匯出 (0) 列印
全部展開

Windows XP 用戶端的安全性設定

Overview

發佈日期: 2003 年 5 月 22 日|更新日期: 2006 年 4 月 13 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
安全性範本
帳戶原則設定
本機原則設定
稽核原則設定
使用者權限指派設定
安全性選項設定
事件日誌安全性設定
受限群組
系統服務
保障檔案系統安全
總結
其他資訊

本單元內容

本單元將詳細探討在 Microsoft® Windows® Server™ 2003 網域中,經由「群組原則」設定的主要安全性設定。實作指定的設定將可確保您組織中執行 Microsoft WindowsXP Professional 的桌上型和膝上型電腦的安全。並未針對 Windows XP 中所有可用的設定提供指引。

目標

透過此單元即可:

  • 決定及設定適當的「稽核原則」設定,來記錄環境裡的系統活動。

  • 決定及設定適當的「使用者權限指派」設定,來保障使用者環境的安全。

  • 使用「安全性選項」設定來控制使用者登入環境。

  • 使用「安全性選項」設定來設定裝置的預設行為和存取性。

  • 使用「安全性選項」設定來重新命名機密帳戶。

  • 使用「安全性選項」設定來保障用戶端和伺服器端之間的通訊安全。

  • 使用「安全性選項」設定來控制網路存取的層級。

  • 使用「安全性選項」設定來控制「修復主控台」的行為。

  • 使用「安全性選項」設定來控制「系統關機」的行為。

  • 決定及設定「事件日誌」的大小、保留和存取性的適當設定。

  • 使用「限制群組」設定來控制機密群組的成員資格。

  • 決定及設定「系統服務」行為的適當設定。

  • 使用適當的設定來保障「檔案系統」的安全。


適用於

本單元適用於下列產品及技術:

  • Windows Server 2003 網域中的 Windows XP Professional 用戶端


如何使用本單元

本單元針對保障在 Windows Server 2003 網域中的 Windows XP Professional「企業用戶端」或「高安全性用戶端」的安全所需的各種「群組原則」設定,提供詳盡的分析。

若要充分瞭解此單元:


安全性範本

<介紹 Windows XP 安全性指南>單元中所述,本指南是專門針對其中所定義的「企業用戶端」環境及「高安全性」環境。在某些情況下,本指南會分別針對膝上型電腦和桌上型電腦建議不同的設定,因為可攜式電腦具有行動力,而且不一定都是經由公司網路連線到您環境中的網域控制站。另外也會假設膝上型電腦使用者偶爾會在正常上班時間之外 (沒有現場技術支援) 的時間工作。基於這些理由,要求連線到網域控制站或支配登入時數等設定對膝上型用戶端來說不太一樣。請記住本單元中的指引包括的建議純粹是要讓您針對您的商業需要進行調整。

下表定義了此指南提供的基礎結構 (.inf) 檔。檔案中包含了針對本指南定義的兩種環境提供的所有基礎安全性設定規則。

[表 1] 基礎安全性範本

說明

企業用戶端

高安全性

桌上型電腦的基礎安全性範本

企業用戶端 -_ desktop.inf

高安全性 - desktop.inf

膝上型電腦的基礎安全性範本

企業用戶端 - laptop.inf

高安全性 - laptop.inf


如需本單元中所討論設定的詳細資訊,請參閱同系列指南 《威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定》 .

帳戶原則設定

本單元未涵蓋「帳戶原則」設定。這些設定會在<設定 Active Directory 網域基礎結構>單元中加以探討。

本機原則設定

「本機原則」設定可在任何執行 Windows XP Professional 的電腦上,使用「本機安全性原則主控台」,或透過 Microsoft Active Directory® 網域架構的「群組原則物件 (GPO)」,在本機進行設定。「本機原則」設定包括「稽核原則」、「使用者權限指派」,以及「安全性選項」。

稽核原則設定

「稽核原則」會決定要向系統管理員報告的安全性事件,以記錄在事件類別中指定的使用者或系統活動。系統管理員可監視安全性相關的活動,例如誰存取了物件、使用者何時登入或登出電腦,或「稽核原則」設定是否有變更等。基於所有這些理由,建議您為系統管理員安排一套「稽核原則」,以便在您的環境中實作。

在實作「稽核原則」之前,您必須決定您的公司環境中需要稽核哪些事件類別。您在事件類別內選擇的稽核設定會定義您的公司稽核原則。透過對特定事件類別來定義「稽核原則」設定,系統管理員就能建立一套適合您組織安全性需要的「稽核原則」。

如果沒有設定稽核設定,就很難,甚至不可能確定在安全性事件中發生了什麼事。不過,如果有設定稽核而有過多的授權活動產生事件的話,安全性事件日誌也會充滿無用的資料。以下建議是設計用來協助在決定要監視什麼內容,以及如何為您的組織收集相關稽核資料方面,提供制衡的方法。

「稽核原則」設定可在 Windows XP 的下列位置,利用「群組原則物件編輯器」設定:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy

[表 2] 保障 Windows XP 電腦安全的稽核原則設定

UI 中的設定名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

稽核帳戶登入事件

成功,失敗

成功,失敗

成功,失敗

成功,失敗

稽核帳戶管理

成功,失敗

成功,失敗

成功,失敗

成功,失敗

稽核目錄服務存取

無稽核

無稽核

無稽核

無稽核

稽核登入事件

成功
失敗

成功,失敗

成功,失敗

成功,失敗

稽核物件存取

成功
失敗

成功,失敗

成功,失敗

成功,失敗

稽核原則變更

成功

成功

成功

成功

稽核特殊權限使用

無稽核

無稽核

失敗

失敗

稽核程序追蹤

無稽核

無稽核

無稽核

無稽核

稽核系統事件

成功

成功

成功,失敗

成功,失敗

稽核帳戶登入事件

[表 3] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功,失敗

成功,失敗

成功,失敗

成功,失敗


[稽核帳戶登入事件] 設定可用來追蹤從本機主控台、網路,或利用網域登入憑證的服務帳戶的登入嘗試。若要準確地確定使用者是否已順利登入系統,則必須啟用此稽核設定。

啟用此「稽核原則」設定可讓系統管理員為您的組織追蹤,您環境中執行 Windows XP 的電腦存取正在存取網路上的哪些系統。基於此理由,[稽核帳戶登入事件] 設定在本指南中定義的兩種環境裡,均設定為 [成功] 和 [失敗]。

稽核帳戶管理

[表 4] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功,失敗

成功,失敗

成功,失敗

成功,失敗


[稽核帳戶管理] 設定可用來追蹤對建立新使用者或群組、重新命名使用者或群組、啟用或停用使用者帳戶、變更帳戶密碼,以及啟用「帳戶管理」事件的稽核等的嘗試。

啟用此「稽核原則」設定可讓系統管理員追蹤事件,以偵測使用者和群組帳戶的建立是惡意、意外還是已經過授權的。基於這些理由,[稽核帳戶管理] 設定在本指南中定義的兩種環境裡,均設定為 [成功] 和 [失敗]。

稽核目錄服務存取

[表 5] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無稽核

無稽核

無稽核

無稽核


[稽核目錄服務存取] 設定只能在網域控制站上進行稽核的時候啟用。基於此理由,此設定並未在工作站層級定義。

此設定並不適用於執行 Windows XP Professional 的電腦。基於此理由,請確定 [稽核目錄服務存取] 設定在本指南中定義的兩種環境裡,均設定為 [無稽核]。

稽核登入事件

[表 6] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功,失敗

成功,失敗

成功,失敗

成功,失敗


[稽核登入事件] 設定可用來追蹤從本機主控台、網路,以及利用本機電腦登入憑證的批次或服務帳戶,成功和失敗的登入嘗試。

啟用此「稽核原則」設定可讓系統管理員追蹤這些事件,並能提供誰順利及不順利登入組織內執行 Windows XP 的電腦的記錄。基於這些理由,[稽核登入事件] 設定在本指南中定義的兩種環境裡,均設定為 [成功] 和 [失敗]。

稽核物件存取

[表 7] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功,失敗

成功,失敗

成功,失敗

成功,失敗


使用者對 Windows XP 中特定檔案和資料夾的存取是可以追蹤的。[稽核物件存取] 設定可讓您追蹤經由檔案、資料夾、印表機、登錄機碼特定的物件,以及其他可設定稽核的物件,對機密資料的存取動作。若要追蹤對這些物件的存取,您首先必須存取每一個檔案或資料夾,接著啟用該物件的安全性內容才能稽核使用者的存取。然後您必須啟用 [稽核物件存取] 設定,以傳回成功及失敗的記錄。

啟用此「稽核原則」設定會根據為特定物件定義的稽核規則來記錄事件。為此「稽核原則」選取 [失敗] 選項可確保您能夠監視入侵者對機密資料的存取嘗試。滿足您對此稽核功能的稽核需求之特定檔案和資料夾,接著會在「安全性事件日誌」中產生一筆存取事件的記錄。

基於這些理由,[稽核物件存取] 設定在本指南中定義的兩種環境裡,均設定為 [成功] 和 [失敗]。

下列程序將詳述如何在檔案或資料夾上手動設定稽核規則,接著在指定的檔案或資料夾中測試每一個物件的每一項稽核規則。此程序可藉由指令碼處理而自動化。

  • 若要定義檔案或資料夾的稽核規則

    1. 利用 Windows 檔案總管找出該檔案或資料夾,並加以選取。

    2. 按一下 [檔案] 功能表,並選取 [內容]。

    3. 按一下 [安全性] 索引標籤,再按一下 [進階] 按鈕。

    4. 按一下 [稽核] 索引標籤。

    5. 按一下 [新增] 按鈕,接著就會出現 [選取使用者、電腦或群組] 對話方塊。

    6. 按一下 [物件類型...] 按鈕,並在 [物件類型] 對話方塊中,選取您想要尋找的物件類型。

      注意:預設會選取 [使用者]、[群組] 和 [內建安全性主體] 等物件類型。

    7. 按一下 [位置...] 按鈕,並在 [位置:] 對話方塊中,選取您的網域或本機電腦。

    8. 在 [選擇使用者或群組] 對話方塊中,鍵入您想要稽核的群組或使用者名稱。接著,在 [輸入物件名稱來選取] 對話方塊中,鍵入「經過驗證的使用者」以稽核所有已驗證使用者的存取,然後按一下 [確定]。接著就會開啟 [稽核項目] 對話方塊。

    9. 使用 [稽核項目] 對話方塊來決定您想要在檔案或資料夾上稽核的存取類型。

      注意:請記住每一次存取都可能在「事件日誌」中產生多個事件,進而導致記錄檔迅速增長。

    10. 在 [稽核項目] 對話方塊中的 [列出資料夾 / 讀取資料] 旁邊,選取 [成功] 及 [失敗],再按一下 [確定]。

    11. 您已啟用的稽核項目會出現在 [進階安全性設定] 對話方塊的 [稽核] 索引標籤下方。

    12. 按一下 [確定],關閉 [內容] 對話方塊。

請使用下列程序來測試您設定好的每個稽核規則。

  • 若要測試檔案或資料夾的稽核規則

    1. 開啟該檔案或資料夾。

    2. 關閉該檔案或資料夾。

    3. 啟動 [事件檢視器]。
      幾個含 [事件識別碼 560] 的「物件存取」事件,就會出現在 [安全性事件日誌] 中。

    4. 依需要按兩下事件來檢視相關詳細資訊。

稽核原則變更

[表 8] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功

成功

成功

成功


[稽核原則變更] 設定可讓您追蹤對「使用者權限」、「稽核原則」,或「信任原則」的變更。為此設定所設定的值可確保您能夠驗證對「群組原則」的授權變更,並偵測任何未授權變更。啟用此設定會促使對「使用者權限」、「稽核原則」或「信任原則」的變更,以事件的形式記錄在「安全性事件日誌」中。

基於這些理由,[稽核原則變更] 設定在本指南中定義的兩種環境裡,均設定為 [成功]。包括 [失敗] 的設定值將無法在「安全性事件日誌」中提供有意義的存取資訊。請參閱本單元的<其他資訊>一節所參照的 Microsoft Windows Security Resource Kit,以取得額外資訊。

稽核特殊權限使用

[表 9] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無稽核

無稽核

失敗

失敗


[稽核特殊權限使用] 設定可讓您稽核要求使用者帳戶使用已獲得指派之額外權限的任何作業。啟用此設定會在使用者嘗試略過周遊檢查、偵錯程式、建立權杖 (Token) 物件、取代處理序層級權杖或產生安全性稽核時,致使稽核事件記錄在「安全性事件日誌」中。您還可以在使用者或帳戶嘗試使用「備份」或「還原」使用者權限來備份或還原檔案或目錄時,使用此設定來產生事件。不過,這些稽核事件只會在要稽核備份和還原嘗試的安全性選項啟用的情況下才會觸發。

所有使用者帳戶都會經常使用到特殊權限。設定此設定來稽核成功及失敗事件將導致「安全性事件日誌」中快速累積許多事件記錄。此容量會反映一般使用者的行為,而將這些事件加以分類等於是詳細稽核的額外耗用成本。

並未針對「企業用戶端」環境提供有關此設定的指引,因為在此安全性環境中的大部份使用者權限並未訂定「群組原則」。如果您的組織將使用者權限指派給使用者帳戶或群組,請考慮啟用此設定來稽核組織當中提升權限的使用。此設定在本指南中定義的「高安全性」環境內是啟用的,因為此環境訂定了大多數在 Windows XP 提供的使用者權限。

基於這些理由,[稽核特殊權限使用] 設定在「企業用戶端」環境中設定為 [無稽核]。然而,此設定在「高安全性」環境中是設定為 [失敗],以稽核所有使用額外權限的失敗嘗試。

稽核程序追蹤

[表 10] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無稽核

無稽核

無稽核

無稽核


[稽核程序追蹤] 設定可讓您稽核應用程式或使用者每次啟動、停止或變更程序的情況,並將每個例項的事件紀錄在「安全性事件日誌」中。啟用程序追蹤非常適合用於疑難排解應用程式,以及了解應用程式運作的方式;此設定只建議用在追蹤特定應用程式行為的時候。不過,啟用此設定將促使此記錄檔中很快就會有大量的事件。

基於此理由,[稽核程序追蹤] 設定在本指南中定義的兩種環境裡,均設定為 [無稽核]。

稽核系統事件

[表 11] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

成功

成功

成功,失敗

成功,失敗


[稽核系統事件] 設定非常重要,因為它可讓您監視系統的成功及失敗事件,並提供這些事件的紀錄,藉此幫助確定未授權系統存取的例項。系統事件包括啟動或關閉您環境中的電腦、事件日誌已滿,或其他會影響整個系統的安全性相關事件。

基於這些理由,[稽核系統事件] 設定在「企業用戶端」環境中設定為 [成功]。不過,此設定在「高安全性」環境中設定為 [成功] 和 [失敗],以獲得額外的安全性。

使用者權限指派設定

許多使用者權限在與 Windows XP Professional 多數的授權群組相結合之後,可指派給使用者或群組,以授予他們高於一般使用者的權限。並非所有這些額外的使用者權限都適用於 Windows XP Professional,不過有許多都適用。

若要將使用者權限的值設定為 [無人],請啟用此設定,但不要加入任何使用者或群組。若要將使用者權限的值設為 [未定義],請不要啟用此設定。

「使用者權限指派」設定可在 Windows XP 的下列位置,於「群組原則物件編輯器」中設定:

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

[表 12] 保障 Windows XP 電腦安全的使用者權限指派設定

UI 中的設定名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

從網路存取這台電腦

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者

允許透過終端機服務登入

系統管理員

系統管理員

無人

無人

備份檔案及目錄

未定義

未定義

系統管理員

系統管理員

略過周遊檢查

使用者

使用者

使用者

使用者

變更系統時間

未定義

未定義

系統管理員

系統管理員

偵錯程式

無人

無人

無人

無人

拒絕透過終端機服務登入

未定義

未定義

任何人

任何人

強制從遠端系統關機

未定義

未定義

系統管理員

系統管理員

本機登入

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者

設定檔單一處理序

未定義

未定義

系統管理員

系統管理員

還原檔案及目錄

未定義

未定義

系統管理員

系統管理員,使用者

關閉系統

未定義

未定義

系統管理員,使用者

系統管理員,使用者

從網路存取這台電腦

[表 13] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者

系統管理員,使用者


[從網路存取這台電腦] 使用者權限決定允許哪些使用者和群組能經由網路連接到電腦。許多網路通訊協定,包括伺服器訊息區塊 (SMB) 為基礎的通訊協定、網路基本輸入/輸出系統 (NetBIOS)、通用網際網路檔案系統 (CIF)、超文字傳輸通訊協定 (HTTP),以及元件物件模型 Plus (COM+) 等,都需要有此使用者權限。

部份程式會自動將 [任何人群組] 加入此使用者權限的使用者帳戶清單。此群組允許來賓和匿名使用者,以及已驗證的使用者存取您網路上的電腦。將此使用者權限限定為系統管理員和使用者將可防止發生這種情況,因為它會覆寫任何本機安裝的應用程式或已登入的使用者要新增使用者或群組的嘗試。

基於這些理由,[從網路存取這台電腦] 使用者權限在本指南中定義的兩種環境內會限定為 [系統管理員] 和 [使用者] 群組。

允許透過終端機服務登入

[表 14] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

系統管理員

系統管理員

無人

無人


[允許透過終端機服務登入] 使用者權限決定哪些使用者和群組有權限登入,成為「終端機服務」用戶端。遠端桌面使用者需要此權限。如果您將「遠端協助」用作為公司支援服務策略的一部份,請建立一個群組,並將此權限經由「群組原則」授予該群組。如果您組織內的支援服務並沒有使用「遠端協助」,請僅將此權限授予 [系統管理員] 群組。

將此權限限定為 [系統管理員] 群組,或許還有 [支援服務] 技術人員群組,將可防止不受歡迎的使用者經由 Windows XP Professional 中新的「遠端協助」功能,取得對您網路上的電腦的存取權。

基於此理由,[允許透過終端機服務登入] 使用者權限在「企業用戶端」環境中會限定為 [系統管理員] 群組,而在「高安全性」環境中限定為 [無人],以獲得額外的安全性。

備份檔案及目錄

[表 15] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

系統管理員

系統管理員


[備份檔案及目錄] 使用者權限可讓使用者避開檔案及目錄權限來備份系統。此權限只有在應用程式嘗試存取用 NTFS 檔案系統備份應用程式設計介面 (API) (例如 NTBACKUP.EXE) 的檔案或目錄時才會啟用。否則只會套用一般的檔案及目錄權限。

建議此使用者權限 (在您環境中的用戶端上可限制檔案和資料夾的存取),只有在「高安全性」環境中限定為本機 [系統管理員] 群組。

基於此理由,[備份檔案及目錄] 使用者權限只會在「高安全性」環境中,限定為 [系統管理員] 群組。「企業用戶端」環境中沒有為此使用者權限指定任何群組。

略過周遊檢查

[表 16] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

使用者

使用者

使用者

使用者


[略過周遊檢查] 使用者權限允許不論父資料夾的使用者權限限制為何,均可存取其中的檔案和資料夾。換句話說,此使用者權限可防止當使用者巡覽 NTFS 檔案系統或登錄中的物件路徑時,檢查特殊存取權限「周遊資料夾」。將此使用者權限授予 [使用者] 群組可讓您環境中屬該群組的使用者變更目錄,並甚至在限制存取父目錄的情況下仍可存取檔案及子目錄。

基於這些理由,[略過周遊檢查] 使用者權限在本指南中定義的兩種環境裡,會限定為 [使用者] 使用者群組。

注意:請確認藉由「群組原則」,將預設會出現的 [任何人群組] 取代為 [使用者] 群組,來防止來賓及匿名使用者取得對限制檔案及資料夾的存取權。

變更系統時間

[表 17] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

系統管理員

系統管理員


[變更系統時間] 使用者權限決定哪些使用者和群組,才能變更您環境中電腦內部時鐘上的時間和日期。指派有此使用者權限的使用者可能會影響事件日誌的外觀。變更系統時間會導致已登入事件反映出新時間,而不是事件實際發生的時間。只有本指南中定義的「高安全性」環境中的 [系統管理員] 群組擁有此使用者權限。

基於這些理由,[變更系統時間] 使用者權限在「企業用戶端」環境中會設定為 [未定義],而在「高安全性」環境中則限定為 [系統管理員] 群組。

注意:在本機電腦上與您環境中的網域控制站上之間的時間不一致可能會造成 Kerberos 驗證通訊協定發生問題,這可能會讓使用者無法登入網域,或無法在登入網路後取得驗證以存取網域資源。除此之外,在將「群組原則」套用至用戶端時,如果系統時間與網域控制站未同步,也會發生問題。

偵錯程式

[表 18] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無人

無人

無人

無人


[偵錯程式] 使用者權限決定哪些使用者可附加偵錯工具到任何程序或到核心。其偵錯的應用程式是在本身使用者帳戶下執行的開發人員不需要此使用者權限。不過,其偵錯的系統元件或應用程式是在其他帳戶下執行的開發人員則需要此使用者權限。此使用者權限提供對機密和重要的作業系統元件完整的存取權。

此使用者權限可用來擷取系統記憶體中的機密系統資訊。部份攻擊工具會利用偵測程式的使用者權限,來擷取已雜湊的密碼和其他私人安全性資訊。攻擊者利用此漏洞的風險,已因 [偵錯程式] 使用者權限依預設只會指派給 [系統管理員] 群組此一事實而得到緩和。不過,此使用者權限在本指南中定義的兩種環境乃設為 [無人] 以進一步平緩此風險。

拒絕透過終端機服務登入

[表 19] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

任何人

任何人


[拒絕透過終端機服務登入] 使用者權限會禁止使用者利用「遠端桌面」連線,登入您環境中的電腦。限制 [任何人] 群組的成員透過「終端機服務」登入,也可以防止預設 [系統管理員] 群組的成員使用「終端機服務」登入您環境中的電腦。

基於這些理由,[拒絕透過終端機服務登入] 使用者權限在「高安全性」環境中會限定為 [任何人] 群組,而在「企業用戶端」環境中限定為 [未定義]。

強制從遠端系統關機

[表 20] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

系統管理員

系統管理員


[強制從遠端系統關機] 使用者權限允許使用者從網路上的遠端位置,關閉執行 Windows XP 的電腦。任何具有可關閉您環境中的電腦之存取權的使用者都可能導致拒絕服務 (DoS) 狀況,而讓電腦無法服務使用者的要求。有鑑於此,建議將此使用者權限僅限定給高度信任的系統管理員。

基於這個理由,[強制從遠端系統關機] 使用者權限在「高安全性」環境中,會限定為 [系統管理員] 群組,而在「企業用戶端」環境中限定為 [未定義]。

本機登入

[表 21] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

使用者,系統管理員

使用者,系統管理員

使用者,系統管理員

使用者,系統管理員


[本機登入] 使用者權限決定哪些使用者可互動地登入您環境中的電腦。透過按下附加到用戶端的鍵盤上的 CTRL+ALT+DEL 鍵所起始的登入,會要求使用者具有此使用者權限。嘗試經由「終端機服務」或 Microsoft Internet Information Services (IIS) 登入的使用者也需要有此權限。

[來賓] 帳戶依預設會授有此使用者權限。雖然此帳戶依預設會停用,但仍建議藉由「群組原則」來啟用此權限。不過,此權限一般來說應該限定為 [系統管理員] 和 [使用者] 群組。如果您的公司需要 [備份操作員] 群組具有此權限的話,請將此權限授予該群組。

基於這些理由,[本機登入] 使用者權限在本指南中定義的兩種環境裡,會限定為 [系統管理員] 和 [使用者] 群組。

注意:在 Windows XP Professional 的「群組原則物件編輯器」中的 [從本機登入] 設定,在 Windows Server 2003 是稱為 [允許本機登入]。

設定檔單一處理序

[表 22] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

系統管理員

系統管理員


[設定檔單一處理序] 使用者權限決定哪些使用者可以使用工具,來監視非系統處理序的效能。您通常不需要設定此使用者權限,來使用 [效能] 嵌入式管理單元。然而,如果「系統監視器」設定為使用 Windows Management Instrumentation (WMI) 來收集資料的話,則需要有此使用者權限。限制 [設定檔單一處理序] 使用者權限可防止入侵者取得額外資訊,用來準備系統攻擊。

基於這些理由,[設定檔單一處理序] 使用者權限在「高安全性」環境中,會限定為 [系統管理員] 群組,而在「企業用戶端」環境中限定為 [未定義]。

還原檔案及目錄

[表 23] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

系統管理員

使用者,系統管理員


[還原檔案及目錄] 使用者權限決定哪些使用者在您環境中,還原執行 Windows XP 的電腦上的檔案及目錄時,可以略過檔案、目錄、登錄和其他永續性物件權限。此使用者權限也會指出哪些使用者可以將有效的安全性主體設為物件擁有者。此權限在本質上與 [備份檔案及密路] 使用者權限類似。

基於這些理由,[還原檔案及目錄] 使用者權限會在「高安全性」環境中針對桌上型電腦限定為 [系統管理員] 群組,而在「高安全性」環境中針對膝上型電腦限定為 [系統管理員] 和 [使用者] 群組。[使用者] 群組之所以涵蓋在「高安全性」環境中的膝上型電腦用戶端,是因為行動使用者可能需要在離開其公司辦公室時還原檔案。不過,此設定在「企業用戶端」環境中則設定為 [未定義]。

關閉系統

[表 24] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

使用者,系統管理員

使用者,系統管理員


[關閉系統] 使用者權限決定哪些從本機登入到您環境中電腦的使用者,可以使用「關閉」命令來關閉作業系統。誤用此使用者權限可導致拒絕服務的後果。在高安全性環境中,建議只將此權限授予 [系統管理員] 和 [使用者] 群組。「企業用戶端」環境中沒有為此使用者權限指定任何群組。

基於這個理由,[關閉系統] 使用者權限在「高安全性」環境中,會限定為 [系統管理員] 和 [使用者] 群組。不過,此使用者權限在「企業用戶端」環境中被保留為預設的 [未定義]。

安全性選項設定

經由「群組原則」套用在您環境中執行 Windows XP 的電腦的「安全性選項」設定,是用來啟用或停用像是資料的數位簽章、系統管理員和來賓帳戶名稱、軟碟機和光碟機存取、驅動程式安裝行為和登入提示等項目。

「安全性選項」設定可在 Windows XP 的下列位置,於「群組原則物件編輯器」中設定:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

本節所涵蓋的所有安全性設定並不是在所有類型的系統上都有。因此,構成本節中定義的「群組原則」的「安全性選項」部份的設定,可能需要在呈現這些設定的系統上進行手動修改,以便讓它們完全能夠操作。或者,也可個別編輯「群組原則」範本來包含適當的設定選項,以便讓設定規則能夠完全生效。

[表 25] 保障 Windows XP 電腦安全的安全性選項設定

UI 中的設定名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台

啟用

啟用

啟用

啟用

帳戶:重新命名系統管理員帳戶

建議

建議

建議

建議

帳戶:重新命名來賓帳戶

建議

建議

建議

建議

裝置:允許卸除而不須登入

停用

啟用

停用

停用

裝置:允許格式化以及退出卸除式媒體

系統管理員,互動式使用者

系統管理員,互動式使用者

系統管理員

系統管理員

裝置:防止使用者安裝印表機驅動程式

啟用

停用

啟用

停用

裝置:CD-ROM 存取只限於登入本機的使用者

停用

停用

啟用

啟用

裝置:軟碟機存取只限於登入本機的使用者

啟用

啟用

啟用

啟用

裝置:未簽署的驅動程式安裝操作

警告但允許安裝

警告但允許安裝

不允許安裝

不允許安裝

網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵

啟用

啟用

啟用

啟用

互動式登入:不要顯示上次登入的使用者名稱

啟用

啟用

啟用

啟用

互動式登入:不需要 CTRL+ALT+DEL

停用

停用

停用

停用

互動式登入:給企圖登入使用者的訊息文字

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

互動式登入:給企圖登入使用者的訊息標題

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。

互動式登入:先前網域控制站無法使用時,登入快取的次數

2

2

0

1

互動式登入:在密碼過期前提示使用者變更密碼

14 天

14 天

14 天

14 天

互動式登入:要求網域控制站進行驗證以解除鎖定工作站

停用

停用

啟用

停用

互動式登入:智慧卡移除操作

鎖定工作站

鎖定工作站

鎖定工作站

鎖定工作站

Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)

啟用

啟用

啟用

啟用

Microsoft 網路用戶端:傳送未加密的密碼到協力廠商的 SMB 伺服器

停用

停用

停用

停用

Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間

15 分鐘

15 分鐘

15 分鐘

15 分鐘

Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)

啟用

啟用

啟用

啟用

Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)

啟用

啟用

啟用

啟用

Microsoft 網路伺服器:當登入時數超過時,中斷用戶端連線

啟用

停用

啟用

停用

網路存取:允許匿名 SID/名稱轉譯

停用

停用

停用

停用

網路存取:不允許 SAM 帳戶的匿名列舉

啟用

啟用

啟用

啟用

網路存取:不允許 SAM 帳戶和共用區的匿名列舉

啟用

啟用

啟用

啟用

網路存取:不允許存放網路驗證用的憑證或 .NET Passport

啟用

啟用

啟用

啟用

網路存取:限制匿名存取具名管道和共用區

啟用

啟用

啟用

啟用

網路存取:用於本機帳戶的共用和安全性模型

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊值

啟用

啟用

啟用

啟用

網路安全性:登入時數超過時強制登出

啟用

停用

啟用

停用

網路安全性:LAN Manager 驗證層級

僅傳送 NTLMv2 回應

僅傳送 NTLMv2 回應

僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM

僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM

網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性

無最小值

無最小值

需要 NTLMv2 工作階段安全性,需要 128 位元加密

需要 NTLMv2 工作階段安全性,需要 128 位元加密

網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性

無最小值

無最小值

需要 NTLMv2 工作階段安全性,需要 128 位元加密

需要 NTLMv2 工作階段安全性,需要 128 位元加密

修復主控台:允許自動系統管理登入

停用

停用

停用

停用

修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾

啟用

啟用

停用

停用

關機:允許不必登入就將系統關機

停用

停用

停用

停用

關機:清除虛擬記憶體分頁檔案

停用

停用

啟用

啟用

系統密碼編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章

停用

停用

停用

停用

系統物件:系統管理員群組成員所建立物件的預設擁有者

物件建立者

物件建立者

物件建立者

物件建立者

系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則

停用

停用

停用

停用

帳戶:限制使用空白密碼的本機帳戶僅能在主控台登入

[表 26] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[帳戶:限制使用空白密碼的本機帳戶僅能在主控台登入] 設定控制著使用空白密碼的本機帳戶,是否能夠用來從實體電腦主控台以外的位置登入。啟用此設定可防止使用具空白密碼的本機帳戶,再利用「Windows 網路」或「終端機服務」來跨網路連接到電腦。

此設定只會影響本機帳戶。它並不會影響網域帳戶。避免使用具空白密碼的帳戶是最佳的作法,因為它們很容易遭受到攻擊。攻擊者很容易就可以入侵使用空白密碼的帳戶,因為攻擊者只需要確定帳戶名稱就可以使用該帳戶。

基於這些理由,[帳戶:限制使用空白密碼的本機帳戶僅能在主控台登入] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

帳戶:重新命名系統管理員帳戶

[表 27] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

建議

建議

建議

建議


內建的本機系統管理員帳戶是眾所皆知,且攻擊者會加以利用的帳戶名稱。建議為此帳戶選擇不同的名稱,並避免使用表示系統管理或高存取權的帳戶。也請確認使用「電腦管理」主控台,來變更本機系統管理員的預設描述。

重新命名此帳戶,但沒有變更預設描述:「電腦/網域系統管理的內建帳戶」,並不足以迴避攻擊者對此的注意。記得允許匿名帳戶列舉系統上的使用者,會大大否定重新命名系統管理員帳戶的安全性優點也很重要。使用 [帳戶:重新命名系統管理員帳戶] 設定來重新命名此帳戶及其描述,可迫使駭客花時間來破解帳戶名稱和密碼,而不僅只是密碼。經過重新命名的帳戶名稱及其描述不應該包括像是 rootsuadminadmsupervisor 等字樣。

基於這些理由,建議使用 [帳戶:重新命名系統管理員帳戶] 設定,將此帳戶重新命名為不會表示出系統管理或高存取權限的帳戶名稱。此項建議適用於本指南中定義的兩種環境。

注意:安全性範本中並未設定此設定,而此處也不建議帳戶的新名稱,讓實作此指南的組織不致在它們的環境中,為系統管理員帳戶使用相同的新使用者名稱。

帳戶:重新命名來賓帳戶

[表 28] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

建議

建議

建議

建議


[帳戶:重新命名來賓帳戶] 設定中的來賓一詞是另一個駭客所熟知的名稱。也建議在此情況下,將此帳戶重新命名為不表示來賓使用者的名稱。即使是停用此來賓帳戶設定 (建議),還是確認您已將之重新命名以提高安全性。

基於這些理由,建議使用 [帳戶:重新命名來賓帳戶] 設定將此帳戶重新命名為不會表示出來賓或或高存取權限的帳戶名稱。此項建議適用於本指南中定義的兩種環境。

注意:安全性範本中並未設定此設定,而此處也不建議帳戶的新名稱,讓實作此指南的組織不致在它們的環境中,為來賓帳戶使用相同的新使用者名稱。

裝置:允許卸除而不須登入

[表 29] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

啟用

停用

停用


[裝置:允許卸除而不須登入] 設定決定使用者是否能將電腦從銜接站移除,而不需登入系統。停用此設定會要求使用者在要求卸除電腦之前登入。一旦登入後,使用者必須具備 [將電腦從銜接站移除] 的使用者權限,才能適宜地中斷電腦的網路連線。此設定僅適用於使用銜接站的膝上型電腦。

此設定僅適合受控制的卸除程序,即當中的部份服務會在電腦卸除後停止。此設定並不能防止攻擊者直接將機器從銜接站退出,且暴力地中斷其網路連線。停用此設定會要求膝上型電腦使用者,在將電腦從您環境中的銜接站移除之前,先卸除他們的電腦。

基於這些理由,[裝置:允許卸除而不須登入] 設定在「企業用戶端」環境中,只針對膝上型電腦設定為 [啟用]。此設定在「高安全性」環境中針對膝上型電腦是設定為 [停用],而且對兩種環境的桌上型電腦都沒有影響。

裝置:允許格式化以及退出卸除式媒體

[表 30] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

系統管理員,互動式使用者

系統管理員,互動式使用者

系統管理員

系統管理員


[裝置:允許格式化以及退出卸除式媒體] 設定決定可格式化及退出卸除式媒體的對象。限制此權限可防止未經授權的使用者,將媒體從一部電腦移除,再從另一部他們具有本機系統管理員權限的電腦進行存取。

基於此理由,[裝置:允許格式化以及退出卸除式媒體] 設定在「企業用戶端」環境中限定為 [系統管理員] 及 [互動使用者] 群組,而在「高安全性」環境中限定為 [系統管理員],以提高安全性。

裝置:防止使用者安裝印表機驅動程式

[表 31] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

停用

啟用

停用


有時候駭客會將特洛伊木馬程式偽裝成印表機驅動程式。該程式會讓使用者認為必須用於列印,但實際上,程式會在電腦網路上散播惡意的程式碼。僅允許系統管理員安裝印表機驅動程式,在大多數的情況下可以有效降低使用者被欺騙,而安裝不可靠驅動程式的風險。

由於膝上型電腦為行動裝置,所以膝上型電腦的使用者可能會需要透過遠端來源安裝印表機驅動程式,以利作業。因此,針對膝上型電腦使用者,此設定應該要停用,但是針對桌上型電腦使用者,此設定一定要啟用。

基於這些理由,[裝置:防止使用者安裝印表機驅動程式] 設定,在本指南所定義的兩個環境中,均將桌上型電腦設定為 [啟用]。而針對膝上型電腦使用者,在這兩個環境中則都設定為 [停用]。

裝置:CD-ROM 存取只限於登入本機的使用者

[表 32] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

啟用

啟用


[裝置:CD-ROM 存取只限於登入本機的使用者] 設定決定本機和遠端使用者是否可以同時存取光碟機。啟用此設定僅允許互動式登入的使用者從光碟機存取媒體。當啟用此設定且無人登入時,可經由網路來存取光碟機。

啟用此設定會封鎖您環境 - 中各電腦上的任何服務,其中包括 Windows Installer 服務 - 來存取光碟機。由於 Windows Installer 服務是經由光碟機執行 Microsoft Installer (MSI) 封裝,因此這些安裝將會失敗。如果您不打算允許使用者或技術人員在您環境中,經由用戶端上的光碟機安裝軟體,那麼您可能要考慮啟用此設定。「高安全性」環境中啟用此設定可以增加多一層的安全性。

基於這些理由,[裝置:CD-ROM 存取只限於登入本機的使用者] 設定在「企業用戶端」環境中會設定為 [停用]。不過,此設定在「高安全性」環境中會設定為 [啟用]。

裝置:軟碟機存取只限於登入本機的使用者

[表 33] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[裝置:軟碟機存取只限於登入本機的使用者] 設定決定本機和遠端使用者是否可以同時存取軟碟機。啟用此設定僅允許互動式登入的使用者存取軟碟機媒體。當啟用此設定且無人登入時,可經由網路來存取軟碟機媒體。

基於這些理由,[裝置:軟碟機存取只限於登入本機的使用者] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

裝置:未簽署的驅動程式安裝操作

[表 34] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

警告但允許安裝

警告但允許安裝

不允許安裝

不允許安裝


[裝置:未簽署的驅動程式安裝操作] 設定控制著:在嘗試使用安裝 API 安裝未經過數位簽署的裝置驅動程式時產生的回應。此設定包括下列選項:

  • 無訊息式成功

  • 警告但允許安裝

  • 不允許安裝

若要手動設定此設定,請先啟用再選擇上列三個選項的其中之一。

在完美的運算世界中,所有理想的驅動程式都會經過簽署,而這會讓此設定 [不允許安裝] 成為偏好的選項。不幸的是,許多驅動程式製造商仍然沒有簽署他們的驅動程式,因此這時候此設定最佳的安全性選項仍舊是 [警告但允許安裝]。

基於此理由,[裝置:未簽署的驅動程式安裝操作] 設定在「企業用戶端」環境中設定為 [警告但允許安裝] 選項,而在「高安全性」環境中則為 [不允許安裝] 選項以提高安全性。

注意:當在本指南中定義的「高安全性」環境內實作此設定時,應該在套用群組原則之前以所有的標準的軟體應用程式來完整設定用戶端,以緩和此設定引起安裝錯誤的風險。

網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵

[表 35] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


當啟用 [網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定時,可能只會在能使用增強式 (128 位元) 工作階段索引鍵來加密「安全通道」資料的網域控制站上建立「安全通道」。

為了啟用此設定,網域內的所有網域控制站都必須能夠使用增強式索引鍵,來加密「安全通道」資料。若要使用增強式索引鍵來加密資料,則所有網域控制站都必須執行 Microsoft Windows 2000 或更新版本。如果需要與非 Windows 2000 網域通訊,建議停用此設定。

基於這些理由,[網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

互動式登入:不要顯示上次登入的使用者名稱

[表 36] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[互動式登入:不要顯示上次登入的使用者名稱] 設定決定是否將最後一個登入您環境中用戶端的使用者帳戶名稱,顯示在每部電腦個別的 Windows 登入畫面中。啟用此設定可防止入侵者從您環境中的桌上型或膝上型電腦的畫面收集帳戶名稱。

基於此理由,[互動式登入:不要顯示上次登入的使用者名稱] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

互動式登入:不要求 CTRL+ALT+DEL

[表 37] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


CTRL+ALT+DEL 按鍵組合會在使用者輸入使用者名稱和密碼時,建立一個信任的作業系統路徑。當啟用 [互動式登入:不要求 CTRL+ALT+DEL] 設定時,不會要求使用者使用此按鍵組合來登入網路。啟用此設定會有安全性危險,因為它提供機會讓使用者使用較不牢固的認證登入用戶端。

基於這些理由,[互動式登入:不要求 CTRL+ALT+DEL] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

互動式登入:給登入使用者的訊息文字

[表 38] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。


系統應該在使用者登入顯示警告訊息,指出系統是安全受到保障的。許多政府機關都使用 [互動式登入:給登入使用者的訊息本文] 設定中的訊息方塊,來通知潛在使用者他們的電腦活動將會受到監視,而且假設他們嘗試在未獲得適當授權的情況下使用這些環境中的電腦,將依法制裁。

為此設定定義警告訊息可協助加強對您組織之安全性原則的認識。建議您先從組織內的法律部門取得認可的訊息本文,再與此設定一併實作。

下列範例訊息本文是用於在本指南中定義的兩種環境的 [互動式登入:給登入使用者的訊息本文] 設定:

此系統僅限於授權使用者。嘗試進行未授權存取的個人將受到追訴。

互動式登入:給登入使用者的訊息標題

[表 39] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。

未經適當授權而繼續視同違法行為。


使用 [互動式登入:給登入使用者的訊息標題] 設定中的訊息標題警告搭配前一個設定,可讓 Windows XP Professional 另外在登入對話方塊的標題列上顯示警告聲明。為此設定定義警告訊息可協助加強對您組織之安全性原則的認識。建議您先從組織內的法律部門取得認可的訊息標題,再與此設定一併實作。

下列訊息標題範例是用於在本指南中定義的兩種環境的 [互動式登入:給登入使用者的訊息本文] 設定:

未經適當授權而繼續視同違法行為。

互動式登入:先前網域控制站無法使用時登入快取的次數

[表 40] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

2

2

0

1


[互動式登入:先前網域控制站無法使用時的登入快取次數] 設定決定系統可能保留的快取登入認證數量。快取的登入認證可讓使用者在電腦未連線到網路上時,或在網域控制站無法使用時登入系統。

將此設定設為 [0],可提供最大的安全性,但也會在您環境中的網域控制站因故無法使用時,讓使用者完全無法登入。強烈建議針對膝上型電腦使用者,不要將此設定設為 [0],因為他們不一定會始終連接到公司網路。將此設定設為 [2],可讓無法連接到網域控制站的使用者,即使自使用者最後一個主控台工作階段後,有 IT 部門的成員登入以執行維護或疑難排解工作,仍能使用快取的認證進行登入。將此設定設為 [1],允許在用戶端上快取一組憑證。如果有其他使用者嘗試使用此用戶端,他們必須將用戶端連接到公司網路,讓使用者的登入認證能夠經過網域控制站驗證。

基於這些理由,[互動式登入:先前網域控制站無法使用時的登入快取次數] 設定在「企業用戶端」環境中,針對桌上型和膝上型電腦均設定為 [2]。然而,此設定在「高安全性」環境中針對桌上型電腦設為 [0],而膝上型電腦則設為 [1],因為膝上型電腦使用者不一定始終都會連接到公司網路。

互動式登入:在密碼過期前提示使用者變更密碼

[表 41] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

14 天

14 天

14 天

14 天


[互動式登入:在密碼過期前提示使用者變更密碼] 設定決定要在多久之前警告使用者其密碼即將過期。建議將此設定設為 14 天,有充分的時間警告使用者其密碼即將過期。

基於此理由,[互動式登入:在密碼過期前提示使用者變更密碼] 設定在本指南中定義的兩種環境裡,均設定為 [14 天]。

互動式登入:要求網域控制站驗證以解除鎖定工作站

[表 42] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

啟用

停用


當啟用 [互動式登入:要求網域控制站驗證以解除鎖定工作站] 設定時,網域控制站必須驗證用來解除鎖定電腦的網域帳戶。當此設定為停用時,即可使用快取的認證來解除鎖定電腦。建議針對兩種環境中的膝上型電腦都停用此設定,因為行動使用者並沒有對網域控制站的網路存取權。

基於這些理由,[互動式登入:要求網域控制站驗證以解除鎖定工作站] 設定在「企業用戶端」環境中,針對桌上型和膝上型電腦均設定為 [停用]。不過,此設定在「高安全性」環境中對桌上型電腦設定為 [啟用],對膝上型則設定為 [停用]。

互動式登入:智慧卡移除操作

[表 43] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

鎖定工作站

鎖定工作站

鎖定工作站

鎖定工作站


[互動式登入:智慧卡移除操作] 設定決定登入使用者將其智慧卡從工作站移除時的系統行為。此設定的選項有:

  • 無動作

  • 鎖定工作站 (使用者可移除智慧卡,並稍後返回工作站上相同的工作階段)。

  • 強制登出 (使用者會在智慧卡從工作站移除時自動登出)。

將此設定設為 [鎖定工作站] 選項會在使用者將智慧卡從電腦移除,並確定沒有任何未授權的使用者可以存取的時候,鎖定該工作站。

基於這些理由,[互動式登入:智慧卡移除操作] 設定在本指南中定義的兩種環境裡,均設定為 [鎖定工作站]。

Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)

[表 44] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


當啟用 [Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)] 設定時,SMB 用戶端會在與有啟用或需要執行 SMB 封包簽章的 SMB 伺服器通訊時,執行 SMB 封包簽署。停用此設定會導致 SMB 用戶端在與 SMB 伺服器通訊時,不數位簽署封包,即使是 SMB 已啟用封包簽署,並從用戶端重新查詢也一樣。

基於此理由,[Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意)] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

注意:請在您網路上的用戶端啟用此設定,讓封包簽署能夠對您環境中的所有用戶端和伺服器完全發生效用。

Microsoft 網路用戶端:傳送未加密的密碼到協力廠商的 SMB 伺服器

[表 45] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


停用 [Microsoft 網路用戶端:傳送未加密的密碼到協力廠商的 SMB 伺服器] 設定可防止 SMB 重新導向程式,將純文字密碼傳送到在驗證過程中不支援密碼加密的非 Microsoft SMB 伺服器。建議停用此設定,除非有強而有力的業務情況需要啟用它。這是因為啟用此設定將允許未經加密的密碼能夠跨網路傳送。

基於這些理由,[Microsoft 網路用戶端:傳送未加密的密碼到其他廠商的 SMB 伺服器] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間

[表 46] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

15 分鐘

15 分鐘

15 分鐘

15 分鐘


啟用 [Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間] 設定可讓您決定 SMB 工作階段因沒有動作而暫停之前,必須經過的連續閒置時間量。系統管理員可使用此設定,來控制電腦何時暫停沒有動作的 SMB 工作階段。如果用戶端恢復活動,就會自動重新建立工作階段。

基於此理由,[Microsoft 網路伺服器:暫停工作階段前,要求的閒置時間] 設定在本指南中定義的兩種環境裡,均設定為 [啟用] 長達 [15 分鐘] 的時間。

Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)

[表 47] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定決定是否需要 SMB 伺服器來執行 SMB 封包簽署。啟用此設定可在混合環境中提供附加的優點,因為它可防止下游用戶端使用工作站作為網路伺服器。

若您的公司擁有單純的 Active Directory 及 Windows XP Professional 環境,請啟用此設定。請在有需要與 Microsoft Windows NT® 4.0 網域通訊的用戶端上停用此設定。

基於這些理由,[Microsoft 網路伺服器:數位簽章伺服器的通訊 (自動)] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)

[表 48] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)] 設定決定是否需要 SMB 伺服器,來執行 SMB 封包簽署。啟用此設定會促使 SMB 伺服器在與有啟用及需要 SMB 簽署的用戶端通訊時,數位簽署封包。

基於此理由,[Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意)] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

注意:請在您網路上的用戶端啟用此設定,讓封包簽署能夠對您環境中的所有用戶端和伺服器完全發生效用。

Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線

[表 49] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

停用

啟用

停用


[Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線] 設定,會決定是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響 SMB 元件。啟用此設定會導致使用 SMB 服務的用戶端工作階段,在用戶端的登入時數過期時強制中斷連線。停用此設定可在用戶端的登入時數過期時,繼續維持建立的用戶端工作階段。

基於這些理由,[Microsoft 網路伺服器:當登入時數過期時,中斷用戶端連線] 設定在本指南中定義的兩種環境裡,將桌上型用戶端均設定為 [啟用]。然而,此設定在兩種環境內的膝上型用戶端係設定為 [停用],因為膝上型使用者可能需要在不同的時區或在登入時數過後,從遠端位置工作。

網路存取:允許匿名 SID/名稱轉譯

[表 50] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


[網路存取:允許匿名 SID/名稱轉譯] 設定決定匿名使用者是否可要求其他使用者的安全性識別元 (SID),或使用 SID 來取得其相對應的使用者名稱。停用此設定可防止使用者取得與其個別 SID 相關聯的使用者名稱。

基於此理由,[網路存取:允許匿名 SID/名稱轉譯] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

網路存取:不允許 SAM 帳戶的匿名列舉

[表 51] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[網路存取:不允許 SAM 帳戶的匿名列舉] 設定控制著匿名使用者列舉「安全性帳戶管理員 (SAM)」中的帳戶的能力。啟用此設定可防止使用匿名連線的使用者在您環境中的工作站上,列舉網域帳戶使用者名稱。此設定也允許在匿名連線上設定額外的限制。

基於這些理由,[網路存取:不允許 SAM 帳戶的匿名列舉] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

網路存取:不允許 SAM 帳戶和共用的匿名列舉

[表 52] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[網路存取:不允許 SAM 帳戶和共用區的匿名列舉] 設定控制著匿名使用者列舉 SAM 帳戶及共用的能力。啟用此設定可防止使用匿名使用者在您環境中的工作站上,列舉網域帳戶使用者名稱和網路共用區名稱。

基於此理由,[網路存取:不允許 SAM 帳戶和共用的匿名列舉] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

網路存取:不允許存放網路驗證的認證或 .NET Passport

[表 53] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[網路存取:不允許存放網路驗證的認證或 .NET Passport] 設定控制著本機系統上驗證憑證及密碼的儲存。

建議啟用此設定,除非業務情況確實有允許員工將其憑證存放在工作站上的需要。

基於此理由,[網路存取:不允許存放網路驗證的認證或 .NET Passport] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

網路存取:限制匿名存取具名管道和共用

[表 54] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


啟用 [網路存取:限制匿名存取具名管道和共用區] 設定會封鎖匿名使用者存取執行 Windows XP Professional 的電腦上的具名管道和共用區。此設定透過在登錄機碼 HKEY_LM\System\CurrentControlSet\Services\LanManServer\Parameters 中新增值為 [1] 的 RestrictNullSessAccess,來控制 Null 工作階段對您電腦上共用區的存取。此登錄值會來回切換 Null 工作階段共用區,來決定伺服器服務是否會限制未用使用者名稱和密碼驗證登入系統帳戶的用戶端。

基於此理由,[網路存取:限制匿名存取具名管道和共用區] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

網路存取:共用和安全性模式用於本機帳戶

[表 55] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證

傳統 - 本機使用者以自身身分驗證


[網路存取:共用和安全性模型用於本機帳戶] 設定控制著驗證使用本機帳戶進行網路登入的方式。[傳統] 設定允許對資源的存取進行完善的控制。使用 [傳統] 設定可讓您將相同資源的各類存取權授予不同的使用者。使用 [僅適用於來賓] 設定可讓您平等對待所有使用者。以本文為例,所有使用者都會以 [僅適用於來賓] 進行驗證,來取得特定資源的相同存取層級。啟用此設定並不會影響使用網域帳戶及如 Telnet 或終端機服務的互動式登入所進行的網路登入。

基於這些理由,[網路存取:共用和安全性模型用於本機帳戶] 設定在本指南中定義的兩種環境裡,於登入網路時設定為 [傳統 - 本機使用者以自身身分驗證]。

網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值

[表 56] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


[網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值] 設定決定當密碼變更時,是否會儲存 LAN Manager (LM) 新密碼的雜湊值。LM 雜湊相當脆弱,而且在加密方面與較強的 Windows NT 雜湊比較起來,更易受到攻擊。LAN Manager 雜湊是用來提供與執行 Windows NT 4.0 和早期版本,以及部份應用程式的舊版相容性。

基於這些理由,[網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

注意:一些非常老舊的傳統作業系統和部份協力廠商應用程式,可能會在啟用此設定時失敗。您另外還需要在啟用此設定後變更所有帳戶上的密碼。

網路安全性:強制限制登入時數

[表 57] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

停用

啟用

停用


啟用 [網路安全性:強制限制登入時數] 設定會在用戶端的登入時數超出使用者帳戶中指定的限制時,強制地中斷使用 SMB 伺服器的用戶端工作階段連線。啟用此設定可防止在限定時數過後未授權即使用工作站,並抑止入侵者接管在正常登入時期建立的現存工作階段。

基於這些理由,[網路安全性:強制限制登入時數] 設定在本指南中定義的兩種環境裡,將桌上型用戶端均設定為 [啟用]。然而,此設定在兩種環境內的膝上型用戶端係設定為 [停用],因為膝上型使用者可能需要在不同的時區或在登入時數過後,從遠端位置工作。

注意:如果您組織內並未建立標準的登入時數,則此設定建議不適用。

網路安全性:LAN Manager 驗證層級

[表 58] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

僅傳送 NTLMv2 回應

僅傳送 NTLMv2 回應

僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM

僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM


[網路安全性:LAN Manager 驗證層級] 設定指定非 Windows 2000 和 Windows XP Professional 用戶端用於網路登入的挑戰/回應驗證的類型。LanManager 驗證 (LM) 是安全性最低的方法,很容易讓加密的密碼在網路上被探聽到及破解。

NT LanManager (NTLM) 則比較安全。NTLMv2 是 Windows XP Professional、Windows 2000 和 Windows NT 4.0 Service Pack 4 和更新版本中所提供更強大的 NTLM 版本。Microsoft Windows 95 和 Microsoft Windows 98 加上選用的「目錄服務用戶端」也有提供 NTLMv2。此設定下列的參數選項為:

  • 傳送 LM & NTLM 回應

  • 傳送 LM & NTLM - 如有交涉,使用 NTLMv2 工作階段安全性

  • 僅傳送 NTLM 回應

  • 僅傳送 NTLMv2 回應

  • 僅傳送 NTLMv2 回應\拒絕 LM

  • 僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM

建議將此參數設定成適用於您環境儘可能最強的驗證層級。在只執行 Windows 2000 Server 或 Windows Server 2003 加上 Windows XP Professional 工作站的環境中,可將此參數設定為 [僅傳送 NTLMv2 回應\拒絕 LM 和 NTLM] 選項,以獲得最高安全性。

基於這些理由,[網路安全性:LAN Manager 驗證層級] 設定的參數選項在「企業用戶端」環境裡,將設定為 [僅傳送 NTLMv2 回應]。不過,此設定的參數在「高安全性」環境中,則設定為 [僅傳送 NTLMv2 回應/拒絕 LM 和 NTLM]。

網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性

[表 59] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無最小值

無最小值

需要 NTLMv2 工作階段安全性
需要 128 位元加密

需要 NTLMv2 工作階段安全性
需要 128 位元加密


[網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性] 設定決定用戶端最小的應用程式對應用程式通訊安全性標準。此設定的選項有:

  • 要求訊息完整性

  • 要求訊息機密性

  • 要求 NTLMv2 工作階段安全性

  • 要求 128 位元加密

如果您網路上的所有電腦都是執行 Windows XP Professional,或 Windows Server 2003 並啟用 128 位元加密,則可選取全部四個設定選項以獲得最高的安全性。

在「企業用戶端」環境中,並沒有 [網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 用戶端的最小工作階段安全性] 設定的最低限選項。依需要盡量選取多一點選項以滿足您組織的安全性需求。此設定在「高安全性」環境中設定為包含 [要求 NTLMv2 工作階段安全性] 和 [要求 128 位元加密] 的選項。

網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性

[表 60] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

無最小值

無最小值

要求 NTLMv2 工作階段安全性
要求 128 位元加密

要求 NTLMv2 工作階段安全性
要求 128 位元加密


[網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性] 設定與前一個設定類似,但影響的是與應用程式通訊的伺服器端。此設定的選項相同:

  • 要求訊息完整性

  • 要求訊息機密性

  • 要求 NTLMv2 工作階段安全性

  • 要求 128 位元加密

如果您網路上的所有電腦都是執行 Windows XP Professional,或 Windows Server 2003 並啟用 128 位元加密,則可選取全部四個設定選項以獲得最高的安全性。

在「企業用戶端」環境中,並沒有 [網路安全性:以 NTLM SSP 為主的 (包含安全 RPC) 伺服器的最小工作階段安全性] 設定的最低限選項。依需要盡量選取多一點選項以滿足您組織的安全性需求。此設定在「高安全性」環境中設定為包含 [要求 NTLMv2 工作階段安全性] 和 [要求 128 位元加密] 的選項。

修復主控台:允許自動系統管理登入

[表 61] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


修復主控台是一個用來從系統問題復原的命令列環境。啟用 [修復主控台:允許自動系統管理登入] 設定會在啟動期間叫用此設定時,自動以系統管理員帳戶的身分登入修復主控台。建議停用此設定來要求系統管理員輸入密碼,以存取修復主控台。

基於此理由,[修復主控台:允許自動系統管理登入] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾

[表 62] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

停用

停用


啟用 [修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾] 設定讓使用者能夠完整存取系統上的所有磁碟機。啟用此設定也可讓使用者將檔案從硬碟複製到磁片。「修復主控台」SET 命令也可讓使用者設定下列「修復主控台」環境變數,來提供此功能:AllowWildCards、AllowAllPaths、AllowRemovableMedia 和 NoCopyPrompt。

停用此設定會禁止將檔案從硬碟複製到軟碟機。此外,可存取的目錄和磁碟機也有限制。

基於這些理由,[修復主控台:允許軟碟複製以及存取所有磁碟和所有資料夾] 設定在「企業用戶端」環境中設定為 [啟用],方便技術人員修復 Windows XP 安裝。此設定在「高安全性」環境中設定為 [停用]。

關機:允許不登入就將系統關機

[表 63] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


[關機:允許不必登入就將系統關機] 設定決定系統是否能在使用者未登入的情況下關機。啟用此設定可讓關機命令顯示在 Windows 登入畫面上。建議停用此設定來限制在系統上擁有憑證的使用者才有關閉系統的能力。

基於此理由,[關機:允許不登入就將系統關機] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

關機:清除虛擬記憶體分頁檔

[表 64] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

啟用

啟用


虛擬記憶體會使用系統分頁檔,在記憶體的分頁不在使用中時,將之切換至磁碟。啟用 [關機:清除虛擬記憶體分頁檔] 設定會清除當電腦關機時,任何可能還在虛擬記憶體中的機密資訊。這可防止在電腦關機時,未經授權卻設法直接存取分頁檔的使用者檢視到資訊。

建議只在有極為機密的資料存在您環境中的電腦上時,才啟用此設定。啟用此設定會造成大幅增加的關機時間,因而可能讓使用者不耐煩。

基於這些理由,[關機:清除虛擬記憶體分頁檔] 設定在「企業用戶端」環境中設定為 [停用]。不過,此設定在「高安全性」環境中會設定為 [啟用]。

系統密碼編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章

[表 65] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


[系統密碼編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章] 設定可確保 TLS/SSL 安全性提供者使用的是 FIPS 相容的演算法,來進行加密、雜湊和簽名。FIPS 相容演算法符合美國政府的標準。FIPS Publication 197 是一種用來保護電子資料的加密演算法。AES 演算法使用 128、192 和 256 位元的加密金鑰,並將資料解密成 128 位元的區塊。

啟用此設定會促使 Triple Data Encryption Standard (three DES) 使用 EFS 來加密檔案,而這是比較強固的加密形式。

基於此理由,[系統密碼編譯:使用 FIPS 相容演算法於加密,雜湊,以及簽章] 設定在本指南中定義的兩種環境裡,均設定為 [停用]。

注意:啟用此設定會導致緩慢的電腦效能,因為 Three DES 程序是在檔案中的每個資料區塊上執行三次。此設定應該只在您的組織需要與 FIPS 相容時才啟用。

系統物件:系統管理員群組成員所建立物件的預設擁有者

[表 66] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

物件建立者

物件建立者

物件建立者

物件建立者


[系統物件:系統管理員群組成員所建立物件的預設擁有者] 設定決定 [系統管理員] 群組或 [物件建立者] 群組是否為新系統物件的預設擁有者。為了提供更大的說明能力,建議讓 [物件建立者] 群組的成員成為新系統物件的預設擁有者。

基於此理由,[系統物件:系統管理員群組成員所建立物件的預設擁有者] 設定在本指南中定義的兩種環境裡,均設定為 [物件建立者] 群組。

系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則

[表 67] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

停用

停用

停用

停用


[系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則] 設定指出當使用者或處理序嘗試執行含有 .exe 副檔名的軟體時,是否會處理數位認證。此安全性設定是用來啟用或停用認證規則,這是一種軟體限制原則的規則。透過軟體限制原則,您可建立一個認證規則,根據與軟體相關聯的數位認證,來允許或禁止執行由 Microsoft Authenticode® 簽署的軟體。為了讓認證規則生效,您必須啟用此安全性設定。

當啟用認證規則設定時,軟體限制原則會檢查認證撤銷清單 (CRL),來確保軟體的認證和簽章是有效的。如此一來,啟動已簽署程式時,效能可能會降低。

若要停用此功能,請在 [信任的發行者內容] 對話方塊中,清除 [發行者] 和 [時戳] 核取方塊。[信任的發行者內容] 對話方塊位於下列位置的「群組原則物件編輯器」中:

Computer Configuration\Windows Settings\Security Settings\Software Restriction Policies\Trusted Publishers

建議只有在您使用的是「軟體限制認證」規則時才啟用此設定。有關軟體限制原則的詳細資訊,請參閱<Windows XP 用戶端的軟體限制原則>單元。

基於這些理由,[系統設定:於軟體限制原則對 Windows 可執行檔使用憑證規則] 設定,在本指南中定義的兩種環境裡,均設定為 [停用]。

事件日誌安全性設定

「事件日誌」設定是用來記錄系統事件。安全性記錄包括稽核事件。「群組原則」的「事件日誌」容器是用來定義與應用程式、安全性和系統事件日誌相關的屬性,例如最大記錄大小、每一記錄的存取權限,以及保留期限等設定和方法。應用程式、安全性和系統事件日誌的設定係設定於 Windows XP 安全性範本中,而且適用於組織單位 (OU) 中的所有工作站。

請在「群組原則物件編輯器」中的下列位置設定「事件日誌」設定:

Computer Configuration\Windows Settings\Security Settings\Event Log

記憶體當中分散的記錄檔可能會在忙碌的系統上導致龐大的效能問題。記憶體對應檔理論上的限制建議您可在您的系統上,設定記錄檔保留高達 1 GB 的事件記錄。另外,「事件檢視器」中用來設定事件日誌的使用者介面 (UI),以及「群組原則物件編輯器」可讓您為每一記錄檔指定高達 4 GB 的空間。不過,Microsoft 已經確認過,在大多數伺服器上對於所有事件日誌的組合,實際的記錄檔大小限制大約是在 300 MB 左右。

因此,在 Windows XP Professional 上,應用程式、安全性和系統事件日誌組合的大小應該不要超過 300 MB。

此組合的記錄檔大小限制已對一些 Microsoft 客戶造成問題,但解決此限制將需要對記錄系統事件的結構進行重大的改變。Microsoft 正努力徹底重寫事件記錄系統,在下一版的 Windows 解決此類問題。

雖然沒有簡單的方程式來決定最適合特定用戶端的記錄檔大小,您可考慮上列討論的資訊,加上了解在每一記錄檔中的事件平均需要約 500 位元組來記錄,以及您希望為每一記錄檔指定的事件記錄保留期限等來決定合理的大小。既然每一記錄檔的大小都必須 64 KB 的倍數,您可以估計在您的企業內每一記錄檔每天產生的平均事件數,來決定用戶端您每一記錄檔的合理大小。

例如,如果您的用戶端在其「安全性記錄」當中,每天平均產生 1200 個事件,而您希望確保您隨時至少有 4 個星期的資料可用,那麼可根據下列方程式將此記錄檔的大小設定為大約 16.8 MB:(500 位元組 * 1200 事件/天 * 28 天 = 16,800,000 位元組)。設定好記錄檔大小之後,請每四個星期偶爾檢查用戶端一次,來確認該記錄檔足以在該段時間內保存事件。事件記錄檔大小和記錄輪替都應該要定義,以滿足您企業安全性計劃的商務和安全性需求。

有關決定最佳記錄檔大小的進一步資訊,請參閱同系列指南 《威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定》 .

[表 68] Windows XP 電腦的安全性事件日誌設定

UI 中的設定名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

應用程式記錄檔大小最大值

10240 KB

10240 KB

10240 KB

10240 KB

安全性記錄檔大小最大值

10240 KB

10240 KB

20480 KB

20480 KB

系統記錄檔大小最大值

10240 KB

10240 KB

10240 KB

10240 KB

不允許本機來賓群組存取應用程式記錄

啟用

啟用

啟用

啟用

不允許本機來賓群組存取安全性記錄

啟用

啟用

啟用

啟用

不允許本機來賓群組存取系統記錄

啟用

啟用

啟用

啟用

應用程式記錄保留天數

未定義

未定義

未定義

未定義

安全性記錄保留天數

未定義

未定義

未定義

未定義

系統記錄保留天數

未定義

未定義

未定義

未定義

應用程式記錄保持方法

視需要

視需要

視需要

視需要

安全性記錄保持方法

視需要

視需要

視需要

視需要

系統記錄保持方法

視需要

視需要

視需要

視需要

應用程式記錄檔大小最大值

[表 69] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

10240 KB

10240 KB

10240 KB

10240 KB


[應用程式記錄檔大小最大值] 設定指定應用程式記錄檔的儲存容量。將此設定中的記錄檔大小設定得太小會促使事件日誌很快就填滿,而迫使系統管理員經常要保存記錄然後清除記錄檔。此設定的值範圍從 64 KB4,194,240 KB 不等。由於記錄檔的大小必須是 64 KB 的倍數,輸入這以外的值會自動調整為 64 KB 的倍數。建議為此設定設定一個能記錄應用程式相關事件的充裕空間,而無須耗用大量磁碟空間。

基於此理由,[系統記錄檔大小最大值] 設定在本指南中定義的兩種環境裡,均設定為 [10,240 KB]。

安全性記錄檔大小最大值

[表 70] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

10240 KB

10240 KB

20480 KB

20480 KB


[安全性記錄檔大小最大值] 設定指定安全性記錄檔的儲存容量。將此設定中的記錄檔大小設定得太小會促使事件日誌很快就填滿,而迫使系統管理員經常要保存記錄然後清除記錄檔。此設定的值範圍從 64 KB4,194,240 KB 不等。

建議為此設定設定一個能記錄安全性相關事件的充裕空間,而無須耗用大量磁碟空間。監視記錄檔中的事件數,並依需要調整記錄檔大小來滿足您組織的需要。在「高安全性」環境中會增加安全性記錄檔大小,以允許充裕的空間進行本指南中建議的額外稽核設定。

基於這些理由,[安全性記錄檔大小最大值] 設定在「企業用戶端」環境中設定為 [10,240 KB],而在「高安全性」環境中則設定為 [20,480 KB]。

系統記錄檔大小最大值

[表 71] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

10240 KB

10240 KB

10240 KB

10240 KB


[系統記錄檔大小最大值] 設定指定系統記錄檔的儲存容量。將此設定中的記錄檔大小設定得太小會促使事件日誌很快就填滿,而迫使系統管理員經常要保存記錄然後清除記錄檔。此設定的值範圍從 64 KB4,194,240 KB 不等。建議為此設定設定一個能記錄系統相關事件的充裕空間,而無須耗用大量磁碟空間。

基於此理由,[系統記錄檔大小最大值] 設定在本指南中定義的兩種環境裡,均設定為 [10,240 KB]。

不允許本機來賓群組存取應用程式記錄

[表 72] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


Windows XP Professional 預設安裝允許來賓和空 (Null) 登入來檢視事件日誌。雖然「安全性記錄」依預設會防止來賓存取,但具有 [管理稽核記錄] 使用者權限的使用者仍然可以檢視。[不允許本機來賓群組存取應用程式記錄] 設定會限制來賓和空登入檢視任何事件日誌。不允許未經驗證的使用者檢視應用程式事件日誌是確保安全的最佳作法。

基於這些理由,[不允許本機來賓群組存取應用程式記錄] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

不允許本機來賓群組存取安全性記錄

[表 73] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


Windows XP Professional 預設安裝允許來賓和空 (Null) 登入來檢視事件日誌。雖然「安全性記錄」依預設會防止來賓存取,但具有 [管理稽核記錄] 使用者權限的使用者仍然可以檢視。[不允許本機來賓群組存取安全性記錄] 設定會限制來賓和空登入檢視任何事件日誌。不允許未經驗證的使用者檢視安全性事件日誌是確保安全的最佳作法。

基於這些理由,[不允許本機來賓群組存取安全性記錄] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

不允許本機來賓群組存取系統記錄

[表 74] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

啟用

啟用

啟用

啟用


Windows XP Professional 預設安裝允許來賓和空 (Null) 登入來檢視事件日誌。雖然「安全性記錄」依預設會防止來賓存取,但具有 [管理稽核記錄] 使用者權限的使用者仍然可以檢視。[不允許本機來賓群組存取系統記錄] 設定會限制來賓和空登入檢視任何事件日誌。不允許未經驗證的使用者檢視系統事件日誌是確保安全的最佳作法。

基於這些理由,[不允許本機來賓群組存取系統記錄] 設定在本指南中定義的兩種環境裡,均設定為 [啟用]。

應用程式記錄保留天數

[表 75] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

未定義

未定義


[應用程式記錄保留天數] 設定控制著應用程式事件日誌要保留多久才會被覆寫。此設定的值範圍從 1365 天不等。為此設定設定一個保留應用程式事件日誌長到足以進行監視和分析的值。

此設定可與每一個事件日誌的保持方法設定搭配使用。將應用程式記錄的保持方法設定為 [視需要],會致使 [應用程式記錄保留天數] 設定自動設定為 [未定義]。

基於這些理由,[應用程式記錄保留天數] 設定在本指南中定義的兩種環境裡,依預設均設定為 [未定義],因為 [應用程式記錄保持方法] 在本指南中係設定為 [視需要]。

安全性記錄保留天數

[表 76] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

未定義

未定義


[安全性記錄保留天數] 設定控制著安全性事件日誌要保留多久才會被覆寫。此設定的值範圍從 1365 天不等。為此設定設定一個保留應用程式事件日誌長到足以進行監視和分析的值。

此設定可與每一個事件日誌的保持方法設定搭配使用。將「安全性記錄」的保持方法設定為 [視需要],會致使 [安全性記錄保留天數] 設定自動設定為 [未定義]。

基於這些理由,[安全性記錄保留天數] 設定在本指南中定義的兩種環境裡,依預設均設定為 [未定義],因為 [安全性記錄保持方法] 在本指南中係設定為 [視需要]。

系統記錄保留天數

[表 77] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

未定義

未定義

未定義

未定義


[系統記錄保留天數] 設定控制著系統事件日誌要保留多久才會被覆寫。此設定的值範圍從 1365 天不等。為此設定設定一個保留應用程式事件日誌長到足以進行監視和分析的值。

此設定可與每一個事件日誌的保持方法設定搭配使用。將「系統記錄」的保持方法設定為 [視需要],會致使 [系統記錄保留天數] 設定自動設定為 [未定義]。

基於這些理由,[系統記錄保留天數] 設定在本指南中定義的兩種環境裡,依預設均設定為 [未定義],因為 [系統記錄保持方法] 在本指南中係設定為 [視需要]。

應用程式記錄保持方法

[表 78] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

視需要

視需要

視需要

視需要


[應用程式記錄保持方法] 設定決定在記錄檔達到其最大大小時,作業系統要如何處理當中的應用程式事件。可設定此設定,讓應用程式事件在經過特定天數之後、當記錄檔已滿,或者以手動清除的時候,才進行覆寫。

前兩個設定選項可讓最新的應用程式事件視需要覆寫記錄檔中最舊的事件。如果您發現您希望保留的事件數被新事件覆寫得太快,可經常將事件存到其他位置,或增加應用程式記錄檔的最大大小,來調整您的記錄管理原則。

基於這些理由,[應用程式記錄保持方法] 設定在本指南中定義的兩種環境裡,均設定為 [視需要]。

安全性記錄保持方法

[表 79] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

視需要

視需要

視需要

視需要


[安全性記錄保持方法] 設定決定在記錄檔達到其最大的大小時,作業系統要如何處理當中的安全性事件。可設定此設定,讓安全性事件在經過特定天數之後、當記錄檔已滿,或者以手動清除的時候,才進行覆寫。

前兩個設定選項可讓最新的應用程式事件視需要覆寫記錄檔中最舊的事件。如果您發現您希望保留的事件數被新事件覆寫得太快,可經常將事件存到其他位置,或增加應用程式記錄檔的最大大小,來調整您的記錄管理原則。

基於此理由,[安全性記錄保持方法] 設定在本指南中定義的兩種環境裡,均設定為 [視需要]。

系統記錄保持方法

[表 80] 設定

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

視需要

視需要

視需要

視需要


[系統記錄保持方法] 設定決定在記錄檔達到其最大大小時,作業系統要如何處理當中的系統事件。可設定此設定,讓系統事件在經過特定天數之後、當記錄檔已滿,或者需要手動清除的時候,才進行覆寫。

前兩個設定選項可讓最新的應用程式事件視需要覆寫記錄檔中最舊的事件。如果您發現您希望保留的事件數被新事件覆寫得太快,可經常將事件存到其他位置,或增加應用程式記錄檔的最大大小,來調整您的記錄管理原則。

[系統記錄保持方法] 設定在本指南中定義的兩種環境裡,均設定為 [視需要]。

受限群組

[受限群組] 設定允許您管理 Windows XP Professional 中群組的成員資格。請根據您組織的需要來決定您希望限制的群組。針對此指南的目地,[進階使用者 (Power User)] 群組在「高安全性」環境中會受到限制。雖然 [進階使用者] 群組的成員擁有的系統存取權比 [系統管理員] 群組內的成員還低,但 [進階使用者] 群組成員仍可有效地存取系統。如果您的組織有使用 [進階使用者] 群組,那麼請謹慎控制此群組的成員,而不要實作 [受限群組] 設定中的指引。

[受限群組] 設定可在 Windows XP Professional 的下列位置,於「群組原則物件編輯器」中設定:

Computer Configuration\Windows Settings\Security Settings\Restricted Groups\

系統管理員可將想要的群組直接加入 GPO 命名空間的「受限群組」節點,來設定 GPO 的受限群組。

當某群組受到限制時,您可以選擇定義其成員和其為當中的成員的其他群組。不指定這些群組成員會讓該群組完全受限。群組只能使用安全性範本加以限制。

  • 若要檢視或修改 [受限群組] 設定:

    1. 開啟 [安全性範本管理主控台]。

      注意:[安全性範本管理主控台] 並不是預設就加入 [系統管理工具] 功能表中。若要加入它,請啟動 Microsoft Management Console (mmc.exe),並加入 [安全性範本嵌入式單元]。

    2. 按兩下組態檔目錄,再按兩下組態檔。

    3. 按兩下 [受限群組] 項目。

    4. 用右鍵按兩下 [受限群組]。

    5. 選取 [新增群組]。

    6. 按一下 [瀏覽] 按鈕、[位置] 按鈕、選取您想要瀏覽的位置,再按一下 [確定]。

      注意:通常這會使本機電腦出現在清單的最上方。

    7. 在 [輸入物件名稱來選取] 文字方塊中鍵入群組名稱,再按下 [檢查名稱] 按鈕。
      - 或者 -
      按一下 [進階] 按鈕,再按下 [立即尋找] 按鈕,列出所有可用的群組。

    8. 選取您想要限制的群組,再按一下 [確定]。

    9. 按一下 [新增群組] 對話方塊上的 [確定],以關閉它。

對於所有列出的群組,會加入目前不是列出群組成員的任何列出的群組或使用者,而目前是列出群組之成員的任何使用者或群組,則會從安全性範本中移除。

在此指南中,已移除了 [進階使用者] 群組的所有使用者和群組成員設定,藉此完全地限制此群組。建議限制您不打算在組織中使用的任何內建群組,例如 [備份操作員] 群組。

在「企業用戶端」環境中,對此選項並沒有任何建議設定。然而,Microsoft 限制了本指南中「高安全性」環境內的 [進階使用者] 群組,因為此群組在執行 Windows XP 的電腦上擁有幾乎與系統管理員相等的權限。

系統服務

在安裝 Windows XP Professional 時,會建立預設的系統服務,並設定在系統啟動時即執行。許多這些系統服務並不需要在本指南中定義的環境裡執行。

Windows XP Professional 還提供其他選用的服務 (例如 IIS),這並不會在作業系統的預設安裝過程中安裝。您可以使用 [新增或移除程式] 或建立自訂的 Windows XP Professional 自動安裝,將這些選用服務加入現有的系統。

重要事項:請謹記任何服務或應用程式都是潛在的攻擊點。因此,您環境中任何不需要的服務或可執行檔都應該加以停用或移除。

「系統服務」設定可在 Windows XP Professional 的下列位置,於「群組原則物件編輯器」中設定:

Computer Configuration\Windows Settings\Security Settings\System Services

系統管理員可設定系統服務的啟動模式,並變更各自的安全性設定。

  • 若要檢視系統服務設定:

    1. 開啟 [安全性範本管理主控台]。

      注意:[安全性範本管理主控台] 並不是預設就加入功能表中。若要加入它,請啟動 Microsoft Management Console (mmc.exe),並加入 [安全性範本嵌入式單元]。

    2. 按兩下安全性範本檔目錄,再按兩下安全性範本檔。

    3. 按兩下 [系統服務] 項目,將可用的服務顯示在右邊窗格中。

    4. 按兩下您想要設定的服務,其內容對話方塊就會開啟。

    5. 選取 [定義範本內的這個原則設定] 對話方塊。

    6. 在 [選取服務啟動模式] 下,選取 [自動]、[手動],或 [停用]。

    7. 按一下 [編輯安全性...] 按鈕,存取安全性權限選項以變更服務。

      注意:對於安全性權限的變更應該在經由「群組原則」實作之前,在實驗環境下進行詳細的測試。

    8. 按一下 [確定] 關閉安全性設定對話方塊,再按一下 [確定] 關閉 [服務內容] 對話方塊。

本節針對本指南中定義的兩種環境,提供指定系統服務的相關詳細資訊。下表中指定的設定摘要同樣可在<Windows XP 安全性指南設定>Excel 活頁簿中找到。有關在本節當中討論的預設設定及每一設定的詳細說明等相關資訊,請參閱同系列指南《威脅與因應對策指南》,位於http://go.microsoft.com/fwlink/?LinkId=15159

[表 81] Windows XP 電腦的系統服務設定

UI 中的設定名稱

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

警訊器

警訊器

停用

停用

停用

停用

幕後智慧型傳送服務

BITS

手動

手動

停用

停用

剪貼簿

ClipSrv

停用

停用

停用

停用

傳真服務

傳真

手動

手動

停用

停用

FTP 發行服務

MSFtpsvr

停用

停用

停用

停用

IIS 管理服務

IISADMIN

停用

停用

停用

停用

信差

信差

停用

停用

停用

停用

NetMeeting 遠端桌面共用

mnmsrvc

手動

手動

停用

停用

網路 DDE

NetDDE

手動

手動

停用

停用

網路 DDE DSDM

NetDDEdsdm

手動

手動

停用

停用

遠端登錄服務

RemoteRegistry

自動

自動

停用

停用

Telnet

TlntSvr

停用

停用

停用

停用

World Wide Web 發行服務

W3SVC

停用

停用

停用

停用

警訊器

[表 82] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

警訊器

停用

停用

停用

停用


「警訊器」服務會通知選定的使用者和電腦有關系統管理的警告。請使用「警訊器」服務將警告訊息傳送給連接至您網路的指定使用者。停用此服務會導致使用系統管理警告的程式無法接收到警告。

為了確保本指南中定義的兩種環境能有更高的安全性,「警訊器」服務在本指南中定義的兩種環境裡均設定為 [停用],以防止資訊跨由網路傳送。

注意:停用此服務可能會中斷不斷電供應系統 (UPS) 警告訊息系統的功能。

幕後智慧型傳送服務

[表 83] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

BITS

手動

手動

停用

停用


「幕後智慧型傳送服務 (BITS)」是一種幕後檔案傳輸機制及佇列管理員。BITS 是用來非同步傳輸用戶端和 HTTP 伺服器之間的檔案。對 BITS 的要求是使用其他閒置的網路頻寬,來進行提交和傳輸檔案,而讓其他網路相關的活動 (例如瀏覽) 不致受到影響。

例如「幕後智慧型傳送服務」等自動網路服務,會開啟攻擊者可加以利用的可能性。

基於此理由,「幕後智慧型傳送服務」在「企業用戶端」環境裡是設定為 [手動],而在「高安全性」環境中則設定為 [停用]。

注意:停用此服務將會中斷大部份的修補程式管理解決方案,包括軟體更新服務以及 Windows 自動更新。如果您停用此服務,將需要在您環境中的每一台桌上型電腦上,以手動執行修補程式管理,或提供媒體給您環境中的使用者來安裝修補程式。

剪貼簿

[表 84] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

ClipSrv

停用

停用

停用

停用


「剪貼簿」服務可讓「剪貼簿檢視器」建立和共用可由遠端電腦檢視的資料「分頁」。此服務會依賴「網路動態資料交換 (NetDDE)」服務,來建立其他電腦可以連接的實際檔案共用區,而「剪貼簿」應用程式和服務可讓您建立要共用的資料分頁。任何明確依賴此服務的服務都將失敗。不過,clipbrd.exe 可用來檢視本機剪貼簿 - 即當使用者選取文字,再按一下 [編輯] 功能表上的 [複製],或按下 CTRL+C 時存放資料的地方。

為了確保本指南中定義的兩種環境能有更高的安全性,「剪貼簿」服務乃設定為 [停用]。

傳真服務

[表 85] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

傳真

手動

手動

停用

停用


「傳真服務」服務是一種語音 API (TAPI) 相容的服務,提供您環境中用戶端傳真的能力。「傳真服務」允許使用者從其桌面應用程式,使用本機傳真裝置或共用網路傳真裝置,來傳送及接收傳真。

基於此理由,「傳真服務」在「企業用戶端」環境中係設定為 [手動]。然而,此服務在「高安全性」環境中是設定為 [停用],以確保更高的安全性。

FTP 發行服務

[表 86] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

MSFtpsvr

停用

停用

停用

停用


「FTP 發行服務」透過 IIS 嵌入式管理單元,來提供連線能力和管理功能。建議不要在您環境中的 Windows XP 用戶端上安裝「FTP 發行服務」,除非有商務上的需要。

基於此理由,「FTP 發行服務」在本指南中定義的兩種環境裡,均設定為 [停用]。

IIS 管理服務

[表 87] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

IISADMIN

停用

停用

停用

停用


「IIS 管理服務」允許管理 IIS 元件,例如:FTP、應用程式集區、網站,以及 Web 服務延伸。停用此服務可防止使用者在他們的電腦上執行網站或 FTP 站台。這些功能在大部份的 Windows XP 用戶端電腦上是不必要的。

基於這些理由,「IIS 管理服務」在本指南中定義的兩種環境裡,均設定為 [停用]。

信差

[表 88] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

信差

停用

停用

停用

停用


「信差」服務會在用戶端和伺服器之間傳輸及傳送「警訊器」服務訊息。此服務與 Windows Messenger 無關,而且對 Windows XP 用戶端電腦並不是必要的。

基於此理由,「信差」服務在本指南中定義的兩種環境裡,均設定為 [停用]。

NetMeeting 遠端桌面共用

[表 89] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

mnmsrvc

手動

手動

停用

停用


「NetMeeting 遠端桌面共用」服務允許已授權的使用者使用 Microsoft NetMeeting®,經由公司內部網路存取遠端的用戶端。此服務必須在 NetMeeting 中明確地啟用。您還可以在 NetMeeting 中停用此服務,或經由 Windows 紙匣圖示來關閉該服務。建議停用此服務來防止使用者從遠端存取您環境中的用戶端。

基於此理由,「NetMeeting 遠端桌面共用」服務在「高安全性」環境中是設定為 [停用],以確保更高的安全性。不過,此服務在「企業用戶端」環境中則保留為預設的 [手動] 設定。

網路 DDE

[表 90] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

NetDDE

手動

手動

停用

停用


「網路 DDE」服務為在相同電腦或不同電腦上執行的「動態資料交換 (DDE)」程式,提供了網路傳輸和安全性。攻擊者可利用「網路 DDE」服務,以及其他此類的自動化網路服務。

基於此理由,[網路 DDE] 設定在「高安全性」環境中是設定為 [停用],以確保更高的安全性。不過,此服務在「企業用戶端」環境中則保留為預設的 [手動] 設定。

網路 DDE DSDM

[表 91] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

NetDDEdsdm

手動

手動

停用

停用


「網路 DDE DSDM」服務管理著 DDE 網路共用區。此服務僅由「網路 DDE」服務使用,來管理共用的 DDE 交談。攻擊者可利用「網路 DDE DSDM」服務,以及其他此類的自動化網路服務。

基於此理由,[網路 DDE DSDM] 服務在「高安全性」環境中是設定為 [停用],以確保更高的安全性。不過,此服務在「企業用戶端」環境中則保留為預設的 [手動] 設定。

遠端登錄服務

[表 92] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

RemoteRegistry

自動

自動

停用

停用


「遠端登錄服務」允許使用者修改您電腦上的登錄設定 - 只要他們具有必要的權限。此服務主要是由遠端系統管理員及效能計數器所使用。停用「遠端登錄服務」會將修改登錄的能力限制在本機電腦上,而任何明確依賴此服務的服務都將失敗。此設定是用來在本指南中定義的「高安全性」環境裡,封鎖登錄的存取權。

基於這些理由,「遠端登錄服務」在「企業用戶端」環境裡是設定為 [自動],而在「高安全性」環境中則設定為 [停用]。

注意:停用此服務將會中斷大部份的修補程式管理解決方案,包括「軟體更新服務」以及「Windows 自動更新」。如果您停用此服務,將需要在您環境中的每一台桌上型電腦上,以手動執行修補程式管理,或提供媒體給您環境中的使用者來安裝修補程式。

Telnet

[表 93] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

TlntSvr

停用

停用

停用

停用


Windows 的「Telnet」服務為 Telnet 用戶端提供了 ASCII 終端機工作階段。此服務支援兩種驗證類型以及下列四種終端機類型:ANSI、VT-100、VT-52 和 VTNT。然而,此服務對大部份 Windows XP 用戶端並不是必要的。

基於此理由,「Telnet」服務在本指南中定義的兩種環境裡,均設定為 [停用]。

World Wide Web 發行服務

[表 94] 設定

服務名稱

企業用戶端桌上型電腦

企業用戶端膝上型電腦

高安全性桌上型電腦

高安全性膝上型電腦

W3SVC

停用

停用

停用

停用


「World Wide Web 發行服務」透過 IIS 嵌入式管理單元,提供 Web 連線能力和管理功能。不過,此服務對大部份 Windows XP 用戶端並不是必要的。

基於此理由,「World Wide Web 發行服務」在本指南中定義的兩種環境裡,均設定為 [停用]。

保障檔案系統安全

NTFS 檔案系統在 Microsoft Windows 的每一個新版本都有加以改良。NTFS 的預設權限對大多數組織而言業已足夠。本節所討論的設定是針對在本指南中定義的「高安全性」環境裡,使用膝上型和桌上型電腦的組織所提供。

檔案系統安全性設定可使用「群組原則」來修改。「檔案系統」設定可在 Windows XP 的下列位置,於「群組原則物件編輯器」中設定:

Computer Configuration\Windows Settings\Security Settings\File System

注意:任何對預設檔案系統安全性設定的變更在大型組織中進行部署之前,都應該先在實驗環境裡經過詳細的測試。曾經發生過一些更改檔案權限的情況,其中電腦受檔案權限影響,因而必須要完全重建。

進階權限

您可以按一下 [進階] 按鈕,將檔案權限設定為比其原先在 [權限] 對話方塊中所提供的控制權還高。下表顯示這些進階權限的清單。

[表 95] 進階檔案權限及說明

進階權限

說明

周遊資料夾/執行

「周遊資料夾」權限允許或拒絕使用者對在資料夾間移動,以到達其他檔案或資料夾的要求,即使使用者沒有周遊資料夾的權限 (此權限僅適用於資料夾)。

列出資料夾/讀取資料

「列出資料夾」權限允許或拒絕使用者對檢視在特定資料夾中的檔案名稱及子資料夾名稱的要求。此權限只會影響該資料夾的內容,而不會影響是否會列出您正在其上設定權限的資料夾。此權限僅適用於資料夾。
「讀取資料」權限允許或拒絕檢視檔案中的資料 (此權限僅適用於檔案)。

讀取屬性

「讀取屬性」權限允許或拒絕使用者對檢視檔案或資料夾屬性 (例如唯讀及隱藏) 的要求。屬性是由 NTFS 定義。

讀取延伸屬性

「讀取延伸屬性」權限允許或拒絕使用者對檢視檔案或資料夾延伸屬性的要求。延伸屬性是由程式定義,而且可能依程式而異。

建立檔案/寫入資料

「建立檔案」權限允許或拒絕使用者對在資料夾當中建立檔案的要求 (此權限僅適用於資料夾)。
「寫入資料」權限允許或拒絕使用者對檔案進行變更,並覆寫現有的內容的要求 (此權限僅適用於檔案)。

建立資料夾/附加資料

「建立資料夾」權限允許或拒絕使用者對在特定資料夾當中建立資料夾的要求 (此權限僅適用於資料夾)。
「附加資料」權限允許或拒絕使用者對檔案的結尾進行變更,但不變更、刪除或覆寫現有資料的要求 (此權限僅適用於檔案)。

寫入屬性

「寫入屬性」權限允許或拒絕使用者對變更檔案或資料夾屬性 (例如唯讀或隱藏) 的要求。屬性是由 NTFS 定義。

寫入延伸屬性

「寫入延伸屬性」權限允許或拒絕使用者對變更檔案或資料夾的延伸屬性的要求。延伸屬性是由程式定義,而且可能依程式而異。

刪除子資料夾及檔案

「刪除子資料夾及檔案」權限允許或拒絕使用者對刪除子資料夾和檔案的要求,即使未授予子資料夾或檔案「刪除」權限 (此權限僅適用於資料夾)。

刪除

「刪除」權限允許或拒絕使用者對刪除檔案或資料夾的要求。雖然您在檔案或資料夾上沒有啟用「刪除」權限,但如果父資料夾已獲得「刪除子資料夾及檔案」權限的話,仍然可以將之刪除。

讀取權限

「讀取權限」允許或拒絕使用者對讀取檔案或資料夾權限 (例如完整控制、讀取或寫入) 的要求。

變更權限

「變更權限」允許或拒絕使用者對變更檔案或資料夾權限 (例如完整控制、讀取或寫入) 的要求。

取得所有權

「取得擁有權」權限允許或拒絕使用者取得檔案或資料夾擁有權的要求。檔案或資料夾的擁有者永遠能夠變更其上的權限,而不管任何保護檔案或資料夾的現有權限為何。


以下三個額外的詞彙是用來說明套用至檔案和資料夾的權限繼承:

  • 傳播指的是將可繼承的權限傳播給所有子資料夾及檔案。物件的任何子物件都會繼承父物件的安全性設定,只要子物件不受到保護而可接受權限繼承的話。如果有發生衝突,則子物件上的明確授權將會覆寫從父物件繼承的權限。

  • 取代指的是以可繼承的權限取代所有子資料夾及檔案上的現有權限。不論子物件的設定為何,父物件的權限項目都將覆寫任何子物件上的安全性設定。子物件將擁有與父物件一模一樣的存取控制項目。

  • 忽略指的是不允許檔案或資料夾 (或金鑰) 上的權限被取代。假設您不想設定或分析此物件或任何其子物件的安全性的話,請使用此設定選項。

檔案系統設定

以下檔案系統設定規則背後的邏輯是要移除 [任何人] 群組的檔案及資料夾權限,並接著將相同的權限授予本機 [使用者] 群組。您可以遵循相同的策略來限制 [進階使用者] 群組,但經由「群組原則」來設定和套用 [受限群組] 設定比較簡單。

建議移除 [任何人] 群組的權限,因為其中包括了未擁有經過驗證帳戶和密碼的使用者。

[表 96] 檔案系統安全性設定

資料夾或檔案

使用者群組

建議權限

適用於

繼承方法

%AllUsersProfile%
(包含
所有使用者的
桌面和
設定檔屬性的資料夾,
通常是 C:\Documents
and Settings\All Users。)

系統管理員
系統
使用者

完整控制
完整控制
讀取,執行

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

傳播

%AllUsersProfile%
\Application Data
\Microsoft(包含
Microsoft
應用程式
狀態資料。)

系統管理員
系統
使用者
進階使用者

完整控制
完整控制
讀取,執行
周遊資料夾,
執行檔案列出
資料夾,讀取資料,
讀取屬性,
讀取延伸
屬性,建立
檔案,寫入資料,
建立資料夾,
附加資料,
寫入屬性,
寫入延伸
屬性,刪除
子資料夾及
檔案,刪除,
讀取權限

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

取代

%AllUsersProfile%
\Application Data
\Microsoft\Crypto
\DSS\MachineKeys

系統管理員
系統
使用者

完整控制
完整控制
列出資料夾,
讀取屬性,
讀取延伸
屬性,建立
檔案,建立
資料夾,寫入
屬性,寫入
延伸屬性,
讀取
權限

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
僅資料夾

取代

%AllUsersProfile%
\Application Data
\Microsoft\Crypto
\RSA\MachineKeys

系統管理員
系統
使用者

完整控制
完整控制
列出資料夾,
讀取屬性,
讀取延伸
屬性,建立
檔案,建立
資料夾,寫入
屬性,寫入
延伸屬性,
讀取權限

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
僅資料夾

取代

%AllUsersProfile%
\Application Data
\Microsoft\HTML Help

系統管理員
系統
使用者
進階使用者

完整控制
完整控制
讀取 & 執行
修改

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

取代

%AllUsersProfile%
\Application Data
\Microsoft\Media
Index

系統管理員
系統
使用者
使用者
使用者
進階使用者

完整控制
完整控制
建立檔案,
建立資料夾,
寫入屬性,
寫入延伸
屬性,讀取
權限
寫入
讀取,執行
周遊資料夾,
執行檔案
列出資料夾,
讀取資料
讀取屬性,
讀取延伸
屬性,建立
檔案,寫入資料,
建立資料夾,
附加資料,
寫入屬性,
寫入延伸
屬性,刪除
子資料夾及
檔案,刪除
讀取權限

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
僅資料夾
僅子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

取代

%AllUsersProfile%\DRM

忽略

   

忽略

%SystemDrive%
(安裝
Windows XP
的磁碟機。
包含重要的
系統啟動

組態
檔。)

系統管理員
建立者擁有者
系統
使用者

完整控制
完整控制
完整控制
讀取,執行

資料夾、子資料夾及檔案資料夾、子資料夾及檔案
僅子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

傳播

%SystemDrive%
\Documents and
Settings(資料夾
包含使用者
及預設的
設定檔。)

系統管理員
系統
使用者
進階使用者

完整控制
完整控制
讀取,執行
讀取,執行

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

傳播

%SystemDrive%
\Documents and
Settings\Default
User(資料夾
包含
預設的桌面
及設定檔
屬性
針對第一

登入的
使用者。)

系統管理員
系統
使用者
進階使用者

完整控制
完整控制
讀取,執行
讀取 & 執行

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

取代

%SystemRoot%\Installer

系統管理員
系統
使用者

完整控制
完整控制
讀取,執行

資料夾、子資料夾及檔案
資料夾、子資料夾及檔案
資料夾、子資料夾及檔案

取代

%SystemRoot%
\Registration
(資料夾包含
由 COM+
應用程式讀取的
Component Load
Balancing (CLB)
登錄檔案。)

系統管理員
系統
使用者

完整控制
完整控制
讀取

資料夾及檔案
資料夾及檔案
資料夾及檔案

取代


總結

在本指南中定義的兩種環境裡,為保障執行 Windows XP Professional 電腦的安全,本單元詳細探討了每一種設定的主要安全性設定及建議組態。當為您的組織考量安全性原則時,謹記安全性和使用者產能之間的折衷辦法。為了保護使用者來對抗惡意的程式碼和攻擊者,必須要在充足的電腦安全性,與確保使用者能繼續執行其工作,不會因過度限制安全性原則而使努力白費之間取得平衡點。

其他資訊

如需有維護 Windows XP Professional 安全性的詳細資訊,請參閱:http://www.microsoft.com/windowsxp/security/

如需 Windows XP 中新安全性功能的詳細資訊,請參閱<Windows XP Professional 和 Windows XP Home Edition 的安全性有何新功能>,位於:http://www.microsoft.com/windowsxp/pro/techinfo/planning/security/whatsnew/default.asp

如需安全通道的詳細資訊,請參閱《Windows 2000 Magazine》中的<NT 4.0 中的安全通道 (Secure Channels in NT 4.0)>一文,位於:http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnntmag00/html/secure.asp

如需 Windows 作業系統安全性的詳細資訊,請參閱 Microsoft Windows Security Resource Kit,位於:http://www.microsoft.com/MSPress/books/6418.asp

如需 Windows XP 的加密檔案系統功能的詳細資訊,請參閱<加密您的資料以保持安全 (Encrypt Your Data to Keep It Safe)>,位於:http://www.microsoft.com/windowsxp/pro/using/howto/security/encryptdata.asp


本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見
顯示:
© 2014 Microsoft