更新日期： 2004年04月16日

本指南旨在为当前版本的 Microsoft® Windows® 操作系统中的许多安全设置提供参考。它是 Microsoft 发布的其他两份指南的附加指南：“Windows Server 2003 Security Guide”（网址为 http://go.microsoft.com/fwlink/?LinkId=14845（英文））和“Windows XP Security Guide”（英文）。本指南中的许多对策不是在特定计算机角色的管理下实现的，或者在某些情况下根本不适用于任何角色。做出这些决策是为了确保兼容性、可用性、可管理性、有效性或性能。以前虽曾多次说过，但仍有必要提醒大家，安全和功能是一个统一体的两个极端：安全级别越大，功能级别则越低，反之亦然。此规则也有一些例外，某些安全措施实际上有助于提高功能，但这种说法在很大程度上还是正确的。

本指南中的模块大致按照组策略编辑用户界面中显示的主要部分进行组织。每个模块都首先简要描述该模块的内容，然后列出各个子部分的标题，其中每个子部分对应一个或一组设置，并在下文所述的 Excel 工作簿中列出。每个子部分都对该对策的功能进行了简要描述。在对应于每个设置的子部分内，还有其他三个子部分：漏洞、对策和潜在影响。“漏洞”子部分解释在对策配置不够安全时攻击者可能如何利用该对策。“对策”子部分解释如何实现对策。“潜在影响”子部分解释实现对策可能带来的不利后果。

例如，模块域级别策略的开头是下面几个部分：

• 帐户策略

  • 强制密码历史

    • 漏洞

    • 对策

    • 潜在影响

  • 密码最长使用期限

    • 漏洞

    • 对策

    • 潜在影响

这种模式在本指南中是重复出现的。密切相关的设置将放在一个部分中进行介绍。例如，在模块安全选项中，下面四个设置被全部放入“Microsoft 网络客户端和服务器：数字签名的通信（四个相关设置）”部分中：

• Microsoft 网络客户端: 数字签名的客户端通信（总是）

• Microsoft 网络服务器: 数字签名的客户端通信（总是）

• Microsoft 网络客户端: 数字签名的客户端通信（若服务器同意）

• Microsoft 网络服务器: 数字签名的客户端通信（若客户端同意）

本指南包括在组策略中可用的许多设置，但并非全部设置。这是因为许多组策略设置旨在帮助组织来管理环境，而不是与安全性直接相关。本指南只介绍 Microsoft Windows Server™ 2003 和 Windows XP 操作系统中可以帮助组织确保企业安全的设置和功能。

本指南提供的信息应该可以帮助您和您的组织决定需要实现哪些特定措施以及如何区分这些措施的优先顺序。

随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。请单击此处下载。 第一个工作表“Windows Server 2003 Defaults”详细介绍了 Windows Server 2003 中可用的全部默认组策略设置。此工作表具有下面几列。

• H 列“Policy Setting Name in User Interface”是在 Windows Server 2003 组策略编辑器管理单元中显示的设置名称。

• J 列“Default Domain Policy”是该设置在内置的默认域策略中的值，此域策略是在新的 Microsoft Active Directory® 域中升级第一个域控制器时创建的。

• K 列“Default Domain Controller Policy”是该设置在内置的默认域控制器策略中的值，此域策略是在新的 Microsoft Active Directory 域中升级第一个域控制器时创建的。

• L 列“Stand-Alone Server Default Settings”是该设置在独立的 Windows Server 2003 中的默认值。

• M 列“Domain Controller Effective Default Settings”显示仍然使用默认设置时域控制器的有效值。

• N 列“Member Server Effective Default Settings”显示仍然使用默认设置时成员服务器的有效值。

“Effective Default Setting”表示在未更改任何安全设置时，系统上有效的实际设置。组策略引擎在计算机启动过程中处理组策略时确定系统上的有效设置。该引擎给出了设置的优先级，如“Windows Server 2003 安全指南”中模块配置 Windows Server 2003 环境中的域基础结构的“组策略应用”部分所示。

为了提高工作簿的可读性，添加了几列来说明组策略编辑器中对象的层次结构。A 列至 G 列用于表示层次结构中的每一层。例如，“Computer Configuration”显示在 A 列中，而“Security Settings”显示在 C 列中。另外，还插入了 I 列来提高可读性。

第二个工作表“Windows 2003 System Services”列出了 Windows Server 2003 中可用的全部服务。此工作表具有下面几列。

• A 列“Full Service Name”按服务在图形管理工具（如服务管理器 Microsoft 管理控制台 (MMC) 扩展）中显示的名称列出这些服务。

• B 列“Service Name”按服务的简称（这是许多命令行工具使用的格式）列出这些服务。

• C 列“DC Startup Type”显示 Windows Server 2003 域控制器上的服务的默认启动状态。

• D 列“Member Server Startup Type”显示 Windows Server 2003 计算机（该计算机属于基于 Active Directory 的域）上的服务的默认启动状态。

• E 列“Stand-Alone Server Startup Type”显示 Windows Server 2003 独立服务器上的服务的默认启动状态。

• H 列“Logon As”显示在默认配置中服务用于登录的帐户。

• 还有称为“Windows XP Defaults”和“Windows XP System Services”的工作表，它们的格式类似于前两个工作表，其中包含有关 Windows XP 中的安全设置和服务的信息。