如何在活動目錄環境下配置 Windows XP SP2 網絡保護技術

1、如何在活動目錄環境下配置 Windows XP SP2 網絡保護技術目錄簡介 開始之前 在管理工作站和 Windows Small Business Server 2003 上添加修補程序 更新現有的組策略對象 配置安全中心設置 配置 Windows 防火墻設置 配置 Internet Explorer 安全設置 配置 Internet 通信管理設置 配置 DCOM 訪問設置 配置 RPC 設置 相關信息 簡介組策略設置基于您的 Microsoft Active Directory 組織實施而應用，有助于通過各類用戶和計算機內的標準配置設置來保護您的計算機環境。 用于 Microsoft Wi

2、ndows XP Service Pack 2 (SP2) 的新組策略網絡保護設置包括：Windows 防火墻。 配置這些策略設置以打開或關閉防火墻、管理程序和端口例外并為特定方案定義例外，例如允許在目標計算機上進行遠程管理。 Internet Explorer。 通過這些新的策略設置，您可以配置 Microsoft Internet Explorer 安全設置。 此外，通過策略設置，您還可以為不同的過程啟用或禁用 Internet Explorer 安全功能。 Internet 通信管理。 您可以配置這些設置以控制不同組件如何在 Windows XP SP2 上通過 Internet 進行通

3、信，以便執行涉及到組織和 Internet 內的計算機之間信息交換的任務。DCOM 安全。 通過配置這些設置，可以控制分布式組件對象模型 (DCOM) 的安全設置。 DCOM 基礎結構包括新的訪問控制限制，有助于盡量減少網絡攻擊所帶來的安全風險。 安全中心。 通過配置這些設置，可以集中管理 Windows 安全中心。 安全中心是 Windows XP SP2 中的新功能，允許您監視組織內的計算機以確保它們得到最新的安全更新，并在計算機遭遇安全風險時提供用戶警報。遠程過程調用 (RPC)。 您可以配置 RPC 策略設置以阻止對系統上的 RPC 接口的遠程匿名訪問，并防止對 RPC 終點映射程序接

4、口的匿名訪問。本文檔解釋了如何部署網絡保護組策略設置，以幫助保護 Windows XP SP2 客戶計算機。 有關推薦設置的完整列表，請參閱下面的資源：Microsoft TechNet 網站 /fwlink/?linkid=35465 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2”您可以在活動目錄域中執行關于組策略對象 (GPO) 的任務。 其中一些任務可以通過域控制器來運行，但是通常都在包含活動目錄管理工具的 Windows XP SP2 客戶計算機上執行

5、。 注： 有關如何部署 GPO 的更多信息，請參閱下面的資源： Microsoft Windows Server System 網站 /fwlink/?linkid=35498 上的“Designing a Managed Environment: Staging Group Policy Deployments”要在活動目錄環境下配置網絡保護，請配置以下任務： 在管理工作站上添加修補程序更新現有的 GPO配置安全中心設置配置 Windows 防火墻設置配置 Internet Explorer 設置配置 Internet 通信管理設置配置 DCOM 安全設置配置 RPC 設置重要： 安裝操作系

6、統時，使用默認出現的“開始”菜單，便可獲得本文檔中的步驟說明。 如果修改了“開始”菜單，操作步驟會略有不同。有關安全相關術語的定義，請參閱下面的資源：Microsoft 網站 /fwlink/?LinkId=35468 上的“Microsoft Security Glossary”開始之前在使用運行以下任何產品版本的域控制器的活動目錄域中，Windows XP SP2 可以用作 Windows 域客戶端：Microsoft Windows Server 2003Microsoft Windows Small Business Server 2003 Microsoft Windows 2000

7、 Server SP3 或更高版本 安裝修補程序之前，請確保您已備份了計算機，包括注冊表的備份。有關如何備份注冊表的更多信息，請參閱下面的資源：Microsoft 幫助和支持網站 /fwlink/?linkid=36365 上的 Microsoft 知識庫文章 322756在管理工作站和 Windows Small Business Server 2003 上添加修補程序如果您在運行較早版本操作系統或 Service Pack（例如附帶 SP1 的 Windows XP 或 Windows Server 2003）的計算機上管理組策略對象設置，則必須安裝修補程序 (KB842933)，以使策略

8、設置正確地顯示在“組策略對象編輯器”中。如果您使用 Small Business Server 2003 (SBS 2003)，則必須應用附加修補程序 (KB872769)，因為 SBS 2003 會默認關閉 Windows 防火墻。 修補程序可以解決此問題。注：列出的修補程序并不是 Windows 更新的一部分，您必須單獨安裝它們。 修補程序必須單獨應用于所有受影響的系統。KB842933 適用于：Microsoft Windows Server 2003, Web Edition Microsoft Windows Server 2003, Standard Edition Microso

9、ft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Windows XP Professional SP1 Microsoft Windows Small Business Server 2003, Premium Edition Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows 2000 Advanced Serve

10、r Microsoft Windows 2000 Server Microsoft Windows 2000 ProfessionalKB872769 適用于：Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows Small Business Server 2003, Premium Edition 注：要獲得這些修補程序并了解更多信息，請參閱下面的資源： Microsoft 幫助和支持網站 /fwlink/?linkid=35474 上的 Microsoft 知識庫文章 842933M

11、icrosoft 幫助和支持網站 /fwlink/?linkid=35477 上的 Microsoft 知識庫文章 872769執行此任務的要求憑據：您必須作為域管理員安全組或本地管理員安全組的成員登錄到客戶計算機。工具：按照知識庫文章 842933 和 872769 中的解釋，正確下載適用于您的操作系統的修補程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、Windows XP SP1 或 Windows Server 2003 上添加修補程序 842933添加修補程序在 Windows 桌面上單擊“開

12、始”，單擊“運行”，鍵入已下載修補程序的路徑和文件名，然后單擊“確定”。在“歡迎使用 KB842933 安裝向導”頁面上，單擊“下一步”。在“許可協議”頁面中，單擊“我同意”，然后單擊“下一步”。在“完成 KB842933 安裝向導”頁面上單擊“完成”，以便完成修補程序安裝并重新啟動計算機。為適用的所有系統（服務器和管理工作站）重復以上步驟。在 Windows Small Business Server 2003 上添加修補程序 872769添加修補程序在 Windows 桌面上單擊“開始”，單擊“運行”，鍵入已下載 872769 修補程序的路徑和文件名，然后單擊“確定”。在“歡迎使用 KB8

13、72769 安裝向導”頁面上，單擊“下一步”。在“許可協議”頁面中，單擊“我同意”，然后單擊“下一步”。“完成 KB872769 安裝向導”頁面上單擊“完成”，以便完成修補程序安裝并重新啟動計算機。更新現有的組策略對象Windows XP SP2 將在管理模板中添加附加設置。 要配置這些新設置，每個 GPO 都必須使用在 Windows XP SP2 中找到的新管理模板進行更新。 除非更新組策略對象，否則將不能使用與 Windows 防火墻相關的設置。 如果安裝 Windows XP SP2 的計算機上安裝了組策略對象編輯器管理單元，則可以使用 Microsoft 管理控制臺 (MMC) 來更

14、新 GPO。更新 GPO 之后，您可以針對自己運行 Windows XP SP2 的計算機來配置適當的網絡保護設置。執行此任務的要求憑據：如果 Windows XP SP2 計算機是活動目錄域客戶端，則必須作為域管理員或組策略 Creator/Owner 安全組的成員登錄。工具：已安裝組策略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。更新組策略對象更新組策略對象在 Windows XP SP2 桌面上單擊“開始”，單擊“運行”，鍵入 mmc，然后單擊“確定”。在“文件”菜單上，單擊“添加/刪除管理單元”。 在“獨立”選項卡上，單擊“添加”。 在“可用的獨立管理單元”列表中

15、單擊“組策略對象編輯器”，然后單擊“添加”。 在“選擇組策略對象”對話框中，單擊“瀏覽”。圖 1 瀏覽組策略對象在“瀏覽組策略對象”對話框中，選擇您要使用新的 Windows 防火墻設置來更新的組策略對象。 單擊“確定”，然后單擊“完成”以關閉組策略向導。 此操作會將新的管理模板應用于選定的 GPO。在“添加獨立管理單元”對話框中，單擊“關閉”。在“添加/刪除管理單元”對話框中，單擊“確定”。關閉 MMC，單擊“文件”并退出，不保存對控制設置所作的更改。注：盡管您不保存控制臺更改，以上過程也會將來自 Windows XP SP2 的新管理模板導入到 GPO 中。 模板必須導入每個已定義的 GP

16、O 中。 對要用于將組策略應用到安裝 Windows XP SP2 的計算機的每個 GPO 重復這些步驟。注： 要為使用活動目錄和 Windows XP SP1 的網絡環境更新您的 GPO，Microsoft 建議您使用可免費下載的組策略管理控制臺。 有關更多信息，請參閱下面的資源：Microsoft Windows Server System 網站 /fwlink/?linkID=35479 上的“Enterprise Management with the Group Policy Management Console”配置安全中心設置安全中心是 Windows XP SP2 中的一項新服

17、務，它提供的中央位置可用于更改安全設置、詳細了解安全性，并確保用戶的計算機具有 Microsoft 推薦的最新主要安全設置。 在 Windows 域環境中，您可以使用組策略來允許安全中心監視用戶的計算機，從而有助于確保它們具有最新的安全更新，并在用戶的計算機可能遭遇風險時通知他們。 安裝中心服務將作為后臺進程運行，并在用戶的計算機上檢查以下組件的狀態： 防火墻。 安全中心將檢查 Windows 防火墻是已打開還是關閉，同時檢查是否存在其它一些軟件防火墻。 為檢查其它防火墻，安全中心將查詢特定 Windows 管理規范 (WMI) 提供程序，它們已由參與的供應商提供。病毒保護。 安全中心將檢查是

18、否存在防病毒軟件。 為檢查是否存在防病毒軟件，安全中心將查詢由參與的供應商提供的特定 WMI 提供程序。 如果提供了信息，安全中心服務還將確定軟件是不是最新版本以及是否打開了實時掃描。 自動更新。 安全中心將檢查并確保自動更新已設置為推薦的設置，該設置將為用戶的計算機自動下載并安裝重要更新。 如果自動更新已關閉或未設置為推薦的設置，安全中心將提供適當的建議。如果發現組件缺少或不符合您的安全策略，安全中心將在工具欄的通知區域中顯示紅色圖標或在登錄時提供警告信息以向您發出警告。 此信息包含用于打開安全中心用戶界面的鏈接，它提供了關于問題以及修復建議的信息。如果您運行的防火墻或防病毒軟件包件未被安全

19、中心檢測到，則可以將安全中心設置為繞過該組件的警告。對于 Windows 域中的計算機，您可以使用組策略設置來集中管理安全中心功能。 如果您啟用“打開安全中心（僅限域 PC）”策略設置，安全中心將監視主要安全設置（防火墻、防病毒軟件和自動更新），并且在用戶的計算機遭遇風險時通知他們。 在默認情況下，“打開安全中心（僅限域 PC）”策略設置將不會啟用，這意味著它將在安全中心關閉時關閉，通知和安全中心狀態部分都不會顯示。 執行此任務的要求憑據：如果 Windows XP SP2 計算機是活動目錄域客戶端，則必須作為域管理員安全組成員登錄，并打開“組策略對象”。工具：已安裝組策略對象編輯器管理單元的

20、 Microsoft 管理控制臺 (MMC)。配置安全中心設置如果使用此設置，則允許運行 Windows XP SP2 的計算機的用戶使用安全中心來發布關于防火墻、防病毒軟件包件和自動更新的警告。 配置安全中心設置在 Windows XP SP2 桌面上單擊“開始”，單擊“運行”，鍵入 mmc，然后單擊“確定”。在“文件”菜單上，單擊“添加/刪除管理單元”。 在“獨立”選項卡上，單擊“添加”。 在“可用的獨立管理單元”列表中找到并單擊“組策略對象編輯器”，然后單擊“添加”。 在“選擇組策略對象”對話框中，單擊“瀏覽”。從列表中選擇您要配置的組策略對象。 單擊“確定”，然后單擊“完成”以關閉組策

21、略向導。單擊“關閉”以退出“添加獨立管理單元”對話框，然后單擊“確定”以退出“添加/刪除管理單元”對話框并返回管理控制臺。在控制臺樹中打開“計算機配置”、“管理模板”、“Windows 組件”，然后打開“安全中心”。圖 2 安全中心設置雙擊“啟用安全中心（僅域電腦）”，單擊“已啟用”，然后單擊“確定”。 使用 GPUpdate 應用配置GPUpdate 實用工具將刷新基于活動目錄的組策略設置，包括安全設置。 配置組策略之后，您可以等待標準刷新周期將設置應用于客戶計算機。 默認情況下的刷新周期為 90 分鐘，動態偏差為 + 或 - 30 分鐘。要在標準周期之間刷新組策略，請使用 GPUpdate

22、 實用工具。驗證安全中心設置是否已應用驗證安全中心設置是否已應用在 Windows XP 桌面上單擊“開始”，然后單擊“控制面板”。在“選擇一個類別”下單擊“安全中心”。驗證安全中心是否已啟動。注：如果配置設置未應用，您必須排除組策略應用程序的故障。 要排除組策略應用程序的故障，請參閱下面的資源： Microsoft 下載中心網站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Windows 防火墻設置有三套 Windows 防火墻設置需要配置： 允許通過驗證的 IPSec 旁路。

23、 此設置在組織使用 Internet 協議安全 (IPSec) 時使用，用于保護通信量并啟用 Windows 防火墻。域配置文件。 如果計算機連接至某個網絡，而該網絡中包含的域控制器同樣用于這些計算機所屬的域，則會使用這些設置。標準配置文件。 如果計算機未連接至您的網絡（例如在您攜帶膝上型計算機時），則會使用這些設置。如果您不配置標準配置文件設置，則默認值將保留不變。 Microsoft 建議您同時配置域和標準配置文件設置，并且為兩個配置文件都啟用 Windows 防火墻。 唯一的例外是您準備使用第三方主機防火墻產品。如果您準備使用第三方主機防火墻產品，則 Microsoft 建議您禁用 Wi

24、ndows 防火墻。 如果您決定在整個組織網絡中禁用 Windows 防火墻，并且網絡中混合包含運行未安裝 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的計算機，則應該配置這些組策略設置：“禁止在 DNS 域網絡上使用 Internet 連接防火墻”設置為“已啟用”“域配置文件 Windows 防火墻：保護所有網絡連接”設置為“已禁用”“標準配置文件 Windows 防火墻：保護所有網絡連接”設置為“已禁用”注：此標準配置文件設置將確保未使用 Windows 防火墻，而無論計算機是否連接至您的組織網絡。 為確保 Windo

25、ws 防火墻未在您的組織網絡上使用，但是計算機未連接至網絡時使用，則將此設置更改為“已啟用”。標準配置文件設置比域配置文件更受限制，因為標準配置文件設置不包括僅在受管理域環境中使用的應用程序和服務。在 GPO 中，域配置文件和標準配置文件都包含相同的 Windows 防火墻設置集。 Windows XP SP2 依靠網絡確定來應用正確的配置文件。 注：有關網絡確定的更多信息，請參閱下面的資源：Microsoft TechNet 網站 /fwlink/?linkid=35480 上的“Network Determination Behavior for Network-Related Group

26、 Policy Settings”本節介紹了 GPO 中可能使用的 Windows 防火墻設置以及企業環境的推薦設置，并演示了如何啟用四種類型的設置。執行此任務的要求憑據：如果 Windows XP SP2 計算機是活動目錄域客戶端，則必須作為域管理員安全組成員登錄，并打開您在前面任務中個修改的“組策略對象”。工具：已安裝組策略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。注：要打開 GPO，請使用已安裝組策略對象編輯器管理單元的 MMC，或者使用“Active Directory 用戶和計算機”控制臺。 要在 Windows XP 客戶計算機上使用“Active Dire

27、ctory 用戶和計算機”控制臺，則必須通過 Windows Server 2003 CD 運行 adminpak.msi使用組策略配置 Windows 防火墻設置使用組策略對象編輯器管理單元或“Active Directory 用戶和計算機”，在適當的 GPO 中修改 Windows 防火墻設置。 配置 Windows 防火墻設置之后，下一次刷新計算機配置組策略將下載新的 Windows 防火墻設置，并將它們應用于運行 Windows XP SP2 的計算機。 配置 Windows 防火墻設置在 Windows XP SP2 桌面上單擊“開始”，單擊“運行”，鍵入 mmc，然后單擊“確定”。

28、在“文件”菜單上，單擊“添加/刪除管理單元”。 在“獨立”選項卡上，單擊“添加”。 在“可用的獨立管理單元”列表中找到并單擊“組策略對象編輯器”，然后單擊“添加”。 在“選擇組策略對象”對話框中，單擊“瀏覽”。選擇您要配置的組策略對象，單擊“確定”，然后單擊“完成”以退出組策略向導。單擊“關閉”以退出“添加獨立管理單元”對話框，然后單擊“確定”以退出“添加/刪除管理單元”對話框并返回管理控制臺。在控制臺樹中打開“計算機配置”、“管理模板”、“網絡”、“網絡連接”，然后打開“Windows 防火墻”。 圖 4 組策略中的 Windows 防火墻選項雙擊“Windows 防火墻：允許通過驗證的 I

29、PSec 旁路”。圖 5 允許通過驗證的 IPSec 旁路表 1 概述了允許繞過已驗證的 IPSec 選項。表 1 允許企業通過驗證的 IPSec 旁路設置設置描述備注未配置此 GPO 不會更改 Windows 防火墻的當前配置已啟用Windows 防火墻不會處理受 IPSec 保護的通信，除非是來自策略中列出的用戶或組。列出用戶和組的語法使用 SDDL 標準。 有關更多信息，請參閱下面的資源： HYPERLINK /fwlink/?linkid=35503 MSDN 網站 /fwlink/?linkid=35503 上的“Security Descriptor Definition Lang

30、uage”已禁用Windows 防火墻將處理受 IPSec 保護的通信。使用表 1 中的信息，然后單擊“已啟用”或“已禁用”。注：如果您單擊“已啟用”，則可以創建一個用戶或組列表，并允許他們向您的計算機發送受 IPSec 保護的通信。單擊“確定”。 選擇“域配置文件”或“標準配置文件”。圖 6 組策略中的 Windows 防火墻設置表 2 概述了用于域和標準配置文件的 Windows 防火墻組策略推薦設置。表 2 用于企業的 Windows 防火墻推薦設置設置描述域配置文件標準配置文件保護所有網絡連接指定為所有網絡連接啟用 Windows 防火墻已啟用已啟用不允許例外指定放棄所有進入的垃圾通信

31、，包括例外通信未配置已啟用，除非您必須配置程序例外定義程序例外按照程序文件名定義例外通信如果網絡上的計算機運行附帶 SP2 的 Windows XP，則啟用和配置由其使用的程序（應用程序和服務）如果網絡上的計算機運行附帶 SP2 的 Windows XP，則啟用和配置由其使用的程序（應用程序和服務）允許本地程序例外允許程序例外的本地配置已禁用，除非您需要本地管理員在本地配置程序例外已禁用允許遠程管理例外允許使用工具進行遠程配置禁用，除非您希望能夠使用 MMC 管理單元遠程管理您的計算機已禁用允許文件和打印共享機例外指定是否允許文件和打印機共享通信已禁用，除非運行 Windows XP SP2

32、的計算機共享本地資源已禁用允許 ICMP 例外指定允許的 ICMP 消息類型禁用，除非您希望使用 ping 命令排除故障已禁用允許遠程桌面例外指定計算機是否可以接受基于遠程桌面的連接請求已啟用已啟用允許 UPnP 框架例外指定計算機是否可以接收垃圾 UPnP 消息已禁用已禁用阻止通知禁用通知已禁用已禁用允許記錄日志允許您記錄通信并配置日志文件設置未配置未配置阻止對多播或廣播請求的單播響應放棄針對多播或廣播請求消息而收到的單播數據包已啟用已啟用定義端口例外按照 TCP 和 UDP 指定例外通信已禁用已禁用允許本地端口例外允許端口例外的本地配置已禁用已禁用啟用端口的例外啟用端口例外在“域配置文件”

33、或“標準配置文件”設置區域中，雙擊“Windows 防火墻：定義端口例外”。圖 7 Windows 防火墻：定義端口例外屬性單擊“已啟用”，然后單擊“顯示”。 圖 8 顯示內容單擊“添加”。圖 9 添加項目使用以下語法，鍵入您要阻止或啟用的端口信息：port:transport:scope:status:name 此處的 port 是端口號碼，transport 是 TCP 或 UDP，scope 是 *（用于所有系統）或允許訪問端口的計算機列表，status 是已啟用或已禁用，name 是用作此條目標簽的文本字符串。在使用范圍時，不支持主機名稱、域名系統 (DNS) 名稱或 DNS 后綴。

34、對于 IPv4 地址范圍，您可以使用點分隔子網掩碼或前綴長度來指定范圍。 在使用點分隔子網掩碼時，您可以將范圍指定為 IPv4 網絡 ID（例如 /），或者通過使用范圍內的某個 IPv4 地址（例如 31/）來指定。 在使用網絡前綴長度時，您可以將范圍指定為 IPv4 網絡 ID（例如 /24），或者通過使用范圍內的某個 IPv4 地址（例如 31/24）來指定。有關 TCP/IP 地址和子網的詳細信息，請參閱下面的資源：Microsoft 幫助和支持網站 /fwlink/?linkid=36370 上的 Microsoft 知識庫文章 164015注：如果來源列表中的條目之間存在任何空格或其

35、它任何無效字符，則范圍將被忽略，而設置也將表現為已被禁用。 保存更改之前，請雙擊您的范圍語法。此實例使用名為 WebTest 的端口例外，并為所有連接啟用 TCP 端口 80。單擊“確定”以關閉“添加項目”。圖 10 顯示內容單擊“確定”以關閉“顯示內容”。單擊“關閉”以關閉“Windows 防火墻：定義端口例外屬性”。注：如果已選定“不允許例外”，則會忽略任何端口例外。啟用程序的例外啟用程序例外在“域配置文件”或“標準配置文件”設置區域中，雙擊“Windows 防火墻：定義程序例外”。圖 11 Windows 防火墻：定義程序例外屬性單擊“已啟用”，然后單擊“顯示”。圖 12 顯示內容單擊“

36、添加”。圖 13 添加項目使用以下語法，鍵入您要阻止或啟用的程序信息：path:scope:status:name 此處的 path 是程序路徑和文件名，scope 是 *（用于所有系統）或允許訪問程序的計算機列表，status 是已啟用或已禁用，name 是用作此條目標簽的文本字符串。此實例將為所有連接啟用 Windows Messenger。有關 TCP/IP 地址和子網的詳細信息，請參閱下面的資源：Microsoft 幫助和支持網站 /fwlink/?linkid=36370 上的 Microsoft 知識庫文章 164015單擊“確定”以關閉“添加項目”。圖 14 顯示內容單擊“確定”

37、以關閉“顯示內容”。單擊“關閉”以關閉“Windows 防火墻：定義程序例外屬性”。配置基本 ICMP 選項有關 ICMP 的信息，請參閱下面的資源：Microsoft Windows XP 網站 /fwlink/?linkid=35499 上的“Internet Control Message Protocol (ICMP)”配置基本 ICMP 選項在“域配置文件”或“標準配置文件”設置區域中，雙擊“Windows 防火墻：允許 ICMP 例外”。單擊“已啟用”。圖 15 Windows 防火墻：允許 ICMP 例外屬性選擇要啟用的適當 ICMP 例外。 此實例選擇允許入站回顯請求。單擊“確

38、定”以關閉“Windows 防火墻：允許 ICMP 例外屬性”。記錄丟棄的數據包和成功的連接記錄丟棄的數據包和成功的連接在“域配置文件”或“標準配置文件”設置區域中，雙擊“Windows 防火墻：允許記錄日志”。圖 16 Windows 防火墻：允許記錄日志屬性單擊“已啟用”，選擇“記錄被丟棄的數據包”和“記錄成功的連接”，鍵入日志文件路徑和名稱，然后單擊“確定”。注：保存日志文件的位置必須得到保護，以防止刪除或篡改日志。關閉組策略編輯器。如果提示保存控制臺設置，請單擊“否”。使用 GPUpdate 應用配置GPUpdate 實用工具將刷新基于活動目錄的組策略設置，包括安全設置。 配置組策略之

39、后，您可以等待標準刷新周期將設置應用于客戶計算機。 默認情況下的刷新周期為 90 分鐘，動態偏差為 + 或 - 30 分鐘。要在標準周期之間刷新組策略，請使用 GPUpdate 實用工具。驗證 Windows 防火墻設置是否已應用注：使用組策略來配置 Windows 防火墻時，設置可能不允許本地管理員更改某些方面的配置。 在用戶的本地計算機上，Windows 防火墻對話框中的某些選項卡和選項將無法使用。驗證 Windows 防火墻設置是否已應用在“安全中心”的“管理安全設置”下，單擊“Windows 防火墻”。單擊“常規”、“例外”和“高級”選項卡，然后驗證是否已將需要的配置應用于計算機上的

40、Windows 防火墻，然后單擊“確定”以關閉 Windows 防火墻。注：如果配置設置未應用，您必須排除組策略應用程序的故障。 要排除組策略應用程序的故障，請參閱下面的資源：Microsoft 下載中心網站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Internet Explorer 安全設置對于 Windows XP SP2，您可以為計算機以及帶新組策略設置的用戶配置管理所有 Internet Explorer 安全設置。Windows XP SP2 使用策略設置的兩個主要

41、區域：安全功能URL 操作安全功能策略設置允許您管理可能會影響 Internet Explorer 安全性的特定方案。 在大多數情況下，您需要防止特定的行為，因此必須確保已啟用安全功能。 例如，惡意代碼可能會在本地計算機區域而不是 Internet 區域中運行，從而嘗試提升自己的權限。 為了幫助防止此類攻擊，您可以使用“保護域提升”策略設置。 對于每種安全功能策略設置，您可以通過以下方法指定用于控制安全功能行為的策略設置：Internet Explorer 過程定義的過程列表所有過程，無論它們是從哪里啟動統一資源定位器 (URL) 操作是指瀏覽器可以采取的操作，而這些操作可能會導致本地計算機出

42、現安全風險，例如嘗試運行 Java applet 或 ActiveX 控制。 URL 操作與注冊表中的安全設置相對應，而這些設置確定了針對 URL 所在安全區域中的功能所采取的操作。 URL 操作設置包括啟用、禁用、提示和其它適用的設置。要對 Internet Explorer 中的 URL 操作進行安全管理，您可以使用“Internet 控制面板”下的新安全頁組策略設置。 通過使用組策略來控制 URL 操作的安全性，您可以為組織內的所有用戶和計算機創建標準 Internet Explorer 配置。要提供安全性，您可以使用安全區域模板策略設置為所有 URL 區域啟用策略。 對于每種 URL

43、操作模板策略設置，您可以指定以下一個安全級別：低。 此級別通常用于包含用戶完全信任的網站的 URL 安全區域。 這是“受信任的站點”區域的默認安全級別。中低。 此級別可用于包含似乎不會導致損害計算機或數據的網站的 URL 安全區域。 這是 Intranet 區域的默認安全級別。中。 此級別可用于包含既不是可信又不是不可信的網站的 URL 安全區域。 這是 Internet 區域的默認安全級別。高。 此級別用于包含可能會導致損壞用戶計算機或數據的網站的 URL 安全區域。 這是“受限制的站點”區域的默認安全級別。有關安全功能控制的詳細信息，請參閱以下內容： Microsoft TechNet 網

44、站 /fwlink/?linkid=35487 上的“Microsoft Windows XP Service Pack 2 中的功能變更”執行此任務的要求憑據：如果 Windows XP SP2 計算機是活動目錄域客戶端，則必須作為域管理員安全組成員登錄，并打開“組策略對象”。工具：已安裝組策略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。配置 Internet Explorer 安全設置配置 Internet Explorer 設置在 Windows XP SP2 桌面上單擊“開始”，單擊“運行”，鍵入 mmc，然后單擊“確定”。在“文件”菜單上，單擊“添加/刪除管理單

45、元”。 在“獨立”選項卡上，單擊“添加”。 在“可用的獨立管理單元”列表中找到并單擊“組策略對象編輯器”，然后單擊“添加”。 在“選擇組策略對象”對話框中，單擊“瀏覽”。選擇您要配置的組策略對象，單擊“確定”，然后單擊“完成”以退出組策略向導。單擊“關閉”以退出“添加獨立管理單元”對話框，然后單擊“確定”以退出“添加/刪除管理單元”對話框并返回管理控制臺。在控制臺樹中打開“計算機配置”、“管理模板”、“Windows 組件”、“Internet Explorer”，然后打開“安全功能”。 圖 18 Internet Explorer 組策略安全設置使用表 3 中的信息，配置 Internet

46、Explorer 安全設置。 表 3 Internet Explorer 安全功能設置設置描述默認配置企業環境的推薦配置二進制行為安全限制策略控制是防止還是允許二進制行為安全限制設置未配置在 #package#behavior notation 中，將組織的任何已認可行為添加到管理員認可的行為列表中MK 協議安全限制通過防止 MK 協議來減小受攻擊面未配置為所有過程啟用本地計算機區域鎖定安全幫助減輕使用本地計算機區域以載入惡意 HTML 代碼的攻擊未配置為所有過程啟用一致性 Mime 處理確定 Internet Explorer 是否要求 Web 服務器提供的所有文件類型信息都保持一致未配置為

47、所有過程啟用Mime 探查安全功能確定 Internet Explorer MIME 窺探是否防止將一種類型的文件提示為更危險的文件類型未配置為所有過程啟用對象緩存保護定義在用戶瀏覽相同的域或新域時，是否可以訪問對對象的引用未配置為所有過程啟用腳本化 Window 安全限制限制彈出式窗口并禁止腳本顯示窗口；在這些窗口中，標準和狀態欄將不會顯示給用戶，或者會使其它標題和狀態欄變得模糊未配置為所有過程啟用保護域提升幫助保護本地計算機安全區域未配置為所有過程啟用信息欄在安裝的文件或代碼受到限制時，管理是否為 Internet Explorer 過程顯示信息欄未配置為所有過程啟用限制 ActiveX

48、安裝允許您阻止 Internet Explorer 過程的 ActiveX 控件安裝提示未配置為所有過程啟用限制文件下載允許您阻止并非由用戶發出的文件下載提示未配置為所有過程啟用加載項管理允許您確保加載項列表策略設置未列出的任何 Internet Explorer 加載項會被拒絕未配置為所有加載項啟用，除非在加載項列表中特別允許網絡協議鎖定為 Internet、intranet、可信站點、受限站點和本地計算機安全區域指定受限制的協議列表未配置為每個安全區域啟用特定協議展開“Internet 控制面板”圖 19 Internet 控制面板設置啟用每項設置以防止用戶獲得所列出 Internet E

49、xplorer 配置頁面的訪問權限。 要執行此操作，請雙擊每項設置，單擊“已啟用”，然后單擊“確定”。展開“安全頁”。圖 20 Internet 控制面板安全頁設置有兩種方法可以配置安全區域；您可以使用模板，或者按照區域選擇每項設置。以下之一：使用表 4 中的信息，以便使用區域模板來配置每個安全區域。 雙擊每個模板選項，然后單擊“已啟用”。使用表 5 中的信息，單獨配置每個安全區域表 4 按照安全區域進行 Internet 控制面板設置設置推薦的配置推薦的級別Internet 區域模板已啟用中Intranet 區域模板已啟用中低受信任的站點區域模板已啟用低受限制的站點區域模板已啟用高本地計算機

50、區域模板已啟用低鎖定的本地計算機區域模板已啟用高表 5 按照安全區域進行 Internet 控制面板設置設置描述默認配置下載已簽名的 ActiveX 控件通過包含控件的 HTML 頁面的 URL 區域，管理簽名 ActiveX 控件的下載。未配置下載未簽名的 ActiveX 控件通過包含控件的 HTML 頁面的 URL 區域，管理未簽名 ActiveX 控件的下載。未配置對沒有標記為安全的 ActiveX 控件進行初始化和腳本運行通過區域中的 HTML 頁面，管理 ActiveX 控件和插件的執行。未配置運行 ActiveX 控件和插件針對 URL 安全區域中的頁面，確定是替換還是執行 Act

51、iveX 控件對象安全性。 只有在區域中的頁面上可能產生交互的所有 ActiveX 控件和腳本可以確信不會破壞安全性時，才應該替換對象安全性。 這是 URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY 和 URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY 的綜合。未配置允許活動腳本確定是否運行 URL 安全區域中的頁面上的腳本代碼。未配置Java 小程序腳本確定如果小程序的屬性、方法和事件受腳本影響時，是否允許 URL 安全區域中的 HTML 頁面上的腳本代碼使用 Java 小程序。未配置對標記為可安全執行腳本的 ActiveX 控件執

52、行腳本確定是否可以將腳本用于安全的 ActiveX 控件。未配置通過域訪問數據資源確定是否允許資源通過域訪問數據源。未配置允許通過腳本進行粘貼操作確定腳本是否可以執行粘貼操作。未配置提交非加密表單數據確定是否允許 URL 安全區域中頁面上的 HTML 表單或提交到區域中服務器上的表單。 URLACTION_HTML_SUBMIT_FORMS_FROM 和 URLACTION_HTML_SUBMIT_FORMS_TO 標志的綜合。未配置允許字體下載確定是否允許 HTML 字體下載。未配置持續使用用戶數據確定是否啟用持續使用用戶數據。未配置跨域瀏覽子框架確定是否允許子框架在不同域中導航。未配置使用

53、 GPUpdate 應用配置GPUpdate 實用工具將刷新基于活動目錄的組策略設置，包括安全設置。 配置組策略之后，您可以等待標準刷新周期將設置應用于客戶計算機。 默認情況下的刷新周期為 90 分鐘，動態偏差為 + 或 - 30 分鐘。要在標準周期之間刷新組策略，請使用 GPUpdate 實用工具。驗證 Internet Explorer 安全設置是否已應用注：使用組策略來配置 Internet Explorer 時，設置可能不允許本地管理員更改某些方面的配置。 在用戶的本地計算機上，對話框中的某些選項卡和選項將無法使用。驗證 Internet Explorer 設置是否已應用在“安全中心”

54、的“管理安全設置”下，單擊“Internet 選項”。單擊“安全”、“隱私”和“高級”選項卡，然后驗證是否已將需要的配置應用于計算機上的 Internet Explorer，然后單擊“確定”以關閉“Internet 屬性”。注：如果配置設置未應用，您必須排除組策略應用程序的故障。 要排除組策略應用程序的故障，請參閱下面的資源：Microsoft 下載中心網站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Internet 通信管理設置Windows XP SP2 提供了新的組策略設

55、置，主要設計用于控制 Windows XP SP2 中的組件與 Internet 進行通信的方式。 組策略設置允許您管理以下功能：聯機訂購圖片打印使用聯機存儲空間發布到 Web在 Windows XP SP2 中，用戶可以單擊“Windows 資源管理器”中的任務以聯機訂購圖片打印（“聯機打印向導”）、注冊獲得提供聯機存儲空間的服務（“添加網上鄰居向導”）或發布可以在瀏覽器中查看的文件（“Web 發布向導”），還可以執行其它任務。 任務或向導將從兩個來源獲得這些服務提供商的名稱和 URL：一個本地存儲的列表（在注冊表中）和一個存儲在 Microsoft 網站上的列表。 默認情況下，除了顯示注冊

56、表中列出的提供商外，Windows 還會顯示 Microsoft Web 站點列表中的提供商。您可以使用以下組策略設置來控制這些向導和任務的工作方式，并控制這些組件與 Internet 進行通信的方式：關閉文件和文件夾的“發布到 Web”任務。 此策略設置將指定需要發布項目到 Web 的任務是否可以通過 Windows 文件夾中的“文件和文件夾任務”來使用。 任務包括將此文件發布到 Web、將此文件夾發布到 Web 以及將相關項目發布到 Web。 關閉“ Web 發布”和“聯機訂購向導”的 Internet 下載。 此策略設置將指定 Windows 是否應該為Web 發布向導”、“添加網上鄰居

57、向導”和“聯機打印向導”下載提供商的列表。 默認情況下，除了顯示注冊表中指定的提供商外，Windows 還會顯示從 Windows 網站中下載的提供商。關閉“訂購照片”圖片任務。 此策略設置將指定“聯機訂購照片”任務是否可以通過 Windows 文件夾中的“圖片任務”來使用。 此設置將禁用“聯機照片訂購向導”。這些策略設置可用于用戶和計算機配置。有關如何控制使用“添加網上鄰居向導”和“Web 發布向導”的更多信息，請參閱下面的資源：Microsoft TechNet 網站 /fwlink/?LinkId=35489 上的“Using Windows XP Professional with S

58、ervice Pack 2 in a Managed Environment: Controlling Communication with the Internet”執行此任務的要求憑據：如果 Windows XP SP2 計算機是活動目錄域客戶端，則必須作為域管理員安全組成員登錄，并打開“組策略對象”。工具：已安裝組策略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。配置 Internet 通信管理設置在 Windows XP SP2 桌面上單擊“開始”，單擊“運行”，鍵入 mmc，然后單擊“確定”。在“文件”菜單上，單擊“添加/刪除管理單元”。 在“獨立”選項卡上，單擊

59、“添加”。 在“可用的獨立管理單元”列表中找到并單擊“組策略對象編輯器”，然后單擊“添加”。 在“選擇組策略對象”對話框中，單擊“瀏覽”。選擇您要配置的組策略對象，單擊“確定”，然后單擊“完成”以退出組策略向導。單擊“關閉”以退出“添加獨立管理單元”對話框，然后單擊“確定”以退出“添加/刪除管理單元”對話框并返回管理控制臺。在控制臺樹中打開“計算機配置”、“管理模板”、“系統”，然后打開“Internet 通信管理”。圖 22 Internet 通信管理設置將“限制 Internet 通信”設置配置為“已禁用”以禁用 Internet 通信設置下的所有設置，或者配置為“已啟用”以啟用 Inte

60、rnet 通信設置下的所有設置。要單獨配置每項設置，請展開“Internet 通信設置”，然后按照表 6 配置設置。表 6 推薦的 Internet 通信設置設置描述推薦設置關閉文件和文件夾的“發布到 Web”任務指定是 Windows 文件夾中的“文件和文件夾任務”是否包含“將這個文件發布到 Web”、“將這個文件夾發布到 Web”和“將選擇的項目發布到 Web”任務已啟用關閉“Web 發布”和“聯機訂購向導”的 Internet 下載控制 Windows 是否應該為 Web 發布和聯機訂購向導下載提供商的列表已啟用關閉 Windows Messenger 客戶體驗改善活動指定 Window