Windows Vista 安全指南

项目
03/24/2009

概述

发布日期： 2007年02月02日

欢迎使用 Windows Vista 安全指南。本指南提供帮助您使用 Active Directory® 加强域中运行 Windows Vista™ 的桌面计算机和便携式计算机安全的说明和建议。

除了规定的解决方案之外，Windows Vista 安全指南还包括工具、分步过程、建议和流程，利用它们可以大大简化部署过程。本指南不仅向您提供有效的安全设置指导，还提供一种可复制的方法，方便您将指导应用到测试和生产环境中。

Windows Vista 安全指南为您提供的主要工具就是 GPOAccelerator.wsf 脚本。此工具使您能够运行脚本，自动创建您应用该安全指导所需的组策略对象 (GPO)。本指南还附带有 Windows Vista Security Guide Settings.xls 文件，其中提供有您可以用来比较设置值的其他资源。

经过 Microsoft 工程小组、顾问、支持工程师、合作伙伴和客户的审查和批准，本说明性指导：

经过证明。基于现场体验。
具有权威性。提供最佳可用建议。
准确。经过技术验证和测试。
可操作。提供迈向成功的步骤。
具有相关性。针对现实世界的安全考虑。

顾问和系统工程师为 Windows Vista、Microsoft® Windows® XP Professional、Windows Server® 2003 和 Windows 2000 在各种环境中的实施制定了最佳做法。如果你要针对您的环境测试 Windows Vista，Windows Vista 准备工作评估 (VRA) 帮助中等市场规模的组织确定其计算机运行 Windows Vista 操作系统的准备情况。 VRA 快速清点计算机，确定其支持的 Windows Vista 体验，然后根据需要建议特定的硬件更新。

Microsoft 已发布了 Windows XP with Service Pack 1 (SP1) 和 Windows XP with SP2 的指南。本指南参考了 Windows Vista 中的重要安全增强功能。本指南经过开发和测试，适合使用 Active Directory 加入到域的 Windows Vista 计算机以及独立计算机。

注意除非另行规定，否则本指南中对 Windows XP 的所有引用都是指 Windows XP with SP2。

本页内容

摘要
本指南的目标读者
章节摘要
指导和工具
样式约定
更多信息
鸣谢

摘要

不管您的环境如何，我们都强烈建议您重视安全问题。许多组织都低估了信息技术 (IT) 的价值。如果对环境中的服务器的攻击很严重，则会对整个组织造成极大危害。例如，如果恶意软件感染了网络上客户端计算机，您的组织可能丢失专有数据，要承担巨大开销才能将这些数据恢复到安全状态。当网站因受到攻击而不可用时，还可能导致损失大量的收入或客户信任度。

通过执行安全漏洞、风险和暴露分析，您可以了解到，网络环境中所有计算机系统都会面临在安全性与功能性之间取舍权衡的问题。本指南对 Windows Vista 中的主要安全对策，其解决的漏洞以及与每个对策实施相关的潜在负面影响（如果有的话）进行了说明。

本指南建立在 Windows XP 安全指南基础上，提供有关如何强化计算机运行 Windows XP with SP2 的计算机的特定建议。Windows Vista 安全指南对于强化以下两种环境下使用特定安全基准的计算机提供了建议：

企业端 (EC)。此环境中的客户端计算机位于使用 Active Directory 的域中，只需要与运行 Windows Server 2003 的系统通信。此环境中的客户端计算机可混合有：运行 Windows Vista 的计算机以及运行 Windows XP 计算机。有关如何测试和部署 EC 环境的说明，请参阅第 1 章“实现安全基准”。有关本环境所用基准安全设置的信息，请参阅附录 A“安全组策略设置”。
专用安全 – 限制功能 (SSLF)。由于在此环境中对安全性非常关注，因此功能上和管理上的明显损失都在可接受之列。例如，军事和情报机构的计算机在此类环境中运行。在此环境中的客户端计算机仅运行 Windows Vista。有关如何测试和部署 SSLF 环境的说明，请参阅第 5 章“专用安全 - 限制功能”。有关本环境所用 SSLF 设置的信息，请参阅附录 A“安全组策略设置”。

警告：

SSLF 安全设置不适合大多数企业组织。这些设置的配置针对的对象是安全比功能更重要的组织。

指南的内容结构有利于您轻松访问您需要的信息。指南及其关联的工具可帮助您：

在您的网络环境中部署和启用任何安全基准。
针对常见的安全情况确定并使用 Windows Vista 安全功能。
确定安全基准中各个设置的用途，了解其重要性。

尽管本指南专为企业客户设计，有许多指导也适合任意规模的组织。为了从本资料中获取最多有价值的信息，需要阅读整个指南。但是，您也可以有针对地阅读个别部分，达到特定的目的。本概述的“章节摘要”部分简要介绍了指南的内容。有关与 Windows XP 相关的安全主题和设置的详细信息，请参阅 Windows XP 安全指南以及配套指南“威胁和对策”。

本指南的目标读者

Windows Vista 安全指南主要适合在企业环境中为桌面和便携式计算机规划 Windows Vista 应用程序或基础结构开发和部署的 IT 通才、安全专家、网络设计师以及其他 IT 专业人士和顾问。本指南不适合家庭用户。本指南适合从事下列工作的人员：

IT 通才。此角色的用户处理组织各个层面的安全问题，这类组织通常有 50 到 500 台客户端计算机。 IT 通才侧重于快速简便地确保其管理的计算机的安全。
安全专家。此角色的用户专注于如何在组织内跨计算平台提供安全性。安全专家需要可靠的参考指南，解决组织各个级别的安全需求，而且提供切实可行的方法帮助实施安全对策。安全专家首先确定要使用的安全功能和设置，然后提供建议，帮助客户在高风险环境中最有效地使用这些功能和设置。
IT 操作、 帮助台 和 部署人员。从事 IT 操作的用户侧重于部署过程中的安全集成和更改控制，而部署人员则注重快速管理安全更新。这些角色的人员还将诊断与应用程序相关的安全问题，涉及如何安装、配置以及改进软件的可用性和可管理性。他们监控这些类型的问题，定义可测量的安全改进，最小化对关键业务应用程序的影响。
网络设计师和规划人员。这些角色的用户主要从事组织中计算机的网络架构工作。
顾问。此角色的用户在具有 50 到 5,000 或更多台客户端计算机的组织中工作。 IT 顾问知道许多种安全情形，涵盖组织的所有业务级别。来自 Microsoft 服务部门和合作伙伴的 IT 顾问将充分利用知识传送工具，为企业客户和合作伙伴服务。
业务分析师和业务决策者 (BDM)。这些角色的用户具有重要的业务目标和需求，需要 IT 桌面计算机和便携式计算机支持。

注意要应用本指南中的说明性指导，用户至少必须阅读并完成第 1 章“实现安全基准”中用于建立 EC 环境的步骤。

技能和准备

本指南的目标读者，即开发、部署和确保企业组织中运行 Windows Vista 的计算机安全的人员，必须具备以下知识和技能：

Windows Server 2003 MCSE 或更高认证，拥有两年或两年以上安全相关工作经验或同等知识。
深入了解组织的域和 Active Directory 环境。
具备组策略管理控制台 (GPMC) 的使用经验。
具备使用 GPMC 管理组策略的经验，能为管理所有组策略相关的任务提供单一解决方案。
具备使用管理工具的经验，包括 Microsoft 管理控制台 (MMC)、Gpupdate 和 Gpresult。
具备在企业环境中部署应用程序和客户端计算机的经验。

指南用途

本指南主要用途是让您能够：

利用该解决方案指导，使用组策略有效创建并应用经过测试的安全基准配置。
了解本指南包括的基准配置中的安全设置建议的理由及其含义。
确定并考虑常见的安全情况，以及如何利用 Windows Vista 中的特定安全功能帮助您在环境中处理它们。

本指南的设计旨在让您能够只利用其中的相关部分来解决组织的需求。但是，读者如果通篇阅读该指南，必将获得最大的收益。

指南范围

本指南重点介绍如何为运行 Windows Vista 的桌面计算机和便携式计算机创建并维护一个安全的环境。指南阐述如何确保两个不同环境安全的不同阶段，以及针对个环境中部署的桌面计算机和便携式计算机的每项安全设置的内容。指南还将提供说明性信息和安全建议。

EC 环境中的客户端计算机可运行 Windows XP 或 Windows Vista。但是，在管理网络上这些客户端计算机的计算机必须运行 Windows Server 2003 R2 或 Windows Server 2003 with SP1。SSLF 环境中的客户端计算机只能运行 Windows Vista。

本指南只提供在推荐的操作系统中可用的安全设置。有关 Windows Vista 中所有安全设置的详细讨论，请参阅配套指南“威胁和对策”。

章节摘要

Windows Vista 安全指南包括五个章节、一个附录，您可以用附录引用设置描述、注意事项和值。本指南附带的 Windows Vista Security Guide Settings.xls 文件提供了您可以用来比较设置值的其他资源。下图显示的指南结构告诉您如何最优地实施和部署说明性指导。

概述

本概述介绍指南用途和范围，定义指南的读者，简要说明指南的内容结构，帮助您查找与自己相关的信息。它还介绍了指南附带的工具和模板，用户利用指导须满足的先决条件。以下是指南中每个章节和附录的简要说明。

第 1 章：实施安全基准

本章介绍创建和部署安全基准给组织带来的优势。内容包括实施 EC 基准设置和安全指导的说明和过程。

为此，该章阐述了如何结合 GPMC 使用 GPOAccelerator.wsf 脚本创建、测试和部署组织单位 (OU) 及 GPO 来建立此环境。本指南还附带有 Windows Vista Security Guide Settings.xls 文件，其中提供有您可以用来比较设置值的其他资源。

第 2 章：抵御恶意软件

本章提供有关利用 Windows Vista 中的新安全功能和增强功能保护客户端计算机和企业资产免受恶意软件（包括病毒、蠕虫和特洛伊木马）攻击的建议。它还包括有关如何在操作系统最有效使用下列技术的信息：

用户帐户控制 (UAC)
Windows Defender
Windows 防火墙
Windows 安全中心
恶意软件删除工具
软件限制策略

此外，本章还包括下列有关 Internet Explorer 7 安全技术的信息：

Internet Explorer 保护模式
ActiveX 选择加入
跨域脚本攻击保护
安全状态栏
仿冒网站筛选
其他安全功能

第 3 章：保护敏感数据

本章提供有关如何在 Windows Vista 中使用加密和访问控制技术保护数据的建议和最佳做法。这些技术与移动计算环境尤其相关，因为运行 Windows Vista 的设备在这种环境下丢失或被盗的可能性相对较高。

本章内容包括有关在 Windows Vista 中如何最有效地利用下列技术的信息：

BitLocker™ 驱动器加密
加密文件系统 (EFS)
权限管理服务 (RMS)
设备控制

第 4 章：应用程序兼容性

本章提供有关如何在您的环境中使用 Windows Vista 中的新安全功能和增强安全功能又不会影响现有应用程序功能的建议。本章内容包括：

概述潜在的应用程序兼容性问题。
提供两个简单过程，帮助您测试应用程序与 Windows Vista 的兼容性。
包括潜在缓解策略、配置和说明。
推荐其他资源，帮助您进一步确定应用程序与 Windows Vista 的兼容性。

第 5 章：专用安全 – 限制功能 (SSLF)

本章介绍 SSLF 环境，阐述 SSLF 与 EC 环境之间的广泛差异。内容包括实施 SSLF 基准设置和安全指导的说明和过程。本章阐述了如何通过 GPMC 使用脚本创建、测试和部署 OU 及 GPO 来建立此环境。

bb629420.warning(zh-cn,MSDN.10).gif 警告：

参照本章中的指导，您可以建议 SSLF 环境，它与第 1 章“实现安全基准”中介绍的 EC 环境截然不同。本章中的指导只适合高安全环境，并不是第 1 章中指导的补充内容。

附录 A：安全组策略设置

附录中的描述和表格详细介绍了指南中 EC 和 SSLF 安全基准中的规定设置。附录介绍每项设置以及设置配置或设置值的原因。附录还指出了 Windows Vista 和 Windows XP 之间的设置差异。

指导和工具

此解决方案加速器包括几个文件（如 Windows Vista Security Guide.doc、Appendix A of the Windows Vista Security Guide.doc、Windows Vista Security Guide Settings.xls）和 GPOAccelerator 工具，帮助您轻松实施指导。从 Microsoft 下载中心下载 Windows Vista 安全指南解决方案加速器之后，使用 Microsoft Windows Installer (.msi) 文件在计算机上您选择的位置安装这些资源。

注意当您启动 Windows Vista 安全指南安装时，会默认选择安装 GPOAccelerator 工具及其附带的其他指南。使用此工具需要管理特权。解决方案加速器的默认安装位置是您的 Documents 文件夹。安装将为指南生成一个快捷方式，可用来打开 Windows Vista Security Guide 文件夹。

您可以使用组策略管理控制台 (GPMC) 将工具和模板应用到指南定义的任何安全基准。您可以按照“实现安全基准”和“专用安全 - 限制功能”两章描述过程来完成这些任务。

样式约定

本指南使用以下样式约定。

表 1.1 样式约定

元素	含义
粗体	表示完全按显示键入的字符，包括命令、交换机和文件名。用户界面元素也以粗体显示。
斜体	书籍和其他大量出版物的标题以斜体显示。
<斜体>	以斜体和尖括号设置的占位符（例如<filename>）表示变量。
Monospace 字体	定义代码和脚本示例。
注意	提醒读者阅读补充信息。
重要	重要提示提供完成任务不可缺少的信息。
警告：	提示读者注意重要补充信息。
‡	此符号表示特定组策略设置的修改或建议。
§	此符号表示 Windows Vista 中的新组策略设置。

鸣谢

“解决方案加速器 – 安全和相容性 (SASC)”小组在此对 Windows Vista 安全指南的制作小组表示衷心感谢。以下列出的人员或直接负责编写、开发和测试此解决方案，或对此解决方案的编写、开发和测试提供了极大帮助。

开发小组

作者及专家

José Maldonado

Mike Danseglio

Michael Tan

Richard Harrison, Content Master Ltd

David Coombes, Content Master Ltd

Jim Captainino, Content Master Ltd

Richard Hicks, QinetiQ

测试人员

Gaurav Bora

Vikrant Minhas, Infosys Technologies Ltd

Sumit Parikh, Infosys Technologies Ltd

Dharani Mohanam, Infosys Technologies Ltd

Swapna Jagannathan, Infosys Technologies Ltd

Prashant Japkar, Infosys Technologies Ltd

编辑

John Cobb, Wadeware LLC

Jennifer Kerns, Wadeware LLC

Steve Wacker, Wadeware LLC

项目经理

Kelly Hengesteg

Audrey Centola, Volt Information Sciences

Neil Bufton, Content Master Ltd

产品经理

Jim Stewart

Alain Meeus

Tony Bailey

Kevin Leo, Excell Data Corporation

发行经理

Karina Larson

Gareth Jones

Contributors and Reviewers

Microsoft

Charles Denny, Ross Carter,

Derick Campbell, Chase Carpenter

Karl Grunwald, Mike Smith-Lonergan

Don Armstrong, Bob Drake

Eric Fitzgerald, Emily Hill

George Roussos, David Abzarian

Darren Canavor, Nils Dussart

Peter Waxman, Russ Humphries

Sarah Wahlert, Tariq Sharif

Ned Pyle, Bomani Siwatu

Kiyoshi Watanabe, Eric Lawrence

David Abzarian, Chas Jeffries

Vijay Bharadwaj, Marc Silbey

Sean Lyndersay, Chris Corio

Matt Clapham, Tom Daemen

Sanjay Pandit, Jeff Williams

Alex Heaton, Mike Chan

Bill Sisk, Jason Joyce

外部人员

Mehul Mediwala, Infosys Technologies Ltd

注意
应 Microsoft 的请求，国家安全局信息保证董事会参与了本 Microsoft 安全指南的审校，并且提供的审校意见已修改到发布的版本中
美国商务部国家标准与技术研究所 (NIST) 也参与了本 Microsoft 安全指南的审校，并且提供的审校意见已修改到发布的版本中。

下载

获取《Windows Vista 安全指南》

更新通知

注册以了解有关更新和新版本的信息

反馈

向我们发送您的意见或建议

Windows Vista 安全指南

概述

本页内容

摘要

本指南的目标读者

技能和准备

指南用途

指南范围

章节摘要

概述

第 1 章： 实施安全基准

第 2 章： 抵御恶意软件

第 3 章： 保护敏感数据

第 4 章： 应用程序兼容性

第 5 章： 专用安全 – 限制功能 (SSLF)

附录 A： 安全组策略设置