft 对于 Vista 的安全指南docin/
5、sundae_mengFDCC的形成的形成 在美国空军成功部署 SDC 后,美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录:u采用 Windows XP/Vista 的标准配置u限制用户的登录权限u根据美国空军 SDC 实施 FDCC 中定义的安全标准docin/sundae_meng实施实施 FDCC的意义的意义 提高一致性u简化部署u简化了网络管理和工具的复杂性 增强安全性u减小了标准用户的管理权限,要求启动防火墙u有效防止用户调节降低系统安全性 降低运维成本u需要的信息技术支持人员大大减少u系统更新的测试和安装时间大大缩短docin/sundae_mengFDCC实施效
6、果实施效果 实施 FDCC以来,美国空军节省了 1亿多美元 精简了 8000名信息技术人员,呼叫服务的次数减少了40 补丁安装时间从 57天下降到 3天 每年预期节约能源 1500万美元 加强了基础结构优化docin/sundae_mengFDCC主要内容主要内容 FDCC计划的核心是制定美国联邦政府 Windows 桌面计算机的安全配置标准,又称为 FDCC安全基线。目前美国标准技术研究院已发布基于 Windows XP 和Vista操作系统的 FDCC安全基线。 同时为支持 FDCC的规划、测试和部署,微软推出了多个配套实施工具。docin/sundae_meng一一 FDCC安全基线安全基线 FDCC安全基线对 Windows XP 、 Vista、 IE及 Windows防火墙 的安全配置做出了具体规定。 其主要关注四个要点: 一是删除管理员和超级用户权限; 二是启用防火墙; 三是将 FDCC设置应用于 Windows 和 IE; 四是随时进行配置管理。docin/sundae_meng
