本單元提供概念性介紹,以便將「群組原則」套用至 Microsoft Windows Server™ 2003 和 Microsoft Windows 2000 Server 網域中的 Microsoft® Windows® XP Professional 用戶端。「群組原則」是 Microsoft Active Directory® 目錄服務的一項功能,讓系統管理員能夠變更使用者和電腦設定並管理組態。不過,在您將「群組原則」套用至環境中的 Microsoft Windows XP Professional 用戶端之前,需要先在您的網域中進行特定的預備步驟。
「群組原則」是保障 Windows XP 安全之不可或缺的工具。本單元提供詳細資訊,說明如何從中央位置跨網路地使用群組原則,來套用和維護一致的安全性原則。
「群組原則」是 Active Directory 的一項功能,可變更使用者和電腦的設定,以及管理 Windows Server 2003 和 Windows 2000 Server 網域。然而,在您將群組原則套用至環境中的 Windows XP Professional 用戶端之前,需要先在您的網域中進行特定的預備步驟。
群組原則設定儲存在您環境內的網域控制站上的「群組原則物件 (GPO)」中。GPO 與包含 Active Directory 站台、網域和組織單位 (OU) 的容器相連結。由於群組原則與 Active Directory 如此緊密地整合,因此在實作群組原則之前,必須先瞭解 Active Directory 結構和不同設定選項對於安全性的影響。如需有關 Active Directory 設計的詳細資訊,請參閱《Windows Server 2003 安全性指南》的<設定網域基礎結構>單元。
[表 1] 基礎安全性範本
說明
企業用戶端
高安全性
用戶端的基準安全性範本
企業用戶端-domain.inf
高安全性-domain.inf
[](#mainsection)[回到頁首](#mainsection)
### 支援安全性管理的 OU 設計
OU 是 Active Directory 網域當中的一個容器。OU 可以包含使用者、群組、電腦和其他組織單位,稱為子 OU。您可將 GPO 與 OU 連結,這是 Active Directory 階層中最低層的容器。您也可以委派系統管理授權給 OU。OU 提供一個簡單的方法,可以為使用者、電腦和其他安全性主體分組,也是區隔系統管理界限的有效方法。請將使用者和電腦指定到不同的 OU,因為部份設定只能套用到使用者,而部份只能套用到電腦。
您可以使用 Active Directory 使用者和電腦 Microsoft Management Console (MMC) 嵌入式管理單元所提供的「委派精靈」,來委派對群組或個別 OU 的控制權。請參閱本單元最後的<其他資訊>,即可連結至有關委派授權的說明文件。
設計環境 OU 結構的主要目標,是要提供一個根基來建立完整的群組原則實作,以涵蓋存在 Active Directory 中的所有的工作站,同時確保它們符合 貴組織的安全性標準。另外,OU 結構的設計必須針對組織內的特定使用者類型,提供適合的安全性設定。例如,准許開發人員在他們的工作站上進行的工作,可以是不允許一般使用者進行的工作。膝上型電腦使用者的安全性需求,可能會與桌上型電腦使用者稍有差異。下圖代表一個簡單的 OU 結構,可搭配本單元針對群組原則的討論。此 OU 的結構可能與您環境中的組織需求不太一樣。
.jpg)
\[圖 1\]
*Windows XP 電腦的 OU 結構*
#### 部門 OU
隨著組織內部安全性需求經常的變化,在您的環境中建立部門 OU 應該蠻實用的。部門安全性設定可經由 GPO 套用到個別部門 OU 中的電腦和使用者。
##### 安全的 XP 使用者 OU
此 OU 包含同時參與「企業用戶端」和「高安全性」環境的使用者帳戶。套用至此 OU 的設定在<[Windows XP 的系統管理範本](https://technet.microsoft.com/zh-tw/library/ea5bf940-970e-41fb-bcda-d9b352de7994(v=TechNet.10))>單元的<使用者組態>一節有加以討論。
##### Windows XP OU
此 OU 包含您環境中每種 Windows XP 用戶端的子 OU。此處涵蓋了桌上型和膝上型用戶端的指引。也因此建立了「桌上型電腦 OU」和「膝上型電腦 OU」。
- **桌上型電腦 OU**:此 OU 包含與您的公司網路經常保持連線的桌上型電腦。套用至此 OU 的設定在<[Windows XP 用戶端的安全性設定](https://technet.microsoft.com/zh-tw/library/b99e97dd-274e-4d2d-a9c2-ffb6a2e35194(v=TechNet.10))>和<[Windows XP 的系統管理範本](https://technet.microsoft.com/zh-tw/library/ea5bf940-970e-41fb-bcda-d9b352de7994(v=TechNet.10))>兩單元有詳加探討。
- **膝上型電腦 OU**:此 OU 包含並未與您的公司網路始終保持連線之行動使用者的膝上型電腦。套用至此 OU 的設定在<[Windows XP 用戶端的安全性設定](https://technet.microsoft.com/zh-tw/library/b99e97dd-274e-4d2d-a9c2-ffb6a2e35194(v=TechNet.10))>和<[Windows XP 的系統管理範本](https://technet.microsoft.com/zh-tw/library/ea5bf940-970e-41fb-bcda-d9b352de7994(v=TechNet.10))>兩單元有詳加探討。
[](#mainsection)[回到頁首](#mainsection)
### 支援安全性管理的 GPO 設計
請使用 GPO 來確保特定設定、使用者權限和行為已套用到所有的工作站或 OU 當中的使用者。透過使用群組原則而非手冊上的步驟,比較容易更新在未來需要其他變更的大量工作站或使用者。代替使用 GPO 來套用這些設定另外可行的方法是,派遣一位技術人員在每一用戶端上進行手動設定。
.jpg)
\[圖 2\]
*GPO 應用程式物件層次*
上列圖表說明 GPO 套用至屬於子 OU 成員之一的電腦之順序。群組原則會先從每一 Windows XP 工作站的本機原則開始套用。在套用本機原則之後,接著會套用在站台層級的所有 GPO,然後是網域層級。
對於巢放在不同 OU 層的 Windows XP 用戶端而言,GPO 會以階層中最高的 OU 層級到最低層級的順序套用。最後的 GPO 會從包含用戶端電腦的 OU 套用。GPO 處理的順序 - 本機原則、站台、網域、父 OU 和子 OU - 非常重要,因為在過程中稍後套用的 GPO 會覆寫先前套用的 GPO。使用者 GPO 也是以相同的方式套用,唯一的差別在於使用者帳戶並沒有本機安全性原則。
在設計群組原則時,請將下列考量事項謹記在心。
- 系統管理員必須設定您將多個 GPO 與 OU 連結的順序,否則將依其與 OU 連結的預設順序套用原則。如果在多個原則中指定相同的順序,會優先採用該容器之原則清單當中最高的原則。
- 您可以 \[無覆寫\] 選項來設定 GPO。藉由選取此選項,其他 GPO 就無法覆寫為此原則設定的設定值。
- 您可以 \[封鎖原則繼承\] 選項來設定 Active Directory、站台、網域或 OU。此選項會封鎖處於 Active Directory 較高階層的 GPO 之 GPO 設定,除非它們已選取 \[無覆寫\] 選項。
- 群組原則設定會根據使用者或電腦物件於 Active Directory 中所在的位置來套用到使用者和電腦。在某些情況下,使用者物件可能需要原則根據電腦物件的位置,而不是使用者物件的位置套用到它們身上。群組原則回送處理功能讓系統管理員有能力根據使用者登入哪台電腦來套用使用者「群組原則」設定。如需有關回送處理支援的詳細資訊,請參閱本單元<其他資訊>中所列出的《群組原則》白皮書。
下圖展開了初步的 OU 結構來說明 GPO 可能如何套用至屬於膝上型和桌上型 OU 且執行 Windows XP 的用戶端。
.jpg)
\[圖 3\]
*展開的 OU 結構與執行 Windows 的桌上型和膝上型電腦的安全性 GPO*
在上述範例中,膝上型電腦是「膝上型電腦 OU」的成員。第一個套用的原則是執行 Windows XP 的膝上型電腦上的「本機安全性原則」。因為在此範例中只有一個站台,因此站台層級尚未套用任何 GPO,使得「網域 GPO」成為下一個要套用的原則。最後套用的是「膝上型電腦 GPO」。
**注意:** 「桌上型電腦原則」並未套用到任何膝上型電腦,因為它不與內含「膝上型電腦 OU」的階層內的任何 OU 相連結。此外,「安全的 XP 使用者 OU」也沒有相對應的安全性範本 (.inf 檔),因為它只包含「系統管理範本」的設定。
為了示範 GPO 之間的優先順序是怎麼運作的,\[允許透過終端機服務登入\] 的 Windows XP OU 原則設定會設為 \[系統管理員\] 群組。而 \[允許透過終端機服務登入\] 的膝上型 GPO 設定則設為 \[進階使用者 (Power User)\] 和 \[系統管理員\] 群組。在此例中,其帳戶屬於 \[進階使用者\] 群組的使用者可使用終端機服務登入膝上型電腦。這是因為「膝上型電腦 OU」是 Windows XP OU 的子項。如果啟用了 Windows XP GPO 中的 \[無覆寫\] 選項,則只有其帳戶屬於 \[系統管理員\] 群組的人才能使用「終端機服務」登入用戶端。
#### 安全性範本
群組原則範本是以文字為主的檔案。您可以使用 MMC 的「安全性範本」嵌入式管理單元或使用文字編輯器 (例如記事本) 來變更這些檔案。範本檔案的部份區段包含特定的存取控制清單 (ACL),由 Security Descriptor Definition Language (SDDL) 所定義。有關編輯安全性範本和 SDDL 的詳細資訊,請參閱本單元中的<其他資訊>一節。
##### 安全性範本管理
將實際執行的環境中所使用之安全性範本,儲存在基礎結構中一個安全的位置內是相當重要的。對安全性範本的存取權應該只授予負責實作「群組原則」的系統管理員。安全性範本預設會存放在所有執行 Windows XP 和 Windows Server 2003 的電腦上的 %SystemRoot%\\security\\templates 資料夾。
此資料夾不會跨多網域控制站複寫。因此,您需要選擇一個網域控制站來保存安全性範本的主複本,這樣一來就不會碰到範本的版本控制問題。這個最佳作法可確保您修改的永遠都是範本的相同版本。
##### 匯入安全性範本
請使用下列步驟來匯入安全性範本。
- **若要將安全性範本匯入 GPO 中:**
1. 巡覽至「群組原則物件編輯器」中的 \[Windows 設定\] 資料夾。
2. 展開 \[Windows 設定\] 資料夾並選取 \[安全性設定\]。
3. 在 \[安全性設定\] 資料夾上按一下滑鼠右鍵,再按一下 \[匯入原則\]。
4. 選取您要匯入的安全性範本,再按一下 \[開啟\]。此檔案的設定接著便會匯入到 GPO 中。
#### 系統管理範本
名為「系統管理範本」的 Unicode 檔內有提供額外的安全性設定。系統管理範本是包含影響 Windows XP 及其元件,以及其他應用程式 (例如 Microsoft Office XP) 登錄設定的檔案。系統管理範本可包含電腦設定,也可包含使用者設定。電腦設定是存放在 **HKEY\_LOCAL\_MACHINE** 登錄群組中。使用者設定則存放在 **HKEY\_CURRENT\_USER** 登錄群組中。
##### 系統管理範本管理
將實際執行的環境中所使用之系統管理範本,儲存在基礎結構中一個安全的位置內是相當重要的,就跟上述儲存安全性範本的最佳作法一樣。只有負責實作群組原則的系統管理員才應該具有此位置的存取權。Windows XP 和 Windows 2003 Server 隨附的系統管理範本乃儲存在 %systemroot%\\inf 目錄中。Office XP 的其他範本則包含在 Office XP Resource Kit 中。這些範本都不應該編輯,因為他們可能會在 Service Pack 發行時有所變更。
##### 新增系統管理範本到原則中
除了 Windows XP 隨附的系統管理範本之外,也請將 Office XP 範本套用至您希望設定 Office XP 的該些 GPO 中。請使用下列步驟新增額外的範本到 GPO 中。
- **若要新增系統管理範本到 GPO:**
1. 巡覽至「群組原則物件編輯器」中的 \[系統管理範本\] 資料夾。
2. 在 \[系統管理範本\] 資料夾上按一下滑鼠右鍵,再按一下 \[新增/移除範本\]。
3. 在 \[新增/移除範本\] 對話方塊中,按一下 \[新增\]。
4. 巡覽至內含您的系統管理範本檔的資料夾。
5. 選取您要新增的範本,再按一下 \[開啟\],接著按 \[關閉\]。
[](#mainsection)[回到頁首](#mainsection)
### 網域層級的群組原則
網域層級的群組原則包含套用到網域內所有電腦和使用者的設定。網域層級安全性在《Windows Server 2003 安全性指南》的<[在 Windows Server 2003 環境中設定網域基礎結構](https://technet.microsoft.com/zh-tw/library/7063c20d-8726-451f-8d8a-0e90302546b1(v=TechNet.10))>中有詳加探討,位於:[https://go.microsoft.com/fwlink/?LinkId=14845](https://go.microsoft.com/fwlink/?linkid=14845)。
#### 密碼原則
定期變更的複雜密碼可降低成功密碼攻擊的可能性。密碼原則設定控制著密碼的複雜度和存留期。本節將探討「企業用戶端」及「高安全性」環境的每一密碼原則設定。
請在「群組原則物件編輯器」中的以下位置設定下列「網域群組原則」中的值:
Computer Configuration\\Windows Settings\\Security Settings\\Account Policies\\Password Policy
下表包括針對本指南中定義的兩種安全環境,所建議的密碼原則。
#### 強制執行密碼歷程記錄
**\[表 2\] 設定**
\[密碼必須符合複雜性需求\] 設定會檢查所有的新密碼,以確保它們達到強性密碼的基本需求。此設定的值在 Windows XP 中預設設定為 \[停用\],但此設定在 Windows Server 2003 網域中是 \[啟用\] 的。
另外,密碼中每多增一個字元就使它的複雜度成指數性成長。例如,一個七個數字的密碼會有 267,或 1 x 107 種可能的組合。七個字母字元的密碼加上大小寫就有 527 種的組合。七個分大小寫字母字元的密碼不加標點符號有 627 種的組合。以每秒進行 1,000,000 次嘗試的速度,只需要 48 分鐘就可以破解。一個八個字元的密碼會有 268,或 2 x 1011 種可能的組合。表面上看來,這好像是很驚人的數字。然而,以許多破解密碼公用程式每秒進行 1,000,000 次嘗試的能力來說,只需要花 59 個小時就可以嘗試所有可能的密碼。記住,這些數字隨著使用 ALT 字元和其他特殊鍵盤字元 (例如 ! 或 @) 的密碼而大幅增加。
搭配使用這些設定可讓暴力攻擊的準備工作難上加難 (但不是不可能)。
#### 使用可還原的加密來存放網域中所有使用者的密碼
**\[表 7\] 設定**
網域控制站預設值
企業用戶端
高安全性
停用
停用
停用
\[使用可還原的加密來存放網域中所有使用者的密碼\] 設定指出作業系統是否使用可還原的加密來儲存密碼。此設定提供對使用通訊協定來獲知使用者的密碼以供驗證用途的應用程式的支援。使用可還原的加密來儲存密碼跟儲存純文字版本的密碼基本上是一樣的。基於此原因,除非應用程式需求比保護密碼資訊還重要,否則決不應該啟用本原則。此設定的預設值為 \[停用\]。
在透過遠端存取或「網際網路驗證服務 (IAS)」使用「Challenge-Handshake 驗證通訊協定 (CHAP)」時,必須要用到此原則。在 Microsoft Internet Information Services (IIS) 中使用「摘要式驗證」時也需要用到此原則。
確保 \[使用可還原的加密來存放網域中所有使用者的密碼\] 設定的值已設為 \[停用\]。此設定在 Windows Server 2003 的預設網域 GPO,以及在工作站和伺服器的本機安全性原則中是停用的。
因為啟用此設定所造成的重大弱點,Microsoft 建議在本指南中定義的兩種環境中強制執行 \[停用\] 預設值。
#### 防止使用者在除非必要時變更密碼
除了上述的密碼原則外,集中控制所有使用者對部份組織也是必備的。本節將說明如何防止使用者在除非必要的時候變更他們的密碼。
集中控制使用者密碼是精心設計之 Windows XP 安全性配置的基石。您可以使用「群組原則」來設定稍早討論到的密碼最短及最長使用期限。但要注意,要求密碼經常變更會讓使用者規避您環境中的密碼歷程記錄設定。要求使用過長的密碼可能也會因使用者忘記密碼而導致服務支援電話量的增加。
使用者可以在密碼最短和最長使用期限的期間內變更他們的密碼。不過,「高安全性」環境的安全性設計會要求使用者只有在他們的密碼達到 42 天的上限而作業系統提示他們的時候,才能變更密碼。系統管理員可設定 Windows 只允許使用者在作業系統提示他們變更密碼的時候才能變更。若要防止使用者變更他們密碼 (除非必要),您可以停用在您按下 CTRL+ALT+DELETE 時出現的 \[Windows 安全性\] 對話方塊中的 \[變更密碼\] 按鈕。
您可以使用群組原則針對整個網域實作此項設定,或藉由編輯登錄針對一個或多個特定的使用者來實作此設定。有關此設定的詳細指示,請參閱微軟知識庫文件 324744《How To:Prevent Users from Changing a Password Except When Required in Windows Server 2003 (英文)》,位於:
\[網路存取:允許匿名 SID/名稱轉譯\] 設定指出匿名使用者是否能夠要求另一名使用者的 SID。
如果在網域控制站上啟用此設定,則知道系統管理員 SID 屬性的使用者就能夠連繫同樣有啟用此原則的電腦,並使用該 SID 來取得系統管理員的名稱。該人員接著可利用該帳戶名稱來初始密碼猜測攻擊。「成員電腦」上的預設設定是 \[停用\],這對它們沒有影響。不過,「網域控制站」的預設設定是 \[啟用\]。停用此設定可能會造成傳統系統無法與如下 Windows Server 2003 架構的網域通訊:
- Microsoft Windows NT® 4.0 架構的遠端存取服務伺服器。
- 當 IIS 上的 Web 應用程式設定成允許 \[基本驗證\],並同時停用 \[匿名存取\] 的話,內建的「來賓」使用者帳戶就無法存取 Web 應用程式。同樣地,如果您將內建「來賓」使用者帳戶重新命名稱另一個名稱,則新名稱也無法用來存取 Web 應用程式。
- 在位於 Windows NT 3.x 網域或 Windows NT 4.0 網域內的 Windows 2000 電腦上執行的遠端存取服務伺服器。
#### 網路安全性:強制限制登入時數
**\[表 14\] 設定**
網域成員預設值
企業用戶端
高安全性
停用
啟用
啟用
\[網路安全性:強制限制登入時數\] 設定,會決定是否要在連線到本機電腦的使用者超過其使用者帳戶的有效登入時數時,中斷其連線。此設定會影響 SMB 元件。
啟用此原則會在用戶端的登入時數過期時,強制中斷使用 SMB 伺服器的用戶端工作階段,而且使用者在直到其下次排定的存取時間之前,都無法登入系統。停用此原則可在用戶端的登入時數過期時,繼續維持建立的用戶端工作階段。若要影響網域帳戶,此設定必須在「預設網域原則」中定義。
[](#mainsection)[回到頁首](#mainsection)
### Kerberos 原則
Kerberos version 5 驗證通訊協定的原則是在網域控制站上,而不是在網域的成員電腦上設定的。這些原則會決定 Kerberos 的相關設定,例如票證存留期和強制執行。Kerberos 原則不存在「本機電腦原則」中。在大多數環境中,這些原則的預設值都不應該變更。本指南並未提供對預設 Kerberos 原則的任何變更。有關這些設定的詳細資訊,請參閱同系列的指南《Threats and Countermeasures:Security Settings in Windows Server 2003 and Windows XP (英文)》,位於 https://go.microsoft.com/fwlink/?LinkId=15159。
[](#mainsection)[回到頁首](#mainsection)
### OU 層級的群組原則
包含在此 OU 層級的群組原則中的安全性設定應該是特別針對該 OU。這同時包括電腦設定和使用者設定。為方便管理和改進安全性,探討「軟體限制原則 (SRP)」的章節已與本指南中的其他安全性設定分開。<[Windows XP 用戶端的軟體限制原則](https://www.microsoft.com/technet/security/guidance/secmod65.mspx)>單元詳細探討 SRP。
#### 安全性設定群組原則
您需要為您環境中的每個 Windows XP 電腦類別分別建立一個 GPO。膝上型和桌上型電腦在本指南中已劃分成不同的 OU,以便套用針對每個電腦類別自訂的 GPO。
#### 軟體限制原則設定
建立專用 GPO 以設定環境中的 SRP 設定。將 SRP 設定與其餘的「群組原則」設定分隔開來有幾個重要的理由。首先,SRP 在概念上與其他群組原則設定大不相同。SRP 並不是啟用或停用選項或設定數值,它反倒是要求系統管理員識別即將支援的應用程式集;即將套用的限制,以及將如何處理例外等。其次,此方法在實際執行的環境中實作 SRP 原則而發生災難性錯誤時,可加速迅速復原:系統管理員可暫時停用定義 SRP 設定的 GPO,而不致影響任何其他安全性設定。
[](#mainsection)[回到頁首](#mainsection)
### 群組原則工具
Windows XP 隨附有幾項工具可讓 GPO 的使用更加簡單。下一節提供有部份這些工具的簡短概觀。有關這些工具的詳細資訊,請參閱 Windows XP 的「說明」。
#### 強制群組原則更新
Active Directory 會定期更新群組原則,但您可以使用 GpUpdate (隨附在 Windows XP Professional 的一種命令列工具) 強迫更新您用戶端電腦上的版本。該工具必須在用戶端電腦上於本機執行。
若要使用 GpUpdate 工具來更新本機電腦,請鍵入下列命令:
**Gpupdate /force**
在您執行 GpUpdate 之後,會傳回下列確認資訊:
```
C:\Documents and Settings\administrator.MSSLAB>gpupdate /force
正在重新整理原則...
使用者原則重新整理已完成。
電腦原則重新整理已完成。
如果要檢查原則處理中的錯誤,請檢視事件日誌。
C:\Documents and Settings\administrator.MSSLAB>
```
對於使用者架構的群組原則,您必須登出再登回您用來測試原則的電腦。電腦原則應該會立即更新。
若要查看其他執行 Gpupdate 的選項,請鍵入:
**Gpupdate /?**
#### 檢視原則結果組
Windows XP 隨附的兩項工具可讓您確定環境內的電腦套用了哪些原則,何時套用,以及套用的順序為何。
##### RSoP 嵌入式管理單元
原則結果組工具 (RSoP.msc) 是一個 MMC 嵌入式管理單元工具,會顯示所有套用至電腦的原則其彙總設定。該工具可在本機或在遠端從另一台電腦執行。針對每一原則設定,RSoP 工具都會展示電腦設定和來源 GPO。
##### GpResult
GpResult 是一個命令列工具,提供有關群組原則最近套用至電腦的時間、在電腦套用哪些 GPO,以及套用的順序等統計數字。該工具還提供任何透過篩選套用的 GPO 的相關資訊。GpResult 工具可在用戶端上從遠端或從本機使用。
[](#mainsection)[回到頁首](#mainsection)
### 總結
「群組原則」是以 Active Directory 為基礎的功能,專為控制 Windows Server 2003 和 Windows 2000 網域內的使用者和電腦環境而設計。在將群組原則套用至您環境中的 Windows 桌面之前,您必須先在網域中執行特定的預備步驟。
儲存在您環境中網域控制站上的「群組原則物件 (GPO)」的群組原則設定會與容器相連結,其中包括常駐在 Active Directory 結構中的網站、網域和 OU。在實作群組原則之前,先了解 Active Directory 結構以及在當中設定不同設計選項的安全性含意是很重要的。
「群組原則」是保障 Windows XP 安全之不可或缺的工具。本單元包括有關您如何能夠從中央位置跨您的網路用它來套用和維護一致的安全性原則的詳細資訊。
本單元還提供不同層級的群組原則,以及 Windows XP 所提供的特殊工具,可用來更新您環境中的群組原則之相關資訊。
#### 其他資訊
有關 Active Directory 管理和設計的詳細資訊,請參閱 Microsoft 網站上的白皮書《Design Considerations for Delegation of Administration in Active Directory (英文)》: