计算机终端核心安全配置规范

声明

本文是学习 政务计算机终端核心配置规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

范围

本标准提出了政务计算机终端核心配置的基本概念和要求,规定了核心配置的自动化实现方法,规范了核心配置实施流程。

本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 22239-2008 信息系统安全等级保护基本要求

术语和定义

下列术语和定义适用于本文件。

政务部门 government department

从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。

核心配置项(配置项) core configuration item

计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。

注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值。

核心配置 core configuration

对核心配置项进行参数设置的过程。

注:通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险的能力。

核心配置项基值 core configuration item base value

按照核心配置基本要求对配置项的参数设置。

核心配置基线 core configuration baseline

能够满足计算机安全基本要求的一组核心配置项基值构成的集合。

核心配置清单core configuration list

由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述。

核心配置基线包 core configuration baseline package

为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。

缩略语

下列缩略语适用于本文件。

BIOS:基本输入输出系统(Basic Input Output System)

TCM:可信密码模块(Trusted Cryptography Module)

FTP:文件传输协议(File Transfer Protocol)

XML:可扩展置标语言(Extensible Markup Language)

WMI:桌面管理规范(Windows Management Instrumentation)

GUID:全球唯一标识符(Globally Unique Identifier)

CGDCC:政务计算机终端核心配置(Chinese Government Desktop Core
Configuration)

文本结构

本标准分为三个部分。第一部分为概述,见第6章,阐述了核心配置基本概念,包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。第二部分由第7章到第10章组成,在技术层面上详细规定了核心配置的自动化实现方法,包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。第三部分见第11章,在管理层面上详细规定了核心配置的实施流程,包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。

概述

核心配置对象

本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。

核心配置范围

核心配置的范围包括如下方面:

a) 操作系统,如Windows系列、国外Linux和国产Linux等;

b) 办公软件,如国外Office软件和国产WPS软件等;

c) 浏览器软件,如国外Internet
Explore、Chrome、Firefox和国产遨游、360浏览器等;

d) 邮件系统软件,如国外Outlook和国产Foxmail等;

e) BIOS系统软件,如AMI BIOS、Award BIOS等;

f) 防恶意代码软件,如内防病毒、防木马软件等。

依据GB/T
22239-2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,从如下方面对上述基础软件提出配置要求:

a) 身份鉴别:包括账户登录和口令管理;

  

g) 访问控制:包括账户管理和权限分配;

h) 安全审计:包括账户行为审计和资源访问审计;

i) 剩余信息保护:包括临时文件、历史文件和虚拟文件管理;

j) 入侵防范:包括对组件的保护功能开启、应用程序的更新升级;

k) 恶意代码防范:包括杀毒软件的安装、升级和病毒查杀管理;

l) 资源控制:包括服务、端口、协议等资源管理和数据的加密保护。

核心配置项基本类型

根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。

a) 开关项:取值仅为"0"或"1"。例如,配置项"下载未签名的Active控件",可赋值为"启用(1)“或"禁用(0)”。

  

m) 枚举项:取值是离散的、可数的且多于两种。例如,配置项"具有从网络访问本地计算机权限的账户",可赋值为"管理员(Administrators)"、“超级用户(Power
Users)”、"一般用户(Users)“或"来宾(Guests)”。

n) 区间项:取值连续分布在一个区间内。例如,配置项"账户锁定时间",赋值范围为
“1-99999min”。

o) 复合项:由上述两种或多种关联配置项组合而成。例如,配置项"启动屏幕保护程序的等待时间",由开关项和区间项组成。首先"启用"屏幕保护程序,再设置"等待时间"。

核心配置项赋值方法

根据核心配置项赋值路径不同,可分为注册表赋值和配置文件赋值两种方法,分别说明如下:

a) 注册表赋值方法

通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如Windows操作系统;

p) 配置文件赋值方法

通过修改配置文件中有关的配置项,实现对配置项的赋值,例如Linux操作系统。

根据核心配置部署方式不同,可分为手动和自动两种方法,分别说明如下:

a) 手动赋值

对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如,在Windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值;在Linux系统环境下,直接编辑配置文件,对核心配置项逐项进行赋值;在BIOS系统中,直接在人机界面上,逐项进行手动赋值。

q) 自动赋值

编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。该方法适用于大量终端批量配置部署。

核心配置对安全的作用

核心配置主要通过如下四种方式提高终端安全性:

a) 启用数字签名、数据执行保护(DEP)、加密存储、更新升级等安全保护功能;

  

r) 禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等;

s) 加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段;

t) 限制软硬件访问权限、资源共享和远程登录等功能。

核心配置自动化实施框架

核心配置自动化实施框架包括以下四个部分:

a) 提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配置具体要求。核心配置基本要求见第7章。

  

u) 编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识、配置项名称、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8章。

v) 生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。核心配置基线包格式要求见第9章。

w) 自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规性实时检测。具体技术要求见第10章。

核心配置基本要求

操作系统核心配置要求

概要

本标准依据GB/T
22239-2008中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制等方面提出核心配置基本要求。

身份鉴别

身份鉴别配置要求包括:

a) 账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;

  

x) 应配置安全的口令长度、复杂度、有效期和加密强度,禁止不设置口令;

y) 启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听。

注:附录A给出了身份鉴别配置要求示例。

访问控制

访问控制配置要求包括:

a) 应禁用匿名账户(Anonymous)、来宾账户(Guest)、产品支持账户(Support),限用管理员账户(Administrator),重命名管理员账户,限制普通用户的访问权限,禁止任何账户远程访问;

  

z) 应限制账户对文件、硬件、驱动、内存和进程等重要资源的访问权限;

a) 应限制账户权限提升和授权访问等操作。

安全审计

安全审计配置要求包括:

a) 应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注销、开关机、配置变更等操作;

  

b) 应启用系统日志,记录对文件、文件夹、注册表和系统资源的访问操作。

剩余信息保护

剩余信息保护配置要求包括:

a) 关闭系统时,应清除虚拟内存页面文件;

  

c) 断开会话时,应清除临时文件夹;

d) 应禁止剪贴板存储信息与远程计算机共享。

入侵防范

入侵防范配置要求包括:

a) 应启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式;

  

e) 打开邮件的附件时,应启用杀毒软件进行扫描;

f) 应启动屏幕保护和休眠功能,设置唤醒口令;

g) 应开启系统定期备份功能;

h) 应限制应用程序的下载和安装,保持操作系统补丁及时更新。

资源控制

资源控制配置要求包括:

a) 应禁用信息共享、动态数据交换(Dynamic Data
Exchange)、互联网信息服务(Internet Information
Services)、FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接;

b) 禁止介质自动运行(Auto run);

c) 应关闭FTP、HTTP(超文本传输协议Hypertext Transport
Protocol)、RPC(远程过程调用协议Remote Procedure Call
Protocol)、UPNP(通用即插即用Universal Plug and
Play)、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口;

d) 应禁止IPC(进程间通信Inter Process
Communication)管道连接,限制SYN(同步字符Synchronize)的传输次数和发送时间;

e) 应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置TCM模块,遵循国家密码管理局发布的可信计算相关标准保护敏感数据。

办公软件核心配置要求

本标准依据GB/T中22239-2008
7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核心配置要求:

a) 应禁止ActiveX控件的使用;

  

i) 应禁用所有未经验证的加载项;

j) 应限用未数字签名的宏;

  

b) 应限制在线自动更新升级、网上下载剪贴画和模板等资源,以及访问超级链接。

浏览器核心配置要求

概要

本标准依据GB/T
22239-2008中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。

浏览器安全选项

浏览器安全选项配置要求包括:

a. 应严格禁止运行java小程序脚本;

b. 应限制下载和安装未签名的Active X控件;

c. 应开启浏览器的保护模式。

域安全管理

域安全管理配置要求包括:

a) 访问以太网的安全限制应设为中或高;

  

k) 访问企业专网的安全限制可设为中;

l) 访问可信站点的安全限制可设为低;

m) 应限制访问受限站点,禁止从受限站点下载或保存文件。

隐私保护

隐私保护配置要求包括:

a) 退出网页时,应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹;

  

n) 应限制输入框自动关联功能。

邮件系统核心配置要求

本标准依据GB/T
22239-2008中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如下配置要求:

a) 应配置安全的邮箱登录口令的长度和复杂度;

  

o) 对本地存储的邮件应开启加密功能;

p) 发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;

q) 应开启加密协议收发邮件;

r) 应禁止直接运行附件中存在安全隐患的文件类型;

s) 应禁止运行邮件中的超链接;

t) 应启用垃圾邮件过滤功能。

BIOS 系统核心配置要求

本标准依据GB/T中22239-2008
7.1.3对第三级主机安全的要求,对BIOS系统提出如下配置要求:

a) 开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度;

  

u) 应限制硬件资源使用,包括软驱、硬盘、内存、USB设备、网卡和CPU等;

v) 应启用硬盘写保护;

w) 应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式;

x) 操作系统操作关机后,应立即断开计算机电源;

y) 应限制由外部设备,如U盘、光驱等引导启动计算机终端。

防恶意代码软件核心配置要求

防恶意代码软件核心配置要求包括:

a) 应开启实时保护功能;

b) 应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能;

c) 应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除。

核心配置清单

概要

核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。

配置项属性

配置项标识

配置项标识是配置项的唯一编码,由三组字符构成,通过"-“进行分隔,标识规则如图1所示。最高组位的字符使用CGDCC,代表政务终端核心配置;中间组位引用软件产品标识;最低组位使用4位数字代表配置项序号。例如"Window7口令长度"配置项,其标识为"CGDCC-win7-0011”。

siduwenku.com 专注免费分享高质量文档

  1. 配置项标识规则

配置项名称

描述配置项名称的字符串。

配置项描述

从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中,安全风险主要描述配置项所对应的系统脆弱性;应对措施主要描述配置项推荐参数赋值;潜在影响主要描述配置生效后可能对终端系统造成的影响。

配置项组别

需对配置项进行分组时,描述配置项所属的组别。

安全级别

描述配置项对计算机终端安全性的影响程度,分为一般、重要和严重三个级别。

取值范围

描述配置项允许赋值的范围,可用开关、枚举和区间表示。

配置项基值

描述符合核心配置基本要求的配置项基值。当配置项安全级别为严重时,此配置项必须按照基值进行赋值。

赋值路径

描述配置项的赋值路径。对于Windows的配置项,可以依据配置项的赋值路径,使用相应的配置工具进行赋值。例如,配置项"账户锁定时间"的赋值路径为"Computer
Configuration\Windows Settings\Security Settings\Account
Policies\Account Lockout
Policy",通过组策略编辑器(GPEdit)工具,在该路径下可对"账户锁定时间"进行赋值。

检查规则

描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值、等于配置项基值、大于等于配置项基值、小于等于配置项基值。

核心配置基线包

概要

核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属性进行规范性标记,以实现核心配置部署及监测的自动化。

核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中,基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。

siduwenku.com 专注免费分享高质量文档

  1. 核心配置基线包格式结构

主标记

核心配置基线包用"CGDCC-Package"作为主标记,其结构如表1所示。

  1. 主标记

格式版本标记

格式版本用"CGDCC-FormatInfo"作为标记,描述核心配置基线包格式版本的基本信息,其结构如表2所示。

  1. 格式版本标记

基线标记

基线主标记

用"CGDCC-Baseline"作为基线主标记,描述核心配置基线的基本信息,其结构如表3所示。

  1. 基线标记

表3(续)

配置项组别标记

用"SettingGroup"作为配置项组别标记,描述配置项分类的基本信息,其结构如表4所示。

  1. 配置项组别标记

表4(续)

配置项标记

配置项主标记

用"SettingItem"作为配置项标记,描述各核心配置项的基本信息,如表5所示。

  1. 配置项标记

配置项内容标记

  1. 配置项内容主标记

用"Content"作为配置项内容标记,描述各核心配置项内容的主要信息,如表6所示。

  1. 配置项内容标记

表6(续)

  1. 配置项取值映射表标记

用"ValueMappingTable"作为配置项取值映射表标记,描述核心配置项取值映射表的主要信息,如表7所示。

  1. 取值映射表标记

配置项取值标记

用"DiscoveryInfo"作为配置项取值标记,描述核心配置项取值方法,如表8所示。

  1. 配置项取值标记
  
  1. cgdcc-core是命名空间的前缀。

配置项赋值标记

用"ExportInfo"作为配置项赋值标记,描述核心配置项赋值方法,如表9所示。在组策略工具中,通过加载组策略导出文件(GPO
Backup)进行赋值。

  1. 配置项赋值标记

配置项检查标记

用"Check"作为配置项检查标记,描述判断配置项是否存在,以及实际值是否达到基值的规则,如表10所示。

  1. 配置项检查标记

产品标记

用"CGDCC-Product"作为配置基线的产品标记,描述配置基线适用产品的主要信息,如表11所示。

  1. 产品标记

延伸阅读

更多内容 可以 政务计算机终端核心配置规范. 进一步学习

联系我们

DB3202-T 1047-2023 工贸企业安全风险分级管控和隐患排查治理规范 无锡市.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/103928.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

1139. 最大的以 1 为边界的正方形;2087. 网格图中机器人回家的最小代价;1145. 二叉树着色游戏

1139. 最大的以 1 为边界的正方形 核心思想:枚举正方向的右下角坐标(i,j),然后你只需要判断四条边的连续一的最小个数即可,这里是边求连续一的个数同时求解结果。 087. 网格图中机器人回家的最小代价 核心…

拼多多商品详情API接入站点,实时数据json格式示例

作为国内最大的电商平台之一,拼多多数据采集具有多个维度。 有人需要采集商品信息,包括品类、品牌、产品名、价格、销量等字段,以了解商品销售状况、热门商品属性,进行市场扩大和重要决策; 商品数据:拼…

stm32之16.外设定时器——TIM3

----------- 源码 void tim3_init(void) {NVIC_InitTypeDef NVIC_InitStructure;TIM_TimeBaseInitTypeDef TIM_TimeBaseStructure;//使能TIM3的硬件时钟RCC_APB1PeriphClockCmd(RCC_APB1Periph_TIM3,ENABLE);//配置TIM3的定时时间TIM_TimeBaseStructure.TIM_Period 10000-1…

Websocket原理和实践

一、概述 1.websocket是什么? WebSocket是一种在单个TCP连接上进行全双工通信的协议。WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手&…

如何利用SFTP如何实现更安全的远程文件传输 ——【内网穿透】

🎬 鸽芷咕:个人主页 🔥 个人专栏: 《高效编程技巧》《cpolar》 ⛺️生活的理想,就是为了理想的生活! 文章目录 1. 安装openSSH1.1 安装SSH1.2 启动ssh 2. 安装cpolar2.1 配置termux服务 3. 远程SFTP连接配置3.1 查看生成的随机公…

【JavaEE】Spring全家桶实现AOP-统一处理

【JavaEE】AOP(2) 文章目录 【JavaEE】AOP(2)1. 统一登录校验处理1.1 自定义拦截器1.2 将自定义拦截器加入到系统配置1.3 测试1.4 对于静态资源的处理1.5 小练习:统一登录拦截处理1.6 拦截器原理1.6.1 执行流程1.6.2 源…

正则中常见的流派及其特性

目前正则表达式主要有两大流派(Flavor):POSIX 流派与 PCRE 流派。 1、 POSIX 流派 POSIX 规范定义了正则表达式的两种标准: BRE 标准(Basic Regular Expression 基本正则表达式);ERE 标准&am…

MinIO【部署 01】MinIO安装及SpringBoot集成简单测试

MinIO安装及SpringBoot集成测试 1.下载安装1.1 Install the MinIO Server1.2 Launch the MinIO Server1.3 Connect Your Browser to the MinIO Server 2.SpringBoot集成2.1 依赖及配置2.2 代码2.3 测试结果 1.下载安装 下载 https://min.io/download#/linux; 安装文…

AS中回退git历史版本并删除历史提交记录

当您想把某个版本后的代码删除,回滚到指定的版本。可以使用一下的方法。 一、打开AS中git历史提交窗口 二、选择需要回滚的版本选项,右键弹出菜单。选择Reset Current Branch to Here... 三、选择 Hard 选项 soft:将合并的更改应用到当前分支…

nginx会话保持

ip_hash:通过IP保持会话 作用: nginx通过后端服务器地址将请求定向的转发到服务器上。 将客户端的IP地址通过哈希算法加密成一个数值 如果后端有多个服务器,第一次请求到服务器A, 并在务器登录成功,那么再登录B服务器就要重新…

【视觉SLAM入门】5.2. 2D-3D PNP 3D-3D ICP BA非线性优化方法 数学方法SVD DLT

"养气之学,戒之躁急" 1. 3D-2D PNP1.1 代数法1.1.1 DLT(直接线性变换法)1.1.2. P3P 1.2 优化法BA (Bundle Adjustment)法 2. 3D-3D ICP2.1 代数法2.1.1 SVD方法 2.2 优化(BA)法2.2.2 非线性优化方法 前置事项: 1. 3D-2D PNP 该问题描述为&am…

开悟Optimization guide for intermediate tracks

目录 认识模型 参考方案(按模块拆解) 认识模型 模型控制1名英雄进行镜像1 v 1对战 Actor集群资源为64核CPU 问题特点:单一公平对抗场景(同英雄镜像对赛),单位时间样本产能低,累计训练资源相…

libevent源码学习3---事件event

libevent源码学习3—事件event libevent 的基本操作单元是事件。每个事件代表一组条件的集合, 这些条件包括: 文件描述符已经就绪, 可以读取或者写入文件描述符变为就绪状态,可以读取或者写入(仅对于边沿触发 IO)超时事件发生某信号用户触发事件 所有事件具有相似的生命周期。…

CentOS ens160 显示disconnected

使用nmcli device查看网卡状态,显示如图: 检查宿主机系统VMware DHCP Sevice和VMware NAT Sevice服务是否正常运行。 右键点击我的电脑管理按钮,打开计算机管理点击服务

elementui的el-tabs标签页样式修改

一、官网样式: 二、修改样式 1.去掉下划线 效果: 代码: /* 去掉tabs标签栏下的下划线 */ ::v-deep .el-tabs__nav-wrap::after {position: static !important;/* background-color: #fff; */ } 2.改变下划线颜色 效果: 代码:…

JVM——垃圾回收(垃圾回收算法+分代垃圾回收+垃圾回收器)

1.如何判断对象可以回收 1.1引用计数法 只要一个对象被其他对象所引用,就要让该对象的技术加1,某个对象不再引用其,则让它计数减1。当计数变为0时就可以作为垃圾被回收。 有一个弊端叫做循环引用,两个的引用计数都是1&#xff…

STM32 printf函数

printf函数输出流程 用户调用printf()函数到C标准库调用printf函数相关部分,printf函数由编译器提供的stdio.h解析。包含在usart.h文件中。fputc()最终实现输出。用户需要根据最终输出的硬件重新定义该函数,此过程为:printf重定向。 printf的…

测试框架pytest教程(8)失败重试-pytest-rerunfailures

pytest-rerunfailures是一个pytest插件,用于重新运行失败的测试用例。当测试用例在第一次运行时失败,该插件会自动重新运行指定次数的失败用例,以提高稳定性和减少偶发性错误的影响。 要使用pytest-rerunfailures插件,需要按照以…

MySQL双主架构、主从架构

为什么要对数据库做优化? MySQL官方说法: 单表2000万数据就达到瓶颈了。所以为了保证查询效率,要让每张表的大小得到控制。 MySQL主主架构 主数据库都负责增删改查。 比如有1000W的数据,有两个主数据库,就将数据分流给…

学习网络编程No.4【socket编程实战】

引言 北京时间:2023/8/19/23:01,耍了好几天,主要归咎于《我欲封天》这本小说,听了几个晚上之后逐渐入门,在闲暇时间又看了一下,小高潮直接来临,最终在三个昼夜下追完了,哈哈哈&…