Windows操作系统安全配置要求及操作指南

Windows IT敢客 1年前 (2017-09-16) 8023次浏览 已收录 0个评论 扫描二维码

Windows 操作系统

安全配置要求及操作指南

 

1 范围

适用于中国电信使用 Windows 操作系统的设备。在未特别说明的情况下,均适用于所有运行的 Windows 操作系统,包括 Windows 2000Windows XPWindows2003,Windows7 , Windows 2008 以及各版本中的 SeverProfessional 版本。

本规范明确了 Windows 操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。

由于版本不同,配置操作有所不同,本规范以 Windows 2003 为例,给出参考配置操作。

2 缩略语

 

UDP

User Datagram Protocol

用户数据包协议

TCP

Transmission Control Protocol

传输控制协议

NTFS

New Technology File System

新技术文件系统

 

3 安全配置要求

  1. 账号

编号:1

要求内容

应按照不同的用户分配不同的账号,避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":

根据系统的要求,设定不同的账户和账户组。

检测方法

  1. 判定条件

结合要求和实际业务情况判断符合要求,根据系统的要求,设定不同的账户和账户组

  1. 检测操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":

查看根据系统的要求,设定不同的账户和账户组

编号:2

要求内容

应删除与运行、维护等工作无关的账号。

操作指南

1.参考配置操作
A
)可使用用户管理工具:

开始运行-compmgmt.msc-本地用户和组用户 B)也可以通过 net 命令:

删除账号: net user account/de1 停用账号:net user account/active:no


 

检测方法

1.判定条件

结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。

 

注:无关的账号主要指测试帐户、共享帐号、长期不用账号(半年以上不用)等

2.检测操作

开始运行-compmgmt.msc-本地用户和组用户


 

编号:3

要求内容

重命名 Administrator;禁用 guest(来宾)帐号。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":

Administrator>属性-> 更改名称

Guest 帐号->属性-> 已停用

检测方法

  1. 判定条件

缺省账户 Administrator 名称已更改。

Guest 帐号已停用。

  1. 检测操作

进入"控制面板->管理工具->计算机管理",在"系统工具->本地用户和组":缺省帐户->属性-> 更改名称

Guest 帐号->属性-> 已停用

  1. 口令

编号:1

要求内容

密码长度要求:最少 8 位密码复杂度要求:至少包含以下四种类别的字符中的三种:


英语大写字母 A, B, C, … Z  
英语小写字母 a, b, c, … z  
阿拉伯数字 0, 1, 2, … 9  
非字母数字字符,如标点符号,@, #, $, %, &, *

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

"密码必须符合复杂性要求"选择"已启动"

检测方法

  1. 判定条件

"密码必须符合复杂性要求"选择"已启动"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

查看是否"密码必须符合复杂性要求"选择"已启动"


编号:2

要求内容

对于采用静态口令认证技术的设备,账户口令的生存期不长于 90 天。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

"密码最长存留期"设置为"90 天"

检测方法

  1. 判定条件

"密码最长存留期"设置为"90 天"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

查看是否"密码最长存留期"设置为"90 天"


编号:3

要求内容

对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近 5 次(含 5 次)内已使用的口令。

操作指南

1、参考配置操作

 

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

"强制密码历史"设置为"记住 5 个密码"

检测方法

  1. 判定条件

"强制密码历史"设置为"记住 5 个密码"

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->密码策略":

查看是否"强制密码历史"设置为"记住 5 个密码"


编号:4

要求内容

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用的账号。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->帐户锁定策略":

"账户锁定阀值"设置为 6

设置解锁阀值:30 分钟

检测方法

  1. 判定条件

"账户锁定阀值"设置为小于或等于 6

  1. 检测操作

进入"控制面板->管理工具->本地安全策略",在"帐户策略->帐户锁定策略":

查看是否"账户锁定阀值"设置为小于等于 6 次补充说明:

设置不当可能导致账号大面积锁定,在域环境中应小心设置,

Administrator 账号本身不会被锁定。

  1. 授权

编号:1

要求内容

本地、远端系统强制关机只指派给 Administrators 组。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":

"关闭系统"设置为"只指派给 Administrators 组"

"从远端系统强制关机"设置为"只指派给 Administrators 组"

检测方法

  1. 判定条件

    "关闭系统"设置为"只指派给 Administrators 组"

    "从远端系统强制关机"设置为"只指派给 Administrtors 组"

  2. 检测操作进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":

    查看"关闭系统"设置为"只指派给 Administrators 组"

    查看是否"从远端系统强制关机"设置为"只指派给

    Administrators 组"


编号:2

要求内容

在本地安全设置中取得文件或其它对象的所有权仅指派给

Administrators。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派":

"取得文件或其它对象的所有权"设置为"只指派给

Administrators 组"

检测方法

  1. 判定条件

    "取得文件或其它对象的所有权"设置为"只指派给

    Administrators 组"

  2. 检测操作进入"控制面板->管理工具->本地安全策略",在"本地策略->用

 

户权利指派":

查看是否"取得文件或其它对象的所有权"设置为"只指派给

Administrators 组"

编号:3

要求内容

在本地安全设置中只允许授权帐号本地、远程访问登陆此计算机。

操作指南

1、参考配置操作

进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派"

"从本地登陆此计算机"设置为"指定授权用户"

"从网络访问此计算机"设置为"指定授权用户"

检测方法

  1. 判定条件

    "从本地登陆此计算机"设置为"指定授权用户"

    "从网络访问此计算机"设置为"指定授权用户"

  2. 检测操作进入"控制面板->管理工具->本地安全策略",在"本地策略->用户权利指派" 查看是否"从本地登陆此计算机"设置为"指定授权用户" 查看是否"从网络访问此计算机"设置为"指定授权用户"

  1. 补丁

编号:1

要求内容

在不影响业务的情况下,应安装最新的 Service Pack 补丁集。对服务器系统应先进行兼容性测试。

操作指南

1、参考配置操作

安装最新的 Service Pack 补丁集。

例如截止到 2010 年最新版本:Windows XP Service Pack SP3

Windows2000 Service Pack SP4,Windows 2003 Service  

Pack SP2

检测方法

1、判定条件

 

2、检测操作

进入控制面板->添加或删除程序->显示更新打钩,查看是否 XP

统已安装 SP3Win2000 系统已安装 SP4Win2003 系统已安装 SP2

  1. 防护软件

编号:1

要求内容

启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的 IP 地址范围。

操作指南

1、参考配置操作(以启动自带防火墙为例)进入"控制面板->网络连接->本地连接",在高级选项的设置中启用 Windows 防火墙。

在"例外"中配置允许业务所需的程序接入网络。

在"例外->编辑->更改范围"编辑允许接入的网络地址范围。

说明:分为服务器和操作终端两种情况:服务器该项为可选,操作终端该项为必选

检测方法

  1. 判定条件

启用 Windows 防火墙。

"例外"中允许接入网络的程序均为业务所需。

  1. 检测操作

进入"控制面板->网络连接->本地连接",在高级选项的设置中,查看是否启用 Windows 防火墙。

查看是否在"例外"中配置允许业务所需的程序接入网络。

查看是否在"例外->编辑->更改范围"编辑允许接入的网络地址范围。

  1. 防病毒软件

编号:1

要求内容

安装防病毒软件,并及时更新。

操作指南

1、参考配置操作

 

安装防病毒软件,并及时更新。

检测方法

  1. 判定条件

    已安装防病毒软件,病毒码更新时间不早于 1 个月,各系统病毒码

    升级时间要求参见各系统相关规定。

    注:对于操作终端该项为必选项,对于服务器该项为可选项

  2. 检测操作控制面板->添加或删除程序,是否安装有防病毒软件。打开防病毒软件控制面板,查看病毒码更新日期。

4.7 日志安全要求

编号:1

要求内容

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的 IP 地址。

操作指南

1、参考配置操作

开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核策略"

审核登录事件,双击,设置为成功和失败都审核。

检测方法

  1. 判定条件

    审核登录事件,设置为成功和失败都审核。

  2. 检测操作开始->运行-> 执行" 控制面板->管理工具->本地安全策略->审核策略"

    审核登录事件,双击,查看是否设置为成功和失败都审核。

编号:2

要求内容

开启审核策略,以便出现安全问题后进行追查

操作指南

1、参考配置操作

对审核策略进行检查:

 

开始运行-gpedit.msc

计算机配置-Windows 设置安全设置本地策略审核策略以下审核是必须开启的,其他的可以根据需要增加:

审核系统登陆事件     成功,失败

审核帐户管理     成功,失败

 


审核登陆事件

成功,失败

 


审核对象访问

成功

 


审核策略更改

成功,失败

 


审核特权使用

成功,失败

 


审核系统事件

2、补充说明

可能会使日志量猛增

成功,失败

检测方法

  1. 判定条件

尝试对被添加了访问审核的对象进行访问,然后查看安全日志中是否会有相关记录,或通过其他手段激化以配置的审核策略,并观察

日志中的记录情况,如果存在记录条目,则配置成功。

  1. 检测操作

编号:3

要求内容

设置日志容量和覆盖规则,保证日志存储

操作指南

  1. 参考配置操作

开始运行-eventvwr

右键选择日志,属性,根据实际需求设置:日志文件大小:可根据需要制定

超过上限时的处理方式(建议日志记录天数不小于 90 天)

  1. 补充说明

建议对每个日志均进行如上操作,同时应保证磁盘空间

检测方法

1、判定条件 2、检测操作

 

开始运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式

4.8 不必要的服务、端口编号:1

要求内容

关闭不必要的服务

操作指南

1、参考配置操作进入"控制面板->管理工具->计算机管理",进入"服务和应用程序":

可根据具体应用情况参考附录 A,筛选不必要的服务。

检测方法

  1. 判定条件系统管理员应出具系统所必要的服务列表。查看所有服务,不在此列表的服务需关闭。

  2. 检测操作

    进入"控制面板->管理工具->计算机管理",进入"服务和应用程序":

    查看所有服务,不在此列表的服务是否已关闭。

编号: 2

要求内容

如需启用SNMP服务,则修改默认的SNMP Community String设置。

操作指南

1、参考配置操作打开"控制面板",打开"管理工具"中的"服务",找到"SNMP

Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置界面中,可以修改 community strings,也就是微软所说的"团体名称"

检测方法

  1. 判定条件

    community strings 已改,不是默认的"public"

  2. 检测操作打开"控制面板",打开"管理工具"中的"服务",找到"SNMP

 

Service",单击右键打开"属性"面板中的"安全"选项卡,在这个配置界面中,查看 community strings,也就是微软所说的"团体名称"

编号: 3

要求内容

如对互联网开放 WindowsTerminial 服务(Remote Desktop),需修改

默认服务端口。

操作指南

1、参考配置操作

开始->运行 Regedt32  

并转到此项:  

 

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp  

 找到"PortNumber"子项,会看到默认值 00000D3D,它是 3389

的十六进制表示形式。使用十六进制数值修改此端口号,并保存新

值。

检测方法

  1. 判定条件找到"PortNumber"子项,设定值非 00000D3D,即十进制 3389

  2. 检测操作运行 Regedt32 ,找到此项并判断。

4.9 启动项

要求内容

关闭无效启动项

操作指南

1、参考配置操作

"开始->运行->MSconfig"启动菜单中,取消不必要的启动项。

检测方法

1、判定条件 2、检测操作

系统管理员提供业务必须的自动加载进程和服务列表文档。

查看"开始->运行->MSconfig"启动菜单:
不需要的自动加载进程是否已禁用和取消。

4.10 关闭自动播放功能

编号:1

 

要求内容

关闭 Windows 自动播放功能

操作指南

1、参考配置操作

开始运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置

管理模板系统,在右边窗格中双击"关闭自动播放",对话框中选择所有驱动器,确定即可。

检测方法

  1. 判定条件

所有驱动器均"关闭自动播放"

  1. 检测操作

"关闭自动播放"配置已启用,启用范围:所有驱动器。

4.11 共享文件夹

编号:1

要求内容

在非域环境下,关闭 Windows 硬盘默认共享,例如 C$D$

操作指南

1、参考配置操作进入"开始->运行->Regedit",进入注册表编辑器,更改注册表键值:

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ 下,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0

检测方法

  1. 判定条件

    HKLM\System\CurrentControlSet\

    Services\LanmanServer\Parameters\增加了 REG_DWORD 类型的

    AutoShareServer 键,值为 0

  2. 检测操作进入"开始->运行->Regedit",进入注册表编辑器,更改注册表键值:

 

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\

,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0

编号:2

要求内容

设置共享文件夹的访问权限,只允许授权的账户拥有权限共享此文件夹。

操作指南

1、参考配置操作

进入"控制面板->管理工具->计算机管理",进入"系统工具->共享文件夹":

查看每个共享文件夹的共享权限,只将权限授权于指定账户。

检测方法

  1. 判定条件

查看每个共享文件夹的共享权限仅限于业务需要,不设置成为

"everyone"。

  1. 检测操作

进入"控制面板->管理工具->计算机管理",进入"系统工具->共享文件夹":

查看每个共享文件夹的共享权限。

4.12 使用 NTFS 文件系统

要求内容

在不毁坏数据的情况下,将FAT分区改为NTFS格式

操作指南

1、参考配置操作将 FAT 卷转换成 NTFS 分区

CONVERT volume /FS:NTFS[/V] [/CvtArea:filename][/NoSecurity]

[/X]

Volume 指定驱动器号(后面加一个冒号)、装载点或卷名

/FS:NTFS  指定要被转换成 NTFS 的卷

/V 指定 CONVERT 应该用详述模式运行

/CvtArea:filename 将根目录中的一个接续文件指定为 NTFS 系统文件的占位符

 

/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置

/X 如果必要,先强行卸载卷,有打开的句柄则无效例如:

Covert C/FS:NTFS 备注:

  1. 新上线系统必须要求 NTFS 分区,已上线系统在不损坏数据的情况下应用

  2. 在有其他非 WIN 系统访问、存在数据共享的情况下,不建议将

    FAT分区改为NTFS格式

检测方法

1、判定条件 2、检测操作

Windows 操作系统安全配置要求及操作指南

4.13 网络访问

编号:1

 

要求内容

禁用匿名访问命名管道和共享

操作指南

1、参考配置操作

"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的共享设置为全部删除

"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的命名管道 设置为全部删除

检测方法

  1. 判定条件

全部删除匿名访问命名管道和共享

  1. 检测操作

查看"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除

编号:2

要求内容

禁用可远程访问的注册表路径和子路径

操作指南

1、参考配置操作

"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可远程访问的注册表路径 设置为全部删除

"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问:可远程访问的注册表路径和子路径 设置为全部删除

检测方法

1、判定条件

全部删除可远程访问的注册表路径和子路径

3
检测操作

查看"控制面板->管理工具->本地安全策略",在"本地策略->安全选项":网络访问中,查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除

4.14 会话超时设置

编号:1

要求内容

对于远程登录的账户,设置不活动所连接时间 15 分钟

操作指南

1、参考配置操作

进入"控制面板—管理工具—本地安全策略",在"安全策略—安全选项":"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟

检测方法

  1. 判定条件

"Microsoft 网络服务器"设置为"在挂起会话之前所需的空闲时间"为 15 分钟

  1. 检测操作

进入"控制面板—管理工具—本地安全策略",在"安全策略—安全选项":查看"Microsoft 网络服务器"设置

4.15 注册表设置

编号:1

要求内容

在不影响系统稳定运行的前提下,对注册表信息进行更新。

操作指南

1、参考配置操作

自动登录:

HKLM\Software\Microsoft\WindowsNT\

CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0

  • 源路由欺骗保护:

    HKLM\System\CurrentControlSet\

    Services\Tcpip\Parameters\DisableIPSourceRouting

    (REG_DWORD) 2

  • 删除匿名用户空链接

    HKEY_LOCAL_MACHINE

    SYSTEM\Current\Control\Set\Control\Lsa

restrictanonymous  的值设置为 1,若该值不存在,可以自己创建,类型为 REG_DWORD 修改完成后重新启动系统生效

碎片攻击保护:

HKLM\System\CurrentControlSet\

 

Services\Tcpip\Parameters\EnablePMTUDiscovery

(REG_DWORD) 1

    Syn flood 攻击保护:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

之下,可设置:

TcpMaxPortsExhausted。推荐值:5

TcpMaxHalfOpen。推荐值数据:500

TcpMaxHalfOpenRetried。推荐值数据:400

检测方法

1、判定条件 2、检测操作点击开始->运行,然后在打开行里输入 regedit,然后单击确定,查看相

关注册表项进行查看;

使用空连接扫描工具无法远程枚举用户名和用户组

附录 A:端口及服务

服务名称

端口

服务说明

关闭方法

处置建议

系统服务部分

  

echo

7/TCP

RFC862_回声协议

关闭"Simple

TCP/IP Services"服务。

建议关闭

echo

7/UDP

RFC862_回声协议

discard

9/UDP

RFC863 废除协议

discard

9/TCP

RFC863 废除协议

daytime

13/UDP

RFC867 白天协议

daytime

13/TCP

RFC867 白天协议

qotd

17/TCP

RFC865 白天协议的引用

qotd

17/UDP

RFC865 白天协议的引用

chargen

19/TCP

RFC864 字符产生协议

 

chargen

19/UDP

RFC864 字符产生协议

  

ftp

21/TCP

文件传输协议(控制)

关闭"FTP

Publishing Service" 服务。

根据情况选择开放

smtp

25/TCP

简单邮件发送协议

关闭"Simple Mail Transport Protocol" 服务。

建议关闭

nameserver

42/TCP

WINS 主机名服务

关闭"Windows

Internet Name

Service"服务。

建议关闭

42/UDP

domain

53/UDP

域名服务器

关闭"DNS Server" 服务。

根据情况选择开放

53/TCP

根据情况选择开放

dhcps

67/UDP

DHCP 服务器

/Internet 连接共享

关闭"Simple

TCP/IP Services"服务。

建议关闭

dhcpc

68/UDP

DHCP 协议客户端

关闭"DHCP Client" 服务。

建议关闭

http

80/TCP

HTTP 万维网发布服务

关闭"World Wide Web Publishing Service"服务。

根据情况选择开放

epmap

135/TCP

RPC 服务

系统基本服务

无法关闭

135/UDP

无法关闭

netbios-ns

137/UDP

NetBIOS 名称解析

在网卡的 TCP/IP 选项中"WINS"页勾选" 禁用 TCP/IP 上的

NETBIOS"

根据情况选择开放

netbios-dgm

138/UDP

NetBIOS 数据报服务

根据情况选择开放

netbios-ssn

139/TCP

NetBIOS 会话服务

系统基本服务

无法关闭

snmp

161/UDP

SNMP 服务

关闭"SNMP "服务

根据情况选择开放

https

443/TCP

安全超文本传输协议

关闭"World Wide

Web Publishing

Service"服务

根据情况选择开放

 

microsoft-ds

445/UDP

SMB 服务器

运行 regedit,打开 HKEY_LOCAL_MA CHINE\System\Cur rentControlSet\Serv ices\NetBT\Parame

ters 添加名为

"SMBDeviceEnable

d"的子键,类型 dword,值为 0 重新启动计算机

根据情况选择开放

445/TCP

isakmp

500/UDP

IPSec ISAKMP 本地

安全机构

关闭"IPSEC Policy

Agent"服务

很少使用的服务,如不使用 ipsec,建议关闭

RADIUS

1645/UDP

旧式 RADIUS Internet 身份验证服务

关闭"Remote

Access Connection

Manager"服务

建议关闭

RADIUS

1646/UDP

旧式 RADIUS Internet 身份验证服务

建议关闭

radius

1812/UDP

身份验证 Internet

份验证服务

建议关闭

radacct

1813/UDP

计帐 Internet 身份验证服务

建议关闭

MSMQ-RPC

2105/TCP

MSMQ-RPC 消息队列

关闭"Message

Queuing"服务。

建议关闭

Termsrv

3389/TCP

终端服务

关闭"Terminal

Services"服务。

根据情况选择开放

其他常用服务

Apache

80/TCP  

8000/TCP

Apache HTTP 服务器

关闭"Apache2"服务。

根据情况选择开放

ms-sql-s

1433/TCP

1434/UDP

微软公司数据库

关闭

"MSSQLServer"服务。

根据情况选择开放

ORACLE

1521/TCP

甲骨文公司数据库

关闭

"OracleOraHome90

TNSListener"服务。

根据情况选择开放

remote administrator

4899/TCP

Famatech 公司远程控制软件

关闭"Remote

Administrator

Service

"服务。

根据情况选择开放

sybase

5000/TCP

Sybase 公司数据库

关闭"Sybase

SQLServer"字样开始的服务。

根据情况选择开放

pcAnywhere

5631/TCP

5632/UDP

Symantec 公司远程控制软件

关闭"pcAnywhere Host Service"字样开始的服务。

根据情况选择开放


IT 敢客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Windows 操作系统安全配置要求及操作指南
喜欢 (155)
[313176056@qq.com]
分享 (0)
IT敢客
关于作者:
“我所做的一切都是为了方便我的生活~~~“
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址