版权归原作者所有,如有侵权,请联系我们

[科普中国]-联邦桌面核心组态

科学百科
原创
科学百科为用户提供权威科普内容,打造知识科普阵地
收藏

联邦桌面核心组态是美国国家标准与技术研究院推荐的用于通用微型计算机的安全设置列表,这些微型计算机直接连接到美国政府机构的网络。

FDCC是商定的Microsoft Windows操作系统常用核心系统功能,应用程序,文件和服务的列表,这些功能,应用程序,文件和服务在其配置中已更改,围绕该框架创建了更安全,安全可靠的MS Windows操作系统的框架。从2008年2月1日开始,每个联邦政府计算机都必须使用这些标准。如果您想连接到联邦办公室计算机网络,您的系统必须达到或超过FDCC标准,否则您将无法访问。

FDCC仅适用于Windows XP和Vista台式机和笔记本电脑,并被美国政府配置基线(USGCB)取代,其中包括Windows 7和Red Hat Enterprise Linux 5的设置。

对于Windows 7,NIST将命名约定更改为美国政府计算机基准(USGCB ver 2.0)。除了对一般Windows设置指南进行取消分类之外,NIST还会发布专门针对Windows防火墙,Internet Explorer和指南(例如Vista-Energy)的指南,这些指南旨在捕获符合节能政策的设置。

历史2007年3月20日,管理和预算办公室发布了一份备忘录,指示美国政府机构制定使用Microsoft Windows XP和Vista安全配置的计划。美国空军的Windows XP通用安全配置被提议作为可以开发标准的早期模型。FDCC基线由国家标准与技术研究所与OMB,DHS,DOI,DISA,NSA,USAF和Microsoft [2]合作开发(并维护),并得到公众意见的投入。它仅适用于Windows XP Professional和Vista系统 - 这些安全策略未在Windows 9x / ME / NT / 2000或Windows Server 2003上进行测试(根据NIST,不起作用)。
主要版本1.1(2008年10月31日发布)没有新的或更改的设置,但扩展了SCAP报告选项。与所有先前版本一样,该标准适用于最终用户的通用工作站和笔记本电脑。用作服务器的Windows XP和Vista系统不受此标准的约束。同样免除嵌入式计算机和“专用”系统(定义为专业的科学,医学,过程控制和实验系统),尽管NIST仍建议在可行和适当的情况下考虑FDCC安全配置。
一般而言,FDCC设置会阻止操作系统中的开放连接,禁用功能,禁用SOHO环境中很少使用的应用程序,禁用不必要的服务,更改项目权限,更改日志文件的收集和记录方式,影响组策略对象(GPO)设置,并更改Windows系统注册表中的条目。
InfoWeek向主要是管理员和工程师介绍了FDCC,题目是“联邦调查局不允许它”。你应该吗?由DarkReading.com的Kelly Jackson Higgins撰写并于2008年2月4日发表。
由于指南的复杂性,最初的反应很慢。政府和企业实施技术人员在内部研究设置时,实施需要时间。NIST和NSA在数百页的文本中发布了指南,并介绍了他们称之为应用程序的SCAP文件。(参见Wikipedia SCAP页面)
Windows平台的构建旨在实现轻松的互操作性和网络连接,因此在操作系统中为所有类型的自动和半自动连接提供了与其他计算机连接的机会。这些都不是缺陷或编程错误,它是故意以这种方式构建的。通过查看在典型的Windows操作系统安装后默认启用的Windows远程连接程序,可以找到此示例。例如,FDCC / USGCB配置会反转该设置,因此您必须手动重新启用以允许远程连接。

要求需要记录FDCC合规性的组织可以通过使用SCAP工具来实现。

平均FDCC/USGCB文档中有600多个设置 - 但并非所有设置都可用于普通的小型或家庭办公室(SOHO)计算机。例如,2008年6月20日发布的FDCC主要版本1.0指定了674个设置。例如,“应禁用所有无线接口”。[5]认识到并非所有推荐设置对每个系统都是实用的,如果在FDCC偏差报告中记录,则可以例外(例如“授权企业无线网络”)。

已知严格实施所有推荐设置会导致可用性问题。 NIST发布已知问题列表,可在此处找到。有一些第三方软件供应商已经声称已经在SOHO环境中测试了设置,但是,此时,普通公众仍然相对不了解NIST开发和提出的FDCC和USGCB安全设置。1

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所