Windows XP 安全性指南

第 1 章:Windows XP 安全性指南簡介

更新日期: 2006 年 7 月 26 日

本頁內容

概觀
執行摘要
誰應該閱讀本指南
本指南的範圍
本章概觀
下載內容
樣式慣例
總結

概觀

歡迎使用《Windows XP 安全性指南》。本指南為您提供最佳資訊,幫助您評估並防禦您環境中 Microsoft® Windows® XP Professional Service Pack 2 (SP2) 的特定安全性風險。在本指南的各章內容詳細說明如何在 Windows XP 中嚴密設定增強型安全性設定和功能,以解決環境中發現的威脅。如果您是在 Windows XP 環境中工作的顧問、設計師或系統工程師,本指南正是專為您而設計。

本指南經過 Microsoft 工程小組、顧問、支援工程師、合作夥伴和客戶的審閱及批准,具備以下特性:

  • 實證: 以實地經驗為基礎。

  • 權威: 提供最佳實用建議。

  • 準確: 通過技術驗證和測試。

  • 可行: 提供邁向成功的步驟。

  • 關聯: 解決真實世界的安全性問題。

保護用戶端和伺服器電腦安全的最佳作法,無不出自顧問和系統工程師的智慧,以其在各種環境下實作 Windows XP Professional、Microsoft Windows Server™ 2003 和 Windows 2000 的經驗開發而成,而這些最佳作法在本指南中皆有詳細敘述。此外,並提供逐步安全性指示、程序和建議,以幫助您對貴組織中執行 Windows XP Professional SP2 的電腦賦予極致的安全性。

如果您希望更深入探討本資料背後的概念,請參閱《威脅與因應對策:Windows Server 2003 和 Windows XP 中的安全性設定》、Microsoft Windows XP Resource Kit、Microsoft Windows Server 2003 Resource Kit、Microsoft Windows Security Resource Kit,以及 Microsoft TechNet。

本指南最初是針對 Windows XP SP1 所編訂。此更新版本在於強調 Windows XP SP2 所提供的重要安全性增強功能,以及其已在執行 Windows XP Professional SP2 的電腦上完成開發且通過測試。除非特別聲明,否則本指南中所指述的 Windows XP 一概為 Windows XP SP2。

執行摘要

無論您的環境為何,我們都強烈建議您不可輕忽安全性議題。許多組織往往為了歸避龐大的間接成本,而低估其所擁有的資訊技術 (IT) 環境的價值。一旦您環境中的伺服器遭到嚴重攻擊,整個組織都可能受害。倘若您公司網站遭到攻擊而癱瘓,導致收益或客戶信心嚴重流失,就有可能會造成企業獲利能力的崩垮。因此,在評估安全性成本時,您應該將與任何攻擊相關的間接成本,以及失去 IT 功能的成本,一併納入考慮。

而與安全性有關的弱點、風險和曝光度分析,能夠告訴您網路環境中所有電腦系統在安全性和可用性之間所必須作的取捨。本指南記載了 Windows XP SP2 中具備的重要安全性因應對策、所處理的弱點,以及實作每一因應對策的潛在負面後果 (如果有的話)。

本指南針對在三種常見環境中執行 Windows XP SP2 的情形,提供強化電腦系統的特定建議:

  • 企業用戶端 (EC): 此環境中的用戶端電腦是位於 Active Directory® 目錄服務網域中,並且只需要與執行 Windows 2000 或更新版本的 Windows 作業系統通訊。

  • 獨立 (SA) 用戶端: 此環境中的用戶端電腦並非 Active Directory 網域的成員,可能需要與執行 Windows NT® 4.0 的系統通訊。

  • 專業安全性限制功能 (SSLF): 由於在此環境中安全性問題相當重要,因此大幅減少功能和降低可管理性是可以接受。例如,軍事和情報單位的電腦就是在這種環境中運作。

本指南經過特別編排方便存取,方便您能迅速找出所需資訊,判斷哪種設定較適合您組織內執行 Windows XP SP2 的電腦。雖然本指南的主要目標群是針對企業客戶,但大部份內容仍適用於任何規模的組織。

為了充分利用此資料,建議閱讀整本指南。製作本指南的團隊小組希望您會覺得當中的資料有所幫助、富參考價值且有趣。如需更多資訊,您也可以參考同系列指南威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定,下載網址為:http://go.microsoft.com/fwlink/?LinkId=15159。

誰應該閱讀本指南

本指南主要適用於在企業環境中,為 Windows XP 工作站規劃應用程式或基礎結構開發及部署工作的顧問、安全性專家、系統架構設計師和 IT 專業人員。本指南並不適用於家庭使用者。本指南專為工作職責如下的個人而設計:

  • 在組織中負責推動電腦架構工作的系統架構設計師及規劃人員。

  • 負責在組織內部的多個運算平台提供安全性的 IT 安全性專家。

  • 需要靠 IT 桌上型或膝上型電腦支援關鍵商業目標和需求的商業分析家和商業決策者 (BDM)。

  • 需要有企業客戶和合作夥伴知識轉移工具的 Microsoft 服務和合作夥伴顧問。

技能與整備

下列知識和技術是在企業中負責發展、部署和保護 Windows XP 用戶端電腦安全性的系統管理員和架構設計師所必備的知識和技能。

  • 通過 MCSE 2000 或更新認證,並具有兩年以上或相等的安全性相關經驗。

  • 對公司網域及 Active Directory 環境的深入瞭解。

  • 精通管理工具,包括 MMC、Secedit、Gpupdate 和 Gpresult。

  • 管理群組原則的經驗。

  • 在企業環境中部署應用程式和用戶端電腦的經驗。


本指南的範圍

本指南的重點在於為執行 Windows XP Professional SP2 的桌上型和膝上型電腦,建立並維護安全的環境。其內容說明保障三種環境安全的不同階段,以及每一項設定如何為各階段所部署的桌上型和膝上型電腦把關。在此提供的資訊適用於企業用戶端 (EC)、獨立 (SA) 用戶端和專業安全性限制功能 (SSLF) 環境。

凡是非特別建議的設定,均未在本指南中記載。有關 Windows XP 所有安全性設定的充分探討,請參考同系列指南威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定,網址是:http://go.microsoft.com/fwlink/?LinkId=15159。

企業用戶端

企業用戶端 (EC) 環境是由 Windows 2000 或 Windows Server 2003 Active Directory 網域所組成。此環境中的用戶端電腦是透過套用至站台、網域和組織單位 (OU) 的「群組原則」來進行管理。「群組原則」提供一套集中化的方法來管理跨環境的安全性原則。

獨立用戶端環境

獨立用戶端 (SA) 環境包括無法加入到網域中或屬於 Windows NT 4.0 網域成員的用戶端電腦。這些用戶端電腦必須透過本機原則設定加以設定。管理獨立電腦的挑戰性有時甚至高於管理 Active Directory 網域中的使用者帳戶和原則。

專業安全性限制功能

專業安全性限制功能 (SSLF) 環境為用戶端電腦提供高安全性設定。套用這些高安全性設定時,將限制使用者只能進行必要工作所需的特定功能,而可能因此大幅降低使用功能性。存取權僅限於認可的應用程式、服務和基礎結構環境。明確而言,SSLF 環境的安全性原則設定僅適用於極少數組織內部的少數系統,例如軍事和情報單位。這些設定對於安全性的管理性和可用性較為有利,但只適合用在攸關利害的電腦上,以防遭到入侵時造成重大財務損失或人員傷亡。換句話說,SSLF 設定對於大多數的組織而言,並不是最佳選擇。

本章概觀

Windows XP SP2 提供當今最可靠的 Windows 用戶端作業系統版本,並具備改良的安全性和隱私權功能。Windows XP 的整體安全性已經過改善,以幫助確保您的組織能夠在更為安全可靠的運算環境中運作。《Windows XP 安全性指南》共有七個章節,第二章至第六章討論建立此種環境所需的程序。其中每一章中所討論的內容,都是以保護 Windows XP 電腦之安全為設計宗旨的端點對端點程序。

第 1 章:Windows XP 安全性指南簡介

本章涵蓋本指南的概觀、目標讀者的描述、本指南內討論的問題,以及本指南的整體目標。

第 2 章:設定 Active Directory 網域基礎結構

「群組原則」可用來管理 Windows Server 2003 及 Windows 2000 網域內的使用者和電腦環境。它是保護 Windows XP 不可或缺的工具,而且可用在從中央位置跨網路套用及維護一致的安全性原則。本章討論將「群組原則」套用至 Windows XP 用戶端電腦之前,必須在您的網域內進行的預備步驟。

群組原則設定乃存在網域控制站上的「群組原則物件」(GPO) 中。GPO 與 Active Directory 結構中的站台、網域和 OU 相連結。由於「群組原則」與 Active Directory 如此緊密地整合,因此在實作「群組原則」之前,先對 Active Directory 結構和安全性含意有基本的瞭解是很重要的。

第 3 章:Windows XP 用戶端的安全性設定

本章說明可在 Windows 2000 或 Windows Server 2003 Active Directory 網域中,透過「群組原則」進行設定的 Windows XP 用戶端電腦安全性設定。本指南並未提供所有可用的設定,僅提供可保護環境免於最新威脅之設定。本指南也可讓使用者在他們的電腦上繼續執行日常工作。您的設定應該以組織的安全性目標為依據。

第 4 章:Windows XP 的系統管理範本

在本章節中,將討論到可使用「系統管理範本」加入 Windows XP 的設定。「系統管理範本」乃是 Unicode 檔,可用來設定掌管多項服務、應用程式和作業系統元件之行為的登錄設定。有許多可用於 Windows XP 的系統管理範本,這些範本包含數百種設定。

第 5 章:保護獨立 Windows XP 用戶端的安全

雖然本指南大部分著重於企業用戶端 (EC) 及專業安全性限制功能 (SSLF) 環境,但本章亦討論獨立 Windows XP 用戶端電腦的設定。Microsoft 建議在 Active Directory 網域基礎結構中部署 Windows XP,但 Microsoft 瞭解不是每個組織都能這麼做。本章將教導您如何將建議的設定套用到不是 Windows 2000 或 Windows Server 2003 網域成員的 Windows XP SP2 用戶端電腦上。

第 6 章:Windows XP 用戶端的軟體限制原則

本章提供軟體限制原則的基本概觀,軟體限制原則提供系統管理員一個以原則為導向的機制,用以識別和限制可在其網域中執行的軟體。系統管理員可以使用軟體限制原則來阻止不想要的程式的執行,以及阻止病毒、特洛伊木馬程式或其他惡意程式碼的擴散。軟體限制原則和 Active Directory 及「群組原則」完全整合為一。當只套用於本機電腦上時,亦可在沒有 Windows Server 2003 網域基礎結構的環境中使用。

第 7 章:結論

最後一章將對前幾章中討論的所有內容進行簡要的概述,以重申本指南的重點。

附錄 A:應考量的金鑰設定

雖然本指南討論多種安全性因應措施和安全性設定,但您應該瞭解的是其中有幾點是特別重要的。本附錄討論會對執行 Windows XP SP2 的電腦安全性產生重大影響的設定。

附錄 B:測試 Windows XP 安全性指南

本附錄說明《Windows XP 安全性指南》如何在實驗室環境中通過測試,以確保本指南符合預期。

下載內容

本指南中囊括一組安全性範本、指令碼和額外的檔案,方便貴組織評估、測試和實作本指南中提議的因應對策。

安全性範本是一種文字檔案,可匯入到以網域為主的群組原則中,或透過 Microsoft 管理主控台 (MMC) 安全性設定和分析嵌入式管理單元在本機套用。第 2 章<設定 Active Directory 網域基礎結構>詳細說明完成這些工作所需的程序。您可以使用本指南中提供的指令碼,依照建議的因應對策在獨立工作站上實作。

下載內容中亦收錄有 Microsoft Excel® 活頁簿<Windows XP 安全性指南設定>,其中記載每個安全性範本中所含的各項設定。

本指南隨附的檔案泛指為工具和範本。這些檔案都包含在內含本指南的自解壓縮 WinZip 保存檔中的 .msi 檔案內,可從 Microsoft 下載中心取得,網址是:http://go.microsoft.com/fwlink/?LinkId=14840。當您執行 .msi 檔案時,會在您指定的位置建立下列資料夾結構:

  • \Windows XP Security Guide Tools and Templates\Security Templates。這個資料夾包含本指南第 2 和第 3 章中探討的所有安全性範本。此外,也包含彙整本指南中所有建議的 Excel 試算表。

  • \Windows XP Security Guide Tools and Templates\SCE Update。這個資料夾包含如本指南第 3 章所述的指令碼和資料檔案,用來自動更新安全性設定編輯器的使用者介面。

  • \Windows XP Security Guide Tools and Templates\Stand Alone Clients。這個資料夾包含如本指南第 5 章所述的所有範例指令碼和範本,用來強化獨立電腦。

  • \Windows XP Security Guide Tools and Templates\Test Tools。這個資料夾包含<附錄 B:測試 Windows XP 安全性指南>的相關工具。


樣式慣例

本指南採用下列樣式慣例。

表 1.1 樣式慣例

元素

含意

粗體字型

表示完全按照所示文字鍵入的字元,包括命令、參數和檔案名稱。中文使用者介面元素則以角括號 [ ] 顯示。

斜體字型

書冊和其他實體出版物的標題均以書名專用括號《》顯示。

<斜體>

以斜體和角括弧表示的預留位置 <filename> 代表變數。

Monospace font

定義程式碼和指令碼範例。

附註

提醒讀者有補充資訊。

重要

提醒讀者有重要的補充資訊。


總結

本章為您介紹《Windows XP 安全性指南》,並摘要說明各章內容。當您瞭解本指南的編排方式後,便可開始充分運用 Windows XP SP2 內建的重要安全性選項。

有效、成功的安全性操作需要在本指南中探討的所有環節投注心力,而不是只有單一方面的改進。基於此原因,強烈建議您實作本指南中適用於貴組織的建議,以開拓更廣泛的深度防禦措施安全性架構。

其他資訊

下列連結提供更多與 Windows XP Professional 安全性有關的主題。

  • 如需瞭解更多能夠在 Microsoft Windows XP 上設定的安全性設定,請參閱同系列指南威脅與因應對策:Windows Server 2003 及 Windows XP 中的安全性設定,網址是:http://go.microsoft.com/fwlink/?LinkId=15159。

  • 如需瞭解如何以類似本指南中探討的方式在伺服器上實作安全性,請參閱 Windows Server 2003 安全性指南。凡是需要支援依後續章節進行設定的 Windows XP 用戶端電腦的伺服器,均適合採取本指南中的建議作法。線上資訊可從 http://go.microsoft.com/fwlink/?LinkId=14845 取得。

  • 如需瞭解如何在貴組織中更有效地實作安全性風險管理,請參閱安全性風險管理指南,網址是:http://www.microsoft.com/taiwan/technet/security/topics/complianceandpolicies/secrisk/srsgch01.mspx。

  • 如需瞭解如何將惡意軟體的影響降到最低,請參閱防毒措施深入探索指南,網址是:http://go.microsoft.com/fwlink/?LinkId=28732。

  • 如需瞭解如何盡可能降低貴組織對於使用密碼驗證的依賴性,請參閱使用智慧卡進行安全存取規劃指南 (英文),網址是:http://go.microsoft.com/fwlink/?LinkId=41313。

  • 如需瞭解如何更有效地監看並回應貴組織中潛在的安全性違規情形,請參閱安全性監視及攻擊偵測規劃指南 (英文),網址是:http://go.microsoft.com/fwlink/?LinkId=41309。

  • 如需瞭解 Microsoft 作業架構 (MOF) 如何在貴組織中助您一臂之力,請參閱 www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx。

  • 如需關於 Microsoft Windows 資訊安全的資訊,請參閱 www.microsoft.com/taiwan/security/。

  • 如需關於 Microsoft Technical Security Notifications (英文) 服務,請參閱 www.microsoft.com/technet/security/bulletin/notify.mspx。


下載

Cc163069.icon_exe(zh-tw,TechNet.10).gif下載 Windows XP 安全性指南 (英文)


顯示: