Windows XP 安全性指南

第 4 章:Windows XP 的系統管理範本

更新日期: 2006 年 7 月 26 日

本頁內容

概觀
電腦設定
使用者設定
總結

概觀

本章將詳細說明如何使用系統管理範本,在 Microsoft® Windows® XP Professional Service Pack 2 上設定和套用其他安全性設定。系統管理範本 (.adm) 檔是用來設定 Windowx XP 登錄的設定,該些設定負責掌控許多服務、應用程式和作業系統元件的行為。

Windows XP SP2 所附隨的五個系統管理範本包含了幾百種設定,可以用來加強 Windows XP Professional 的安全性。Windows Server™ 2003 系統管理範本中,有幾個設定無法用於 Windows XP。如需所有可用於 Windows XP 的系統管理範本設定的完整清單,請參閱本章最後<其他資訊>一節所參照的 Microsoft Excel® 活頁簿<原則設定>。

下表所列的是 .adm 檔案,以及它們所影響的應用程式和服務。

表 4.1 系統管理範本檔

檔案名稱

作業系統

說明

System.adm

Windows XP Professional

包含許多可自訂使用者作業環境的設定。

Inetres.adm

Windows XP Professional

包含 Internet Explorer 6.0 的設定。

Conf.adm

Windows XP Professional

包含設定 Microsoft NetMeeting® 的設定。

Wmplayer.adm

Windows XP Professional

包含設定 Windows Media Player 的設定。

Wuau.adm

Windows XP Professional

包含設定 Windows Update 的設定。


注意:您必須在群組原則物件 (GPO) 中手動設定系統管理範本設定,再將它們套用到您環境中的電腦和使用者。

系統管理範本主要有兩組設定:

  • 電腦設定 (存放在 HKEY_Local_Machine 登錄 Hive 中)。

  • 使用者設定 (存放在 HKEY_Current_User 登錄 Hive 中)。

根據第 3 章<Windows XP 用戶端的安全性設定>的說明,設定規則是針對本指南中所定義的企業用戶端 (EC) 以及專業安全性限制功能 (SSLF) 環境。

注意:使用者設定是經由連結的 GPO,套用到包含使用者的組織單位 (OU)。如需有關這個 OU 的詳細資訊,參閱第 2 章<設定 Active Directory 網域基礎結構>。

有的設定在群組原則物件編輯器的 [電腦設定] 和 [使用者設定] 下均有提供。如果一設定已套用到使用者,而使用者所登入的電腦又已經由群組原則套用相同的電腦設定,則此電腦設定就優先於使用者設定。

舊版的本指南含有 Office XP 設定的相關資訊。但是,這些設定現在已經配合 Office 2003 加以更新,而且可以從 Microsoft 網站上取得。如需這些資訊的連結,請參閱本章最後的<其他資訊>一節。

本章並不涵蓋 Microsoft 提供之系統管理範本中所有可能的設定;系統管理範本中所探討的多項設定,都不是專門針對安全性而提供的使用者介面 (UI) 設定。請根據貴公司的安全性目標,決定本指南中哪些指定的設定是適用於您的環境的。

如果您有其他設定想要經由群組原則來套用到 Windows XP Professional,您可以開發自訂的範本。有關開發自己的系統管理範本的詳細資訊,請參閱本章結尾<其他資訊>一節所列的白皮書。

電腦設定

下節將探討在「群組原則物件編輯器」中 [電腦設定] 下指定的設定。請在下列位置設定這些設定:

電腦設定\系統管理範本

下圖顯示其位置:

圖 4.1 電腦設定的群組原則結構

圖 4.1 電腦設定的群組原則結構

本章的結構是以群組原則中的容器結構為基礎。下面幾節的表格,總結了各種電腦設定選項的建議,這些建議是針對兩種安全環境 — 企業用戶端 (EC) 環境和專業安全性限制功能 (SSLF) 環境 — 的桌上型和膝上型電腦所提供。各表格下方的段落將提供各個設定的更多詳細資訊。

請透過一個與 OU 相互連結的 GPO 來套用這些設定,此 OU 必須包含您環境中的電腦帳戶。請在連結到膝上型電腦 OU 的 GPO 中,加入膝上型電腦設定,並在連結到桌上型電腦 OU 的 GPO 中,加入桌上型電腦設定。

Windows 元件

下圖說明受本節中設定變更影響的群組原則部分。

圖 4.2 電腦設定 Windows 元件的群組原則結構

圖 4.2 電腦設定 Windows 元件的群組原則結構

NetMeeting

Microsoft NetMeeting 能讓使用者在貴公司內透過網路進行虛擬會議。您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\
NetMeeting

表 4.2 建議的 NetMeeting 設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

停用遠端桌面共用

尚未設定

尚未設定

已啟用

已啟用

停用遠端桌面共用

這個原則設定將停用 NetMeeting 的遠端桌面共用功能。若啟用此原則設定,使用者就無法設定 NetMeeting 讓它從遠端控制本機桌面。

[停用遠端桌面共用] 設定在 EC 環境中是設為 [尚未設定]。不過,它在 SSLF 環境是設為 [已啟用],這是為了防止使用者透過 NetMeeting 從遠端共用桌面。

Internet Explorer

Microsoft Internet Explorer 群組原則可以幫助您強制執行 Windows XP 工作站的安全性需求,並且避免經由 Internet Explorer 交換不要的內容。請使用以下準則,保護您環境中工作站上的 Internet Explorer:

  • 確保對網際網路的要求,只發生在對使用者動作的直接回應。

  • 確保傳送到特定網站的資訊只能到達這些網站,除非允許特定使用者將資訊傳輸到其他目的地。

  • 確保清楚識別通往伺服器/站台的信任通道,以及識別每個通道上伺服器/站台的擁有者。

  • 確保任何與 Internet Explorer 一起執行的指令碼或程式,都在受限的環境中執行。您可以啟用可透過信任通道傳遞的程式,以便在受限的環境之外操作。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的 Internet Explorer 電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer

下表將列出多項建議使用的 Internet Explorer 設定。此表下方的段落將提供各個設定的更多資訊。

表 4.3 建議的 Internet Explorer 設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

停用自動安裝 Internet Explorer 元件

已啟用

已啟用

已啟用

已啟用

停用定期檢查以進行 Internet Explorer 軟體更新

已啟用

已啟用

已啟用

已啟用

停用程式啟動時的軟體更新殼層通知

已啟用

已啟用

已啟用

已啟用

不允許使用者啟用或停用附加元件

已啟用

已啟用

已啟用

已啟用

為每台機器建立 Proxy 設定 - 而不是每個使用者

已啟用

已停用

已啟用

已停用

安全性區域:不容許使用者新增/移除網站

已啟用

已啟用

已啟用

已啟用

安全性區域:不容許使用者變更原則

已啟用

已啟用

已啟用

已啟用

安全性區域:只使用機器設定

已啟用

已啟用

已啟用

已啟用

關閉當機偵測

已啟用

已啟用

已啟用

已啟用

停用自動安裝 Internet Explorer 元件

若啟用此原則設定,當使用者瀏覽到要求這些元件完全運作的網站時,Internet Explorer 便無法下載元件。若停用或未設定此原則設定,只要使用者造訪使用這些元件的網站時,畫面便會提示他們下載並安裝這些元件。

[停用自動安裝 Internet Explorer 元件] 設定在本章所討論的兩種環境中皆設為 [已啟用]。

注意:在啟用這個原則設定以前,Microsoft 建議您建立一個替代策略,透過 Microsoft Update 或類似的服務來更新 Internet Explorer。

停用定期檢查以進行 Internet Explorer 軟體更新

如果啟用此原則設定,Internet Explorer 便無法判定是否有較新版本的瀏覽器可以使用,並且也無法通知使用者。若停用或未設定此原則設定,Internet Explorer 每隔 30 天 (預設設定) 便會檢查是否有更新,如果有新版本可以使用,就會通知使用者。

[停用定期檢查以進行 Internet Explorer 軟體更新] 設定在本章所討論的兩種環境中均設為 [已啟用]。

注意:在啟用這個原則設定以前,Microsoft 建議您為組織內的系統管理員建立一個替代策略,確保他們在您環境中的用戶端電腦上,定期收到 Internet Explorer 的最新更新。

停用程式啟動時的軟體更新殼層通知

這個原則設定可以指定使用 Microsoft Software Distribution Channel 的程式,在安裝新元件時不必通知使用者。Software Distribution Channel 的用途,是在使用者電腦上動態更新軟體;這項功能是以 Open Software Distribution (.osd) 技術為基礎。

[停用程式啟動時的軟體更新殼層通知] 設定在本章所討論的兩種環境中均設為 [已啟用]。

不允許使用者啟用或停用附加元件

這個原則設定可讓您決定是否要讓使用者有能力經由 [管理附加元件] 來容許或拒絕附加元件。如果將此原則設定設為 [已啟用],使用者無法透過 [管理附加元件] 啟用或停用附加元件。唯一例外的是,在 [附加元件清單] 原則設定中特別輸入某附加元件,讓使用者繼續管理此附加元件。在這種情況下,使用者仍然可以透過 [管理附加元件] 來管理附加元件。如果將此原則設定設為 [已停用],使用者可以啟用或停用附加元件。

注意:如需更多關於管理 Windows XP SP2 中 Internet Explorer 附加元件的資訊,請參閱知識庫文件 883256 如何管理 Windows XP Service Pack 2 中的 Internet Explorer 附加元件,網址為:http://support.microsoft.com/?kbid=883256。

使用者通常會安裝組織的安全性原則所不允許的附加元件。此類附加元件可能會對您的網路造成嚴重的安全性和隱私權風險。因此,這個原則在本章所討論的兩種環境中,皆設為 [已啟用]。

注意:您應該查看在 Internet Explorer\安全性功能\附加元件管理中的 GPO 設定,以確保經過適當授權的附加元件仍舊可以在您的環境中執行。比方說,您可能需要閱讀 Microsoft 知識庫文件如果已透過群組原則啟用 XP Service Pack 2 附加元件封鎖功能,Outlook Web Access 和 Small Business Server Remote Web Workplace 便無法運作 (英文),網址為:http://support.microsoft.com/default.aspx?kbid=555235。

為每台機器建立 Proxy 設定 - 而不是每個使用者

若啟用此原則設定,使用者就無法改變使用者特定的 Proxy 設定。他們必須使用專為他們所存取之電腦的所有使用者所建立的區域。

[為每台機器建立 Proxy 設定 - 而不是每個使用者] 設定,在本章所討論的兩種環境的桌上型用戶端電腦上,是設為 [已啟用]。但是,該原則設定在膝上型用戶端電腦是設為 [已停用],因為行動使用者可能必須在旅途中變更 Proxy 設定。

安全性區域:不容許使用者新增/移除網站

若啟用這個原則設定,就會停用安全性區域的網站管理設定。(若要查看安全性區域的網站管理設定,請開啟 Internet Explorer,依序選取 [工具] 和 [網際網路選項],再按一下 [安全性] 索引標籤,然後再按一下 [網站])。如果停用或沒有設定這個原則設定,使用者便無法在 [信任的網站] 和 [限制的網站] 區域中新增或移除網站,也無法在 [近端內部網路] 區域改變設定。

[安全性區域: 不容許使用者新增/移除網站] 設定在本章所討論的兩種環境中皆設為 [已啟用]。

注意:如果您啟用 [停用安全性畫面] 設定 (位於:\使用者設定\
系統管理範本\Windows 元件\Internet Explorer\網際網路控制台),便會從介面移除 [安全性] 索引標籤,而 [停用] 設定也會優先於這個 [安全性區域:] 設定。

安全性區域:不容許使用者變更原則

如果啟用這個原則設定,就等於停用了 [網際網路選項] 對話方塊中 [安全性] 索引標籤上的 [自訂層級] 按鈕和 [此區域的安全層級] 滑桿。若停用或未設定此原則設定,使用者便可以變更安全性區域的設定。此舉可以防止使用者變更系統管理員所建立的安全性區域原則設定。

[安全性區域: 不容許使用者變更原則] 設定在本章所討論的兩種環境中均設為 [已啟用]。

注意:如果您啟用 [停用安全性畫面] 設定 (位於:\使用者設定\
系統管理範本\Windows 元件\Internet Explorer\網際網路控制台),便會從控制台的 Internet Explorer 移除 [安全性] 索引標籤,而 [停用] 設定也會優先於這個 [安全性區域:] 設定。

安全性區域:只使用機器設定

這個原則設定會影響安全性區域變更套用於不同使用者的方式。此原則的用意,是要確保同一部電腦上的安全性區域設定保持一致的作用,而不會因為不同使用者而改變。如果啟用這個原則設定,則使用者對某個安全性區域所做的變更,將套用到該電腦所有的使用者。若停用或未設定此原則設定,同一部電腦的使用者便可以建立他們自己的安全性區域設定。

[安全性區域: 只使用機器設定] 設定在本章所討論的兩種環境中均設為 [已啟用]。

關閉當機偵測

這個原則設定可讓您管理 Internet Explorer 中的附加元件管理的當機偵測功能。如果您啟用此原則設定,Internet Explorer 的當機將和在執行 Windows XP Professional Service Pack 1 (SP1) 及更舊版本的電腦的當機情況類似:將執行 Windows 錯誤報告。如果停用此原則設定,附加元件管理中的當機偵測功能將會運作。

由於 Internet Explorer 當機報告資訊含有電腦記憶體的機密資訊,因此 [關閉當機偵測] 設定在本章所討論的兩種環境中均設為 [已啟用]。如果當機頻率過高,而非得將這種情況提報上去以進行疑難排解,您可以暫時將原則設定設為 [已停用]。

Internet Explorer\網際網路控制台\安全性畫面

您可以在「群組原則物件編輯器」的下列位置設定這些電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台\安全性畫面

SP2 含有幾項新原則設定,可以幫助您保護環境中的 Internet Explorer 區域設定。這些設定的預設值,可以提供比舊版 Windows 更強的安全保護。但是,您可能必須檢閱這些設定,針對實用性或應用程式相容性,決定要在環境中要求還是放鬆這些設定。

例如,SP2 將 Internet Explorer 預設為封鎖所有網際網路區域的快顯視窗。您可能希望確保此原則設定在環境中的所有電腦上執行,以消除快顯視窗,並減少從網際網路網站安裝惡意軟體和間諜軟體的可能性。但是,您的環境可能包含需要使用快顯視窗才能運作的應用程式。如果是這樣,您可以設定這項原則,允許快顯視窗出現在內部網路的網站中。

Internet Explorer\網際網路控制台\進階分頁

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台\進階分頁

表 4.4 建議的允許軟體執行設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

即使簽章無效也允許軟體執行或安裝

已停用

已停用

已停用

已停用

即使簽章無效也允許軟體執行或安裝

Microsoft ActiveX® 控制項和檔案下載通常都附有數位簽章,以證明檔案的完整性和軟體簽署人 (建立者) 的身分。此類簽章有助於確保所下載的軟體是未經修改的,以及確保您可以明確地識別簽署人以判斷您是否足以信任他們來執行其軟體。

[即使簽章無效也允許軟體執行或安裝] 設定可讓您決定使用者能否安裝或執行簽章無效的下載軟體。無效的簽章可能表示檔案已遭人竄改。如果啟用此原則設定,系統會提示使用者安裝或執行簽章無效的檔案。如果停用此原則設定,則使用者無法執行或安裝簽章無效的檔案。

由於未簽署的軟體可能會產生安全性弱點,因此這個原則設定在本章所討論的兩種環境中均設為 [已停用]。

注意:某些合法的軟體和控制項可能也會有無效的簽章,但是它們是沒問題的。在運用於您組織的網路上之前,您最好先單獨測試這類軟體。

Internet Explorer\安全性功能\MK 通訊協定安全性限制

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\MK 通訊協定安全性限制

表 4.5 建議的 MK 通訊協定設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (MK 通訊協定)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (MK 通訊協定)

這個原則設定可以減少攻擊面,因為它會封鎖不常使用的 MK 通訊協定。部分較舊的 Web 應用程式使用 MK 通訊協定從壓縮檔案擷取資訊。如果將此原則設定設為 [已啟用],則會封鎖 Windows Explorer 和 Internet Explorer 的 MK 通訊協定,因而讓使用 MK 通訊協定的資源無法順利運作。如果停用這個原則設定,其他應用程式便可以使用 MK 通訊協定 API。

由於 MK 通訊協定的使用並不廣泛,因此應在不需要時加以封鎖。在本章中討論的兩個環境中,此原則設定設為 [已啟用]。Microsoft 建議您,除非您的環境特別需要,否則最好封鎖 MK 通訊協定。

注意:因為當您部署這個原則設定時,使用 MK 通訊協定的資源將會失敗,因此您應該確保沒有任何應用程式使用此通訊協定。

Internet Explorer\安全性功能\一致的 MIME 處理

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\一致的 MIME 處理

表 4.6 建議的一致的 MIME 處理設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (一致的 MIME 處理)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (一致的 MIME 處理)

Internet Explorer 使用「多用途網際網路郵件延伸標準 」(Multipurpose Internet Mail Extensions;MIME) 資料來判斷由網頁伺服器取得之檔案的檔案處理程序。[一致的 MIME 處理] 設定可決定 Internet Explorer 是否要求網頁伺服器所提供的所有檔案類型資訊一律一致。例如,如果檔案的 MIME 類型是文字/純文字,但是 MIME 資料顯示檔案實際上是可執行檔,則 Internet Explorer 會變更其副檔名以反映其可執行狀態。此功能有助於確保可執行碼無法偽裝成其他可能受到信任的資料類型。

如果啟用此原則設定,Internet Explorer 會檢查所有收到的檔案並為其強制執行一致的 MIME 資料。如果停用或未設定這個原則設定,Internet Explorer 不會要求接收到的檔案要有一致的 MIME 資料,並且會使用該檔案提供的 MIME 資料。

偽造的 MIME 檔案類型會對您的組織造成潛在的威脅。您最好確保這些檔案完全一致,並且加上適當的標籤,以免下載到可能感染網路的惡意檔案。在本章中討論的兩個環境中,此原則設定設為 [已啟用]。

注意:此原則設定與 [MIME 探查安全功能] 設定必須配合使用,但不能取代 [MIME 探查安全功能] 設定。

Internet Explorer\安全性功能\MIME 探查安全功能

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\MIME 探查安全功能

表 4.7 建議的 MIME 探查設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (MIME 探查)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (MIME 探查)

「MIME 探查」是檢驗 MIME 檔案內容以決定其環境 (無論是資料檔、可執行檔或其他類型的檔案) 的程序。此原則設定可判斷 Internet Explorer MIME 探查是否會阻止某類型的檔案變成更危險的檔案類型。設定為 [已啟用] 時,MIME 探查就不會將某類型的檔案變成更危險的檔案類型。如果停用這個原則設定,MIME 探查便會將 Internet Explorer 程序設定為允許某類型的檔案變成更危險的檔案類型。例如,文字檔案變成可執行檔就是一種危險的升級,因為文字檔中的所有程式碼都會被執行。

偽造的 MIME 檔案類型會對您的組織造成潛在的威脅。Microsoft 建議您務必用一致的方式來處理這些檔案,以防止您下載到可能感染網路的惡意檔案。

[Internet Explorer 程序 (MIME 探查)] 設定在本章所討論的兩種環境中均設為 [已啟用]。

注意:本原則設定與 [一致的 MIME 處理] 設定必須配合使用,但不能取代 [一致的 MIME 處理] 設定。

Internet Explorer\安全性功能\已撰寫指令碼的 Window 安全性限制

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\已撰寫指令碼的 Window 安全性限制

表 4.8 建議的已撰寫指令碼 Window 限制設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (已撰寫指令碼的 Window 安全性限制)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (已撰寫指令碼的 Window 安全性限制)

Internet Explorer 允許指令碼以程式的方式開啟各種視窗、調整各種視窗的大小與位置。通常,名譽不好的網站會調整視窗大小來隱藏其他視窗或強制您與含有惡意程式碼的視窗進行互動。

[Internet Explorer 程序 (已撰寫指令碼的 Window 安全性限制)] 設定會限制快顯視窗,不允許指令碼所顯示的視窗看不到標題和狀態列,或者隱藏其他視窗的標題和狀態列。如果啟用這個原則設定,Windows 檔案總管和 Internet Explorer 程序就不會出現快顯視窗。如果停用或未設定這個原則設定,指令碼就可以繼續建立快顯視窗和建立隱藏其他視窗的視窗。

[Internet Explorer 程序 (已撰寫指令碼的 Window 安全性限制)] 設定在本章所討論的兩種環境中均設為 [已啟用]。當啟用這個原則設定時,意圖不軌的網站就很難控制您的 Internet Explorer 視窗,或者矇騙使用者點按不對的視窗。

Internet Explorer\安全性功能\來自區域高度的保護

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\來自區域高度的保護

表 4.9 建議的區域高度保護設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (來自區域高度的保護)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (來自區域高度的保護)

Internet Explorer 會在每一個開啟的網頁上加諸限制。這些限制是根據網頁的位置 (例如:網際網路區域、內部網路區域或本機電腦區域) 而定。本機電腦上的網頁的安全性限制最少,且位於本機電腦區域,從而使本機電腦安全性區域成為惡意攻擊者的主要目標。

如果您啟用 [Internet Explorer 程序 (來自區域高度的保護)] 設定,任何區域皆可受到 Internet Explorer 程序的保護,而免受區域升級之害。此方法可防止在某區域中執行的內容取得其他區域的較高權限。如果停用此原則設定,則任何區域都不會受到此類 Internet Explorer 程序的保護。

鑑於區域升級攻擊的嚴重性和發生頻率,[Internet Explorer 程序 (來自區域高度的保護)] 設定在本章所討論的兩種環境中均設為 [已啟用]。

Internet Explorer\安全性功能\限制 ActiveX 安裝

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\限制 ActiveX 安裝

表 4.10 限制 ActiveX 安裝設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (限制 ActiveX 安裝)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (限制 ActiveX 安裝)

這個原則設定可讓您封鎖 Internet Explorer 程序的 ActiveX 控制項安裝提示。如果您啟用此原則設定,Internet Explorer 程序的 ActiveX 控制項安裝提示將被封鎖。如果您停用這個原則設定,則不會封鎖 ActiveX 控制項安裝提示,使用者會看到這些提示。

使用者通常會安裝組織的安全性原則所不允許的軟體,例如 ActiveX 控制項。這類軟體可能會對網路的安全性和隱私權方面造成重大風險。[Internet Explorer 程序 (限制 ActiveX 安裝)] 設定在本章所討論的兩種環境中均設為 [已啟用]。

注意:此原則設定也不允許使用者安裝會干擾 Windows Update 這類重要系統元件的合法授權 ActiveX 控制項。如果您啟用這個原則設定,請務必實作另一個替代方法來部署安全性更新,例如 Windows Server Update Services (WSUS)。
如需更多關於 WSUS 的資訊,請參閱 Windows Server Update Services 產品概觀網頁,網址為 www.microsoft.com/taiwan/windowsserversystem/updateservices/evaluation/overview.mspx。
如需更多關於 Windows Update 的資訊,請參閱 Windows Installer 網頁,網址為:http://windowsupdate.microsoft.com。

Internet Explorer\安全性功能\限制檔案下載

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\限制檔案下載

表 4.11 建議的限制檔案下載設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

Internet Explorer 程序 (限制檔案下載)

已啟用

已啟用

已啟用

已啟用

Internet Explorer 程序 (限制檔案下載)

在某些環境下,網站可能會在無使用者互動的情況下發出檔案下載提示。如果使用者按錯了按鈕而接受下載,此技術可允許網站將未經授權的檔案放在使用者的硬碟上。

如果您將 [Internet Explorer 程序 (限制檔案下載)] 設定設為 [已啟用],就會封鎖非使用者起始的 Internet Explorer 程序的檔案下載提示。如果將此原則設定設為 [已停用],就會出現不是由使用者起始的 Internet Explorer 程序的檔案下載提示。

為了防止攻擊者將任意程式碼安置在使用者的電腦上,[Internet Explorer 程序 (限制檔案下載)] 設定在本章所討論的兩種環境中均設為 [已啟用]。

Internet Explorer\安全性功能\附加元件管理

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Internet Explorer\安全性功能\附加元件管理

表 4.12 附加元件管理設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

除非附加元件清單中特別允許,否則拒絕所有附加元件

建議使用

建議使用

建議使用

建議使用

附加元件清單

建議使用

建議使用

建議使用

建議使用

除非附加元件清單中特別允許,否則拒絕所有附加元件

此原則設定與 [附加元件清單] 設定,可讓您控制 Internet Explorer 附加元件。依預設,[附加元件清單] 設定定義透過「群組原則」允許或拒絕的附加元件清單。[除非附加元件清單中特別允許,否則拒絕所有附加元件] 設定可確保拒絕所有附加元件,除非在 [附加元件清單] 原則設定中特別列出這些附加元件。

如果您啟用此原則設定,Internet Explorer 只會允許在 [附加元件清單] 中特別列出 (並允許) 的增益集。如果停用此原則設定,使用者可以使用附加元件管理員允許或拒絕任何附加元件。

您應該考慮使用 [除非附加元件清單中特別允許,否則拒絕所有附加元件] 和 [附加元件清單] 設定,來控制可用於您的環境之附加元件。此方法有助於確保僅使用經過授權的附加元件。

附加元件清單

此原則設定與 [除非附加元件清單中特別允許,否則拒絕所有附加元件] 設定,可讓您控制 Internet Explorer 附加元件。依預設,[附加元件清單] 設定定義透過「群組原則」允許或拒絕的附加元件清單。[除非附加元件清單中特別允許,否則拒絕所有附加元件] 設定可確保拒絕所有附加元件,除非在 [附加元件清單] 原則設定中特別列出這些附加元件。

如果您啟用 [附加元件清單] 設定,就必須列出 Internet Explorer 所接受或拒絕的附加元件。至於這份清單要納入哪些特定的附加元件,將因組織而異,因此本指南不提供詳細清單。您必須為新增至清單的每個項目提供下列資訊:

  • 數值名稱。您要新增至清單的附加元件之 CLSID (類別識別項)。CLSID 應該置於中括弧內,例如 {000000000-0000-0000-0000-0000000000000}。您可以閱讀參照附加元件的網頁 OBJECT 標籤來取得附加元件的 CLSID。

  • 數值。表示 Internet Explorer 應拒絕或允許載入附加元件的數字。以下是有效值:

    • 0    拒絕這個附加元件

    • 1    允許這個附加元件

    • 2    允許這個附加元件,並允許使用者經由 [管理附加元件] 進行管理

如果您停用 [附加元件清單] 設定,就會刪除清單。您應該考慮使用 [除非附加元件清單中特別允許,否則拒絕所有附加元件] 和 [附加元件清單] 原則設定,來控制可用於您的環境之附加元件。此方法有助於確保僅使用經過授權的附加元件。

終端機服務\用戶端或伺服器資料重新導向

[終端機服務] 設定可提供選項,讓您將用戶端電腦資源透過終端機服務,重新導向到受到存取的伺服器。下面是終端機服務特有的設定。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\終端機服務\用戶端或伺服器資料重新導向

表 4.13 建議的不允許磁碟重新導向設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

不允許磁碟重新導向

尚未設定

尚未設定

已啟用

已啟用

不允許磁碟重新導向

這個原則設定可防止使用者在他們存取的終端機伺服器的用戶端電腦上共用本機磁碟。[Windows 檔案總管] 或 [我的電腦] 中的工作階段資料夾樹狀目錄內的對應磁碟機,會以下列格式顯示:

\\TSClient\<driveletter>$

如果是共用本機磁碟,本機磁碟便很容易受到入侵者的攻擊,因此讓磁碟內所儲存的資料遭到利用。

因此,SSLF 環境的 [不允許磁碟重新導向] 設定是設為 [已啟用]。但是,在 EC 環境中,此原則設定為 [尚未設定]。

終端機服務\加密及安全性

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的設定:

電腦設定\系統管理範本\Windows 元件\終端機服務\加密及安全性

表 4.14 建議的終端機服務加密及安全性設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

連線時自動提示用戶端輸入密碼

尚未設定

尚未設定

已啟用

已啟用

設定用戶端連線加密等級

高等級

高等級

高等級

高等級

連線時自動提示用戶端輸入密碼

這個原則設定會指定讓終端機服務在連線時,是否提示用戶端電腦輸入密碼。您可以使用這個原則設定,強迫提示登入「終端機服務」的使用者輸入密碼,即使他們已在遠端桌面連線用戶端上輸入密碼亦然。在預設的狀況下,「終端機服務」允許使用者在遠端桌面連線用戶端上輸入密碼後自動登入。

[連線時自動提示用戶端輸入密碼] 設定在 SSLF 環境是設為 [已啟用]。但是,在 EC 環境中,此原則設定為 [尚未設定]。

注意:如果沒有設定這個原則設定,本機電腦系統管理員即可使用終端機服務設定工具,允許或禁止自動傳送密碼。

設定用戶端連線加密等級

這個原則設定可指定即將主控遠端連線的電腦,對於在它與遠端工作階段的用戶端電腦之間傳送所有的資料,是否要強制執行加密等級。

在本章所討論的兩種環境中,加密等級都是設為 [高度],目的在強制執行 128 位元的加密。

終端機服務\用戶端

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

系統管理範本\Windows 元件\終端機服務\用戶端

表 4.15 建議的不允許儲存密碼設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

不允許儲存密碼

已啟用

已啟用

已啟用

已啟用

不允許儲存密碼

這個原則設定可避免終端機服務用戶端將密碼儲存在電腦上。如果啟用這個原則設定,就會停用終端機服務用戶端的密碼儲存核取方塊,讓使用者無法儲存密碼。

由於儲存密碼可能會危及其他資訊的安全,因此在本章所討論的兩種環境中,[不允許儲存密碼] 設定皆設為 [已啟用]。

注意:如果這個原則設定之前被設為 [已停用] 或 [尚未設定],當終端機服務用戶端初次與任何伺服器中斷連線時,之前儲存的所有密碼將會遭到刪除。

Windows Messenger

Windows Messenger 是用來傳送立即訊息給電腦網路上的其他使用者。這些訊息可能包括檔案和其他附件。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Windows Messenger

表 4.16 建議的 Windows Messenger 設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

不允許執行 Windows Messenger

已啟用

已啟用

已啟用

已啟用

不允許執行 Windows Messenger

啟用 [不允許執行 Windows Messenger] 設定,就會停用 Windows Messenger,避免此程式被執行。由於這個應用程式已被廣泛用在發送垃圾郵件、散播惡意軟體、洩漏機密資料等不良用途,因此 Microsoft 建議您將 EC 和 SSLF 環境的 [不允許執行 Windows Messenger] 設定設為 [已啟用]。

注意:如果您將這個原則設定設為 [已啟用],遠端協助則無法使用 Windows Messenger,而使用者也無法使用 MSN® Messenger。

Windows Update

系統管理員會使用 Windows Update 設定來管理將修補程式和 Hotfix 套用到 Windows XP 工作站的方式。您可以從 Microsoft Windows Update 網站取得這些更新。或者,您也可以設立內部網路網站,以類似 (但具有額外的系統管理控制權) 的方法來配送修補程式和 Hotfix。Windows Update 系統管理範本 (WUAU.adm) 附有 Windows XP Service Pack 1 (SP1)。

Windows Server Update Services (WSUS) 是一個基礎結構服務,它是以 Microsoft Windows Update 和 Software Update Services (SUS) 等技術的成功為基礎。WSUS 可管理並配送重要的 Windows 補充程式,而這些修補程式可以解決已知的安全性弱點,以及其他 Microsoft Windows 作業系統的穩定性問題。

WSUS 是使用可以透過您的內部網路伺服器,取得適用於 Windows 用戶端電腦的重大更新之動態通知系統,為您省去手動更新步驟。用戶端電腦不需要網際網路存取,即可使用這項服務。這項技術另外還提供一個簡單、自動的方式,將更新配送到您的 Windows 工作站和伺服器上。

Windows Server Update Services 還提供下列功能:

  • 系統管理員在內部網路中對內容同步化的控制權。這項同步化服務是一種伺服器端的元件,可從 Windows Update 擷取最新的重大更新。當有新的更新被加到 Windows Update 時,執行 WSUS 的伺服器便會根據系統管理員所定義的排程,自動下載並儲存更新。

  • 內部網路主控的 Windows Update 伺服器。這個簡單好用的伺服器是扮演用戶端電腦的虛擬 Windows Update 伺服器角色。它包含同步化服務和系統管理工具,用以管理各項更新。它可以針對透過 HTTP 通訊協定與它相線的用戶端電腦所核准的更新要求,提供服務。這個伺服器還可以主控從同步化服務下載的重大更新,並且讓用戶端電腦參照那些更新。

  • 系統管理員掌控更新。系統管理員可在部署到組織的內部網路之前,先測試及核准 Windows Update 網站所發行的更新。部署是根據系統管理員所建立的排程來進行。如果有多部伺服器同時執行 WSUS,系統管理員可以控制哪些電腦要存取執行該服務的特定伺服器。系統管理員可在 Active Directory® 目錄服務環境中利用群組原則,或者透過登錄機碼,啟用這個控制等級。

  • 電腦自動更新 (工作站或伺服器)。自動更新是一項 Windows 功能,可設定為自動檢查發佈在 Windows Update 上的更新。WSUS 可利用這項 Windows 功能,將系統管理員核准的更新發佈在內部網路上。

    注意:如果您選擇透過另一種方法 (例如:Microsoft Systems Management Server) 配送修補程式,本指南建議您停用 [設定自動更新] 設定。

Windows Update 設定有好幾種。要讓 Windows Installer 運作,至少需要三項設定:[設定自動更新]、[不自動重新啟動排定的自動更新安裝] 和 [重新排程自動更新排定的安裝]。第四項設定是非必要的設定,端視組織的需求而定:[指定內部網路 Microsoft 更新服務的位置]。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\Windows 元件\Windows Update

本節所討論的設定,並不單獨針對特定的安全性風險,而是針對系統管理員的喜好設定提出更多風險。不過,為了維護環境的安全性,設定 Windows Update 是必要的,因為這樣可以確保當 Microsoft 發行最新安全性修補程式時,您環境中的用戶端電腦能夠立即收到這些程式。

注意:Windows Update 依賴幾種服務,其中包括 Remote Registry 服務和 Background Intelligent Transfer Service。在第 3 章<Windows XP 用戶端的安全性設定>中,這些服務在 SSLF 環境中都是停用的。因此,只要停用這些服務,Windows Update 便無法運作,而且可能只會針對 SSLF 環境忽視以下四項設定規則。

下表彙總了建議的 Windows Update 設定。此表下方的段落將提供各個設定的更多資訊。

表 4.17 建議的 Windows Update 設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項

已停用

已停用

已停用

已停用

不要在 [關閉 Windows] 對話方塊裡調整預設選項成 [安裝更新並關機]

已停用

已停用

已停用

已停用

設定自動更新

已啟用

已啟用

已啟用

已啟用

不自動重新啟動排定的自動更新安裝

已停用

已停用

已停用

已停用

重新排程自動更新排定的安裝

已啟用

已啟用

已啟用

已啟用

指定內部網路 Microsoft 更新服務的位置

已啟用

已啟用

已啟用

已啟用

不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項

這個原則設定可讓您決定是否在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項。若停用此原則設定,當使用者在 [開始] 功能表中選擇 [關機] 選項,或是按下 CTRL+ALT+DELETE 後按一下 [關機] 按鈕時,如果有更新可供安裝,[關閉 Windows] 對話方塊就會出現 [安裝更新並關機] 選項。

對於所有電腦的整體安全性來說,更新是相當重要的一環,因此 [不要在 [關閉 Windows] 對話方塊中顯示 [安裝更新並關機] 選項] 設定,在本章所討論的兩種環境中皆設為 [已停用]。此原則設定與以下 [不要在 [關閉 Windows] 對話方塊裡調整預設選項成 [安裝更新並關機]] 設定必須配合使用。

不要在 [關閉 Windows] 對話方塊裡調整預設選項成 [安裝更新並關機]

這個原則設定可讓您決定 [安裝更新並關機] 選項否是否可以作為 [關閉 Windows] 對話方塊中的預設選項。若停用此原則設定,當使用者在 [開始] 功能表中選擇 [關機] 選項時,如果有更新可供安裝,[安裝更新並關機] 選項就會是 [關閉 Windows] 對話方塊的預設選項。

對於所有電腦的整體安全性來說,更新是相當重要的一環,因此 [不要在 [關閉 Windows] 對話方塊裡調整預設選項成 [安裝更新並關機]] 設定,在本章所討論的兩種環境中皆設為 [已停用]。

注意:如果 [關閉 Windows] 對話方塊裡的電腦設定\系統管理範本\Windows 元件\Windows Update\不要顯示 [安裝更新並關機]] 選項設為 [已啟用],則此原則設定就不會發揮作用。

設定自動更新

這個原則設定能指出您環境中的電腦是否能從 Windows Update 或 WSUS 收到安全性更新。如果將這個原則設定設為 [已啟用],作業系統就會辨識出網路連線何時可用,並接著使用該網路連線,在 Windows Update 網站上或是您指定的內部網路網站上,搜尋適用的更新。

當您將這個原則設定設為 [已啟用] 之後,請在 [設定自動更新內容] 對話方塊中選取下列一個選項,指定服務的運作方式:

  1. 下載更新之前先通知,要安裝更新之前再通知一次。

  2. 自動下載更新並在準備好安裝更新時通知。(預設設定)

  3. 自動下載更新,並於以下指定的排程安裝更新。

如果停用這個原則設定,您就必須手動下載並安裝 Windows Update 網站的任何可用更新,網址為:http://windowsupdate.microsoft.com。

[設定自動更新] 設定在本章所討論的兩種環境皆設為 [已啟用]。

不自動重新啟動排定的自動更新安裝

如果啟用這項原則設定,電腦會等侯登入的使用者重新啟動它,才能完成排定的安裝作業;否則電腦就會自動重新啟動。啟用這個原則設定同樣可以在排定的安裝期間,防止「自動更新」自動重新開機。如果使用者登入電腦時,「自動更新」要求重新開機以便完成更新安裝時,系統就會通知使用者,並提供延遲重新開機的選項。「自動更新」在重新開機之後,才能偵測後續的更新。

如果 [不自動重新啟動排定的自動更新安裝] 設定被設為 [已停用] 或 [尚未設定],「自動更新」就會通知使用者為了完成安裝程序,電腦將在 5 分鐘內重新啟動。如果您不想自動重新啟動,可以將 [不自動重新啟動排定的自動更新安裝] 設定設為 [已啟用]。若啟用此原則設定,請將您的用戶端電腦排定在一般工作時間結束之後重新開機,以確保電腦能夠順利完成安裝。

[不自動重新啟動排定的自動更新安裝] 設定在本章所討論的兩種環境中,皆設為 [已停用]。

注意:此原則設定只在「自動更新」設定為執行排定的更新安裝時才有效。如果 [設定自動更新] 設定被設為 [已停用],將無法使用。通常安裝更新完成之後,都需要重新開機。

重新排程自動更新排定的安裝

這個原則設定可決定在系統啟動之後,要等多久才會繼續進行之前排定的自動更新安裝。如果將這個原則設定設為 [已啟用],那麼之前排定的安裝作業就會在下次開機之後,過了指定的分鐘數之後再開始進行。如果將這個原則設定設為 [已停用] 或 [尚未設定],則之前排定的安裝作業,將在下次定期安裝時進行。

[重新排程自動更新排定的安裝] 設定在本章所討論的兩種環境皆設為 [已啟用]。啟用這個原則設定之後,您可以將預設的等候時間,變更為適合您環境的數值。

注意:此原則設定只在「自動更新」設定為執行排定的更新安裝時才有效。如果 [設定自動更新] 設定為 [已停用],則 [重新排程自動更新排定的安裝] 設定將不會發揮作用。您可以啟用後面兩個設定,以確保之前遺漏的安裝會在每次電腦重新開機時,能夠排定時間進行安裝。

指定內部網路 Microsoft 更新服務的位置

這個原則設定會指定一個內部網路伺服器,主控從 Microsoft Update 網站取得的更新。然後,您可以使用這項更新服務,自動更新您網路上的電腦。這個原則設定可讓您在網路上指定一個 WSUS 伺服器,作為內部更新服務之用。「自動更新」用戶端將與 WSUS 伺服器一起合作,以便搜尋適用於您網路上電腦的更新服務。

[指定內部網路 Microsoft 更新服務的位置] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

注意:如果停用 [設定自動更新] 設定,那麼即使啟用 [指定內部網路 Microsoft 更新服務的位置] 設定也不會發揮作用。

系統

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\系統

下圖說明受本節中設定變更影響的群組原則部分。

圖 4.3 電腦設定系統的群組原則結構

圖 4.3 電腦設定系統的群組原則結構

下表彙整所建議的系統設定。此表下方的段落將提供各個設定的更多資訊。

表 4.18 建議的系統設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

關閉自動播放

尚未設定

尚未設定

已啟用 -
所有磁碟機

已啟用 -
所有磁碟機

關閉 Windows Update 裝置驅動程式搜尋提示

已停用

已停用

已啟用

已啟用

關閉自動播放

當您將媒體插入磁碟機,「自動播放」功能就會馬上讀取該磁碟機,並立即啟動程式或音訊媒體的安裝檔。攻擊者可以利用這項功能,啟動程式來破壞電腦或電腦上的資料。您可以啟用 [關閉自動播放] 設定,就能停用「自動播放」功能。在某些卸除式磁碟機類型 (例如:軟碟和網路磁碟機) 上,「自動播放」功能是預設為停用狀態,但光碟機則是預設為啟用狀態。

只有 SSLF 環境的 [關閉自動播放] 設定是設為 [已啟用 - 所有磁碟機]。但是,在 EC 環境中,此原則設定為 [尚未設定]。

注意:您無法使用這個原則設定,在預設為停用狀態的電腦磁碟機 (例如:軟碟和網路磁碟機) 上啟用「自動播放」功能。

關閉 Windows Update 裝置驅動程式搜尋提示

這個原則設定可控制是否要提示系統管理員透過網際網路在 Windows Update 上搜尋裝置驅動程式。如果這個原則設定設為 [已啟用],系統就不會提示系統管理員搜尋 Windows Update。如果這個原則設定和 [關閉 Windows Update 裝置驅動程式搜尋] 均設為 [已停用] 或 [尚未設定],便會在 Windows Update 上搜尋裝置驅動程式之前,提示系統管理員並取得其同意。

由於從網際網路下載任何裝置驅動程式,都有某種程度的風險,因此 [關閉 Windows Update 裝置驅動程式搜尋提示] 設定在 SSLF 環境是設為 [已啟用],但在 EC 環境是設為 [已停用]。此建議的理由是因為正確的企業資源管理通常可以減少可能會利用驅動程式下載的攻擊類型。

注意:這個原則設定只有在系統管理範本\系統\網際網路通訊管理\網際網路通訊設定中的 [關閉 Windows Update 裝置驅動程式搜尋] 設定設為 [已停用] 或 [尚未設定] 時,才能發揮作用。

登入

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\系統\登入

下表彙整所建議的登入設定。此表下方的段落將提供各個設定的更多資訊。

表 4.19 建議的登入設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

不要處理舊版的執行清單

尚未設定

尚未設定

已啟用

已啟用

不要處理只執行一次的清單

尚未設定

尚未設定

已啟用

已啟用

不要處理舊版的執行清單

這個原則設定會讓系統略過執行清單;執行清單就是在啟動 Windows XP 時會自動執行的程式清單。Windows XP 的自訂執行清單是儲存在下列位置的登錄中:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

您可以啟用 [不要處理舊版的執行清單] 設定,在 Windows XP 每次啟動時,防止惡意使用者執行可能危害電腦資料或導致其他傷害的程式。如果啟用這個原則設定,也會讓某些系統程式無法執行,例如:防毒軟體、軟體散佈和監視軟體。Microsoft 建議您先評估對環境所造成的威脅程度之後,再決定是否要在貴公司使用這個原則設定。

[不要處理舊版的執行清單] 設定在 EC 環境是設為 [尚未設定],而在 SSLF 環境是設為 [已啟用]。

不要處理只執行一次的清單

這個原則設定會讓系統略過只執行一次清單;只執行一次清單就是在啟動 Windows XP 時會自動執行的程式清單。這個原則設定與 [不要處理舊版的執行清單] 設定的不同之處在於,這份清單上的程式只會在下次用戶端電腦重新開機時執行一次。有時候會將安裝程式加入這份清單,以便在用戶端電腦重新開機之後完成安裝。如果啟用這個原則設定,攻擊者便無法使用只執行一次清單來啟動惡劣的應用程式,而這一向是攻擊者一貫的手法。惡意使用者可以利用只執行一次清單,安裝一個可能會危害 Windows XP 用戶端電腦安全性的程式。

注意:自訂的只執行一次清單,是儲存在下列位置的登錄中:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

[不要處理只執行一次的清單] 設定,對您環境中的使用者所造成的功能損失應該是最低的,尤其是當用戶端電腦在透過群組原則套用這個原則設定之前,已經利用組織的標準軟體加以設定時,更是如此。

[不要處理只執行一次的清單] 設定在 EC 環境是設為 [尚未設定],而在 SSLF 環境是設為 [已啟用]。

群組原則

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\系統\群組原則

表 4.20 建議的群組原則設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

登錄原則處理

已啟用

已啟用

已啟用

已啟用

登錄原則處理

這個原則設定可以決定登錄原則更新的時間。它會影響 [系統管理範本] 資料夾中所有的原則,以及任何其他在登錄中存有值的原則。只要啟用這個原則設定,就會出現下列選項:

  • 在定期的幕後處理期間不要套用

  • 即使群組原則物件尚未變更也進行處理

部分經由系統管理範本所設定的設定,是在使用者可以存取的登錄區域中進行的。如果啟用這個原則設定,就會覆寫掉使用者對這些設定所作的變更。

[登錄原則處理] 設定在本章所討論的兩種環境中均設為 [已啟用]。

遠端協助

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\系統\遠端協助

下表彙總了建議的遠端協助設定。此表下方的段落將提供各個設定的更多資訊。

表 4.21 建議的遠端協助設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

提供遠端協助

尚未設定

尚未設定

已停用

已停用

請求遠端協助

尚未設定

尚未設定

已停用

已停用

提供遠端協助

如果使用者未先透過通道、電子郵件或 Instant Messenger 明確要求協助,這個原則設定便可以決定支援人員或 IT 「專家」系統管理員是否能夠為您環境中的電腦提供遠端協助。

注意:專家無法連線到未公佈的電腦,或未經使用者同意就控制該電腦。當專家嘗試連線時,使用者仍然可以拒絕此連線,或者只提供專家檢視的權限。使用者必須在將 [提供遠端協助] 設定設為 [已啟用] 之後,明確按下 [是] 按鈕,才能允許專家從遠端控制工作站。

只要啟用這個原則設定,就會出現下列選項:

  • 只允許協助人員檢視電腦

  • 允許協助人員從遠端控制電腦

當設定這個原則設定時,您還可以指定可能提供遠端協助的使用者或使用者群組 (稱為「協助人員」) 清單。

若要設定協助人員清單

  1. 在 [提供遠端協助] 設定視窗中,按一下 [顯示]。這時會出現一個新視窗,讓您輸入協助人員名稱。

  2. 使用下列格式之一,將每位使用者或群組加入 [協助人員] 清單中:

    • <網域名稱>\<使用者名稱>

    • <網域名稱>\<群組名稱>

若停用或未設定此原則設定,使用者和/或群組便無法在您的環境中,主動提供遠端協助給電腦使用者。

[提供遠端協助] 設定在 EC 環境中是設為 [尚未設定]。但是,這個原則設定在 SSLF 環境中是設為 [已停用],這是為了防止有人透過網路存取 Windows XP 用戶端電腦。

請求遠端協助

這個原則設定可決定是否可以向您環境中的 Windows XP 電腦請求遠端協助。您可以啟用這個原則設定,允許使用者向 IT「專家」系統管理員請求遠端協助。

注意:專家無法連線到未公佈的使用者電腦,或未經使用者同意就控制該電腦。當專家嘗試連線時,使用者仍然可以拒絕此連線,或者只提供專家檢視的權限。使用者必須明確按下 [是] 按鈕,才能允許使用者從遠端控制工作站。

當啟用 [請求遠端協助] 設定,就會出現下列選項:

  • 允許協助人員從遠端控制電腦

  • 只允許協助人員檢視電腦

此外,還有下列選項可用來設定使用者協助要求效期的時間長度:

  • 票證時間最大值 (值):

  • 票證時間最大值 (單位):小時、分鐘、天

當票證 (協助要求) 到期時,使用者必須傳送另一個要求,讓專家連線到他們的電腦。如果停用 [請求遠端協助] 設定,使用者就無法傳送協助要求,專業人員也無法連線到他們的電腦。

如果未設定 [請求遠端協助] 設定,使用者可以透過主控台,設定他們所要求的遠端協助。下列設定在主控台上皆預設為啟用:[請求的遠端協助]、[友人支援] 和 [遠端控制]。[票證時間最大值] 的值預設為 [30 天]。如果停用這個原則設定,就沒有人能夠在網路上存取 Windows XP 用戶端電腦。

[請求遠端協助] 設定在 EC 環境中是設為 [尚未設定],而在 SSLF 環境中是設為 [已停用]。

錯誤報告

這些設定可以控制報告作業系統和應用程式錯誤的方式。在預設設定中,當發生錯誤時,畫面會顯示快顯對話方塊,詢問使用者是否要傳送錯誤報告給 Microsoft。Microsoft 會嚴格保護這些報告中所提供的資料。但資料是以純文字加以傳輸,此舉就潛藏了安全性風險。

Microsoft 為組織提供了企業錯誤報告工具,可從本機收集報告,而不用透過網際網路將它們傳送到 Microsoft。Microsoft 建議在 SSLF 環境中使用企業錯誤報告工具,以防止機密資訊透過網際網路外洩。如需這個工具的詳細資訊,請參閱本章最後的<其他資訊>一節。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

電腦設定\系統管理範本\系統\錯誤報告

下表彙總了建議的錯誤報告設定。此表下方的段落將提供各個設定的更多資訊。

表 4.22 建議的錯誤報告設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

顯示錯誤通知

已啟用

已啟用

已啟用

已啟用

設定錯誤報告

已啟用

已啟用

已啟用

已啟用

顯示錯誤通知

這個原則設定可以控制是否要將錯誤訊息顯示在使用者的電腦螢幕上。如果啟用這個原則設定,就會在發生錯誤時,傳送錯誤訊息通知,而使用者也有權存取錯誤的詳細資訊。如果停用這個原則設定,使用者就無法檢視錯誤通知。

當發生錯誤時,一定要讓使用者知道問題何在。如果停用 [顯示錯誤通知] 設定,使用者就無法得知問題癥結何在。因此,[顯示錯誤通知] 設定在本章所定義的兩種環境中,均設為 [已啟用]。

設定錯誤報告

這個原則設定可以控制是否要報告錯誤。若啟用這個原則設定,在錯誤發生時,使用者便可以選擇是否要報告錯誤。錯誤可以經由網際網路報告給 Microsoft 或本機檔案共用。若啟用這個原則設定,就會出現下列選項:

  • 不顯示 Microsoft 提供的 [其他資訊] 網站連結

  • 不收集其他檔案

  • 不收集其他電腦資料

  • 強制應用程式錯誤的佇列模式

  • 公司上載檔案路徑

  • 用下列文字取代 'Microsoft'

如果停用 [設定錯誤報告] 設定,使用者就無法報告錯誤。如果啟用 [顯示錯誤通知] 設定,則使用者會收到錯誤通知,但無法報告。[設定錯誤報告] 設定可讓您針對組織需求來自訂錯誤報告策略,並收集報告以供本機分析。

[設定錯誤報告] 設定在本章所討論的兩種環境中均設為 [已啟用]。此外,也會為 SSLF 環境選取下列選項:

  • 不收集其他檔案

  • 不收集其他電腦資料

  • 強制應用程式錯誤的佇列模式

您也可以選取 [公司上載檔案路徑] 選項,並加入通往企業錯誤報告工具所在之伺服器的路徑。您應該評估組織的需要,再決定要使用哪些選項。

遠端程序呼叫

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

系統管理範本\系統\遠端程序呼叫

下表彙總了建議的遠端程序呼叫設定。此表下方的段落將提供各個設定的更多資訊。

表 4.23 建議的遠端程序呼叫設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

未經驗證的 RPC 用戶端限制

已啟用 - 已驗證

已啟用 - 已驗證

已啟用 - 已驗證

已啟用 - 已驗證

RPC 結束點對應程式用戶端驗證

已停用

已停用

已啟用

已啟用

未經驗證的 RPC 用戶端限制

這個原則設定可以在 RPC 伺服器上設定 RPC Runtime,限制未經驗證的 RPC 用戶端連線到 RPC 伺服器。如果用戶端使用具名管道與伺服器進行通訊,或使用 RPC 安全性,用戶端將視為已驗證的用戶端。視此原則的選取值而定,已特別要求可由未經驗證的用戶端存取的 RPC 介面可能不受此限制。若啟用這個原則設定,就會出現下列值:

  • 。此值所有 RPC 用戶端連線至套用該原則的電腦上執行的 RPC 伺服器。

  • 已驗證。此值僅允許經驗證的 RPC 用戶端連線至套用該原則的電腦上執行的 RPC 伺服器。已要求不受此限制的介面將授予豁免。

  • 已在無例外下驗證。此值僅允許經驗證的 RPC 用戶端連線至套用該原則的電腦上執行的 RPC 伺服器。不允許例外。

由於未經驗證的 RPC 通訊可能會產生安全性弱點,因此 [未經驗證的 RPC 用戶端限制] 設定是設為 [已啟用],而 [要套用的 RPC Runtime 未經驗證用戶端限制] 的值在本章所討論的兩種環境中均設為 [已驗證]。

注意:套用此設定時,不對來路不明的傳入連線要求進行驗證的 RPC 應用程式可能無法正常運作。在您的環境中部署這項原則設定之前,請務必先測試這些應用程式。雖然將此原則設定設為 [已驗證] 並非絕對安全,但可為您的環境提供應用程式的相容性。

RPC 結束點對應程式用戶端驗證

如果啟用這個原則設定,則與這部電腦通訊的用戶端電腦必須要提供驗證,才能建立 RPC 通訊。在預設的情況下,RPC 用戶端在要求伺服器的端點時,不會使用驗證來與 RPC Server Endpoint Mapper Service 通訊。但是,這個預設值在 SSLF 環境中就不同了,用戶端電腦必須先進行驗證,才能進行 RPC 通訊。

網際網路通訊管理\網際網路通訊設定

[網際網路通訊設定] 群組中有數個可用的組態設定。本指南建議對其中多項設定加以限制,以協助提升電腦系統上的資料機密性。如果未限制這些設定,資訊可能會被攻擊者中途攔截和使用。雖然目前這類攻擊發生的次數並不多,但正確進行設定可保護您的環境在日後免於遭受攻擊。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

系統管理範本\系統\網際網路通訊管理\網際網路通訊設定

下表彙總了建議的網際網路通訊設定。此表下方的段落將提供各個設定的更多資訊。

表 4.24 建議的網際網路通訊設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

關閉檔案及資料夾的 [發佈到網站] 工作

已啟用

已啟用

已啟用

已啟用

關閉網頁發佈和線上訂購精靈的網際網路下載

已啟用

已啟用

已啟用

已啟用

關閉 Windows Messenger 客戶經驗改進計畫

已啟用

已啟用

已啟用

已啟用

關閉搜尋小幫手內容頁更新

已啟用

已啟用

已啟用

已啟用

關閉 HTTP 上的列印

已啟用

已啟用

已啟用

已啟用

關閉透過 HTTP 下載列印驅動程式

已啟用

已啟用

已啟用

已啟用

關閉 Windows Update 裝置驅動程式搜尋

已停用

已停用

已啟用

已啟用

關閉檔案及資料夾的 [發佈到網站] 工作

此原則設定可決定在 Windows 資料夾的「檔案及資料夾工作」中是否可執行 [將這個檔案發佈到網站]、[將這個資料夾發佈到網站] 及 [將選取項目發佈到網站] 等工作。「網頁發佈精靈」被用來下載提供者清單,並可讓使用者將內容發佈到網站上。

如果您將 [關閉檔案及資料夾的 [發佈到網站] 工作] 設定設為 [已啟用],這些選項將從 Windows 資料夾的「檔案及資料夾工作」中移除。在預設的情況下,發佈到網站的選項都可以使用。由於這項功能可能會將受保護的內容暴露在一台未經驗證的網路用戶端電腦,因此這個原則設定在 EC 和 SSLF 環境中皆設為 [已啟用]。

關閉網頁發佈和線上訂購精靈的網際網路下載

這個原則設定可以控制 Windows 是否要下載網頁發佈和線上訂購精靈的提供者清單。如果啟用這個原則設定,Windows 就不會下載提供者清單,而只會顯示已快取到本機登錄中的服務提供者。

由於 [關閉檔案及資料夾的 [發佈到網站] 工作] 在 EC 和 SSLF 環境中皆設為 [已啟用] (請參閱前一個設定),因此就不需要用到這個選項。但是,將 [關閉網頁發佈和線上訂購精靈的網際網路下載] 設定設為 [已啟用],是為了將用戶端電腦的攻擊面降到最低,並且確保這項功能不會以其他方式遭到利用。

關閉 Windows Messenger 客戶經驗改進計畫

這個原則設定可決定 Windows Messenger 是否能夠收集有關如何使用 Windows Messenger 軟體和服務的匿名資訊。您可以啟用這個原則設定,以確保 Windows Messenger 不會收集使用資訊,並且也不顯示會收集使用資訊的使用者設定。

在大型企業環境中,可能不希望有人向受管理的用戶端電腦收集資訊。[關閉 Windows Messenger 客戶經驗改進計畫] 設定在本章所討論的兩種環境中皆設為 [已啟用],這是為了防止資訊被收集。

關閉搜尋小幫手內容頁更新

這個原則設定可決定在本機和網際網路上進行搜尋時,搜尋小幫手是否要自動下載內容更新。如果將這個原則設定設為 [已啟用],搜尋小幫手就無法在搜尋時下載內容更新。

[關閉搜尋小幫手內容頁更新] 設定在 EC 和 SSLF 環境中皆設為 [已啟用],這是為了協助您控制來自每一部受管理用戶端電腦的不必要網路通訊。

注意:網際網路搜尋還是會傳送搜尋文字和在 Microsoft 及所選搜尋提供者上搜尋的相關資訊。如果您選擇「傳統搜尋」,就無法使用搜尋小幫手功能。您可以按下 [開始]、[搜尋]、[變更喜好],然後按下 [變更網際網路搜尋操作] 來選擇「傳統搜尋」。

關閉 HTTP 上的列印

這個原則設定可讓您禁止用戶端電腦透過 HTTP 進行列印,也就是禁止讓電腦列印到內部網路和網際網路上的印表機。如果啟用這個原則設定,用戶端電腦就無法透過 HTTP 列印到網際網路印表機。

透過這項功能在 HTTP 上傳送的資訊並未受到保護,因此隨時可能遭到惡意使用者的攔截。因此,企業環境中通常不會使用這項功能。[關閉 HTTP 上的列印] 設定在 EC 和 SSLF 環境中皆設為 [已啟用],這是為了防止不安全的列印工作所帶來的安全漏洞。

注意:此原則設定只會影響網際網路列印的用戶端。無論設定值為何,電腦都可能成為網際網路列印伺服器,並透過 HTTP 提供其共用印表機。

關閉透過 HTTP 下載列印驅動程式

這個原則設定可以控制電腦是否可以從 HTTP 上下載列印驅動程式套件。如要設定 HTTP 列印功能,您可能必須從 HTTP 上下載印表機驅動程式,因為它未包含在標準作業系統安裝之中。

[關閉透過 HTTP 下載列印驅動程式] 設定被設為 [已啟用],這是為了防止他人從 HTTP 下載印表機驅動程式。

注意:此原則設定不會阻止用戶端電腦透過 HTTP 在內部網路或網際網路印表機上進行列印。它只會禁止下載本機上尚未安裝的驅動程式。

關閉 Windows Update 裝置驅動程式搜尋

這個原則設定可決定當裝置沒有本機驅動程式時,Windows 是否要在 Windows Update 上搜尋裝置驅動程式。

由於從網際網路下載任何裝置驅動程式,都有某種程度的風險,因此 [關閉 Windows Update 裝置驅動程式搜尋] 設定在 SSLF 環境中設為 [已啟用],而在 EC 環境中設為 [已停用]。此設定的理由是因為正確的企業資源與設定管理通常可以減少可能會利用驅動程式下載的攻擊類型。

注意:請參閱系統管理範本/系統中的 [關閉 Windows Update 裝置驅動程式搜尋提示],此設定可決定當本機上找不到裝置驅動程式時,在搜尋 Windows Update 前,是否要提示系統管理員。

網路

在群組原則的網路容器中,沒有與安全性相關的特定設定。但是,網路連線\Windows 防火牆容器中有一些很重要的設定,我們將在下列幾節中加以說明。

下圖說明受本節中設定變更影響的群組原則部分。

圖 4.4 電腦設定網路連線的群組原則結構

圖 4.4 電腦設定網路連線的群組原則結構

網路連線\Windows 防火牆

[Windows 防火牆] 設定是在「網域設定檔」和「標準設定檔」這兩個設定檔中完成。每當偵測到一個網域環境時,就會使用網域設定檔,而每當一個網域環境無法使用時,就會使用標準設定檔。

在下列兩個表格中,當某一 Windows 防火牆設定為「建議使用」時,使用的特定值將因不同的組織而異。例如,每個組織將擁有需要為 Windows 防火牆定義例外的唯一應用程式清單。因此,本指南並不適合定義將被廣泛使用的清單。

當您要決定哪些應用程式或連接埠可能需要例外狀況時,不妨啟用 Windows 防火牆記錄功能、Windows 防火牆稽核功能,以及網路追蹤功能。如需詳細資訊,請參閱設定電腦以進行 Windows 防火牆疑難排解 (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/Operations/bfdeda55-46fc-4b53-b4cd-c71838ef4b41.mspx。

如需關於 Windows XP 如何利用 Network Location Awareness (NLA) 來決定要連線到哪一種網路的資訊,請參閱 Microsoft 網站上的網路相關群組原則設定的網路判斷行為,網址為:www.microsoft.com/taiwan/technet/community/columns/cableguy/cg0504.mspx。

由於網域環境通常都會額外提供其他層級的保護,因此設定網域設定檔時,同常不會像標準設定檔那樣嚴格。

這兩個設定檔裡的原則設定名稱完全相同。下列兩個表格將列出不同設定檔的原則設定,而表格之後的小節將提供更詳盡的解說。

網路連線\Windows 防火牆\網域設定檔

本節中的設定可設定 Windows 防火牆網域設定檔。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

系統管理範本\網路\網路連線\Windows 防火牆\網域設定檔

表 4.25 建議的 Windows 防火牆網域設定檔設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

保護所有網路連線

已啟用

已啟用

已啟用

已啟用

不允許例外

不建議使用

不建議使用

不建議使用

不建議使用

定義程式例外

建議使用

建議使用

建議使用

建議使用

允許本機程式例外

不建議使用

不建議使用

已停用

已停用

允許遠端系統管理例外

建議使用

建議使用

已停用

已停用

允許檔案及印表機共用例外

已停用

已停用

已停用

已停用

允許 ICMP 例外

不建議使用

不建議使用

不建議使用

不建議使用

允許遠端桌面例外

建議使用

建議使用

已停用

已停用

允許 UPnP 架構例外

不建議使用

不建議使用

不建議使用

不建議使用

禁止通知

不建議使用

不建議使用

不建議使用

不建議使用

禁止單點傳送回應到多點傳送或廣播要求

已啟用

已啟用

已啟用

已啟用

定義連接埠例外

不建議使用

不建議使用

不建議使用

不建議使用

允許本機連接埠例外

已停用

已停用

已停用

已停用


注意:在此表中,當某一 Windows 防火牆設定為「建議使用」時,使用的特定值將因不同的組織而異。例如,每個組織將擁有需要為 Windows 防火牆定義例外的唯一應用程式清單。因此,本指南並不適合定義將被廣泛使用的清單。

網路連線\Windows 防火牆\標準設定檔

本節中的設定可設定 Windows 防火牆標準設定檔。此設定檔通常比網域設定檔更嚴格,網域設定檔假設網域環境提供部分基本的安全性層級。標準設定檔在電腦位於不受信任的網路 (如飯店網路或公共無線存取點) 上時使用。此類環境會造成未知的威脅並需要額外的安全性預防措施。

您可以在「群組原則物件編輯器」內的下列位置中設定下列指定的電腦設定:

系統管理範本\網路\網路連線\Windows 防火牆\標準設定檔

表 4.26 建議的 Windows 防火牆標準設定檔設定

設定

EC 桌上型電腦

EC 膝上型電腦

SSLF 桌上型電腦

SSLF 膝上型電腦

保護所有網路連線

已啟用

已啟用

已啟用

已啟用

不允許例外

建議使用

建議使用

建議使用

建議使用

定義程式例外

建議使用

建議使用

建議使用

建議使用

允許本機程式例外

不建議使用

不建議使用

已停用

已停用

允許遠端系統管理例外

已停用

已停用

已停用

已停用

允許檔案及印表機共用例外

已停用

已停用

已停用

已停用

允許 ICMP 例外

已停用

已停用

已停用

已停用

允許遠端桌面例外

已啟用

已啟用

已停用

已停用

允許 UPnP 架構例外

已停用

已停用

已停用

已停用

禁止通知

不建議使用

不建議使用

不建議使用

不建議使用

禁止單點傳送回應到多點傳送或廣播要求

已啟用

已啟用

已啟用

已啟用

定義連接埠例外

不建議使用

不建議使用

不建議使用

不建議使用

允許本機連接埠例外

已停用

已停用

已停用

已停用


注意:在此表中,當某一 Windows 防火牆設定為「建議使用」時,使用的特定值將因不同的組織而異。例如,每個組織將擁有需要為 Windows 防火牆定義例外的唯一應用程式清單。因此,本指南並不適合定義將被廣泛使用的清單。

Windows 防火牆:保護所有網路連線

這個原則設定會啟用 Windows 防火牆,取代所有執行 Windows XP SP2 的電腦上的網際網路連線防火牆。本指南建議您將這個原則設定設為 [已啟用],以保護本指南中所討論之所有環境中的電腦網路連線。

如果 [Windows 防火牆: 保護所有網路連線] 設定被設為 [已停用],就會關閉 Windows 防火牆,而 Windows 防火牆的所有其他設定也一律不予處理。

注意:如果啟用此原則設定,Windows 防火牆將執行並忽略電腦設定\系統管理範本\網路\網路連線\禁止在您的 DNS 網域網路上使用網際網路連線防火牆的設定。

Windows 防火牆:不允許例外

這個原則設定將令 Windows 防火牆封鎖所有來路不明的傳入郵件。它會覆寫所有接受這類訊息的其他 Windows 防火牆設定。如果在控制台的 Windows 防火牆元件中啟用此原則設定,[不允許例外] 核取方塊會被選取,系統管理員無法清除它。

許多環境包含的應用程式與服務必須允許接收來路不明的通訊作為其正常操作的一部分。這類環境可能需要將 [Windows 防火牆: 不允許例外] 設定設為 [已停用],才能讓那些應用程式和服務正常運作。但是,在設定這個原則設定之前,最好先測試您的環境,再決定要接受哪些通訊。

注意:此原則設定可對外部攻擊者的攻擊提供堅強的防護。當您遇到需要對外部攻擊進行徹底保護的情形時 (例如:新網路蠕蟲疫情爆發),應將其設為 [已啟用]。如果您將這個原則設定設為 [已停用],Windows 防火牆就可以套用其他原則設定,允許來路不明的傳入郵件。

Windows 防火牆:定義程式例外

部分應用程式可能需要開啟和使用 Windows 防火牆通常不允許的網路連接埠。[Windows 防火牆: 定義程式例外] 設定可讓您檢視和變更群組原則定義的程式例外清單。

如果這個原則設定設為 [已啟用],您就可以檢視和變更程式例外清單。如果將某個程式新增至此清單並將其狀態設定為 [已啟用],該程式可以接收要求開啟 Windows 防火牆的任何連接埠上的來路不明的傳入訊息,即使該連接埠被其他設定封鎖。如果將此原則設定設為 [已停用],群組原則定義的程式例外清單會被刪除。

注意:如果您輸入無效的定義字串,Windows 防火牆仍會將它新增至清單而不檢查錯誤。由於防火牆不檢查項目,因此您可以新增尚未安裝的程式。您可能會不小心為同一個程式的多個例外建立相互衝突的範圍或狀態值。

Windows 防火牆:允許本機程式例外

這個原則設定可控制系統管理員是否能夠在控制台使用 Windows 防火牆元件來定義本機程式例外清單。如果停用這個原則設定,系統管理員就無法定義本機程式例外清單;同時,這個設定也可以確保程式例外狀況只來自於群組原則。如果啟用這個原則設定,本機系統管理員就可以使用主控台,在本機上定義程式例外狀況。

企業用戶端電腦可能會遇到需要使用本機程式例外的情況。這些情況可能包括在建立組織防火牆原則時未分析到的應用程式,或是需要使用非標準連接埠設定的新應用程式。如果您在這種情況下選擇啟用 [Windows 防火牆: 允許本機程式例外] 設定,只會增加受影響電腦的攻擊面。

Windows 防火牆:允許遠端系統管理例外

許多組織在他們的日常操作中會利用遠端電腦系統管理。然而,有些攻擊會利用遠端系統管理程式常使用的連接埠來進行攻擊,而 Windows 防火牆則可以封鎖這些連接埠。

為提供遠端系統管理的彈性,您可以使用 [Windows 防火牆: 允許遠端系統管理例外] 設定。如果啟用這個原則設定,電腦可能會在 TCP 連接埠 135 和 445 上收到與遠端系統管理有關的來路不明傳入郵件。此原則設定也允許 Svchost.exe 和 Lsass.exe 接收來路不明傳入訊息,並允許主控的服務開啟其他動態指派的連接埠,通常介於 1034 至 1024 範圍之間,但也可能在 1024 到 65535 之間的任何位置。如果啟用這個原則設定,您就需要指定接受這些傳入郵件的 IP 位址或子網路。

如果您將 [Windows 防火牆: 允許遠端系統管理例外] 設定設為 [已停用],Windows 防火牆就不會發出任何所述的例外狀況。許多組織可能無法接受將這個原則設定設為 [已停用] 所產生的影響,因為這麼一來,許多遠端系統管理工具和弱點掃描工具都將無法使用。因此,Microsoft 建議只有安全性顧慮最高的組織,才啟用這個原則設定。

如果是網域設定檔,Microsoft 建議您將 [Windows 防火牆: 允許遠端系統管理例外] 設定,在 EC 環境中的電腦設為 [已啟用] (如果可能的話),而在 SSLF 環境中的電腦則設為 [已停用]。您環境中的電腦應該盡可能接受少數電腦的遠端系統管理要求。為了使 Windows 防火牆發揮最大的保護功能,您只要為遠端系統管理的電腦指定必要的 IP 位址和子網路即可。

Microsoft 建議針對標準設定檔中所有的電腦,將 [Windows 防火牆: 允許遠端系統管理例外] 設定設為 [已停用],以免有人特別利用漏洞來攻擊 TCP 連接埠 135 和 445。

注意:如果任何原則設定開啟 TCP 連接埠 445,Windows 防火牆就會允許傳入的 ICMP 回應要求訊息 (例如,Ping 公用程式傳送的訊息),即使 [Windows 防火牆: 允許 ICMP 例外] 原則設定會將其封鎖。可以開啟 TCP 連接埠 445 的原則設定包括 [Windows 防火牆: 允許檔案及印表機共用例外]、[Windows 防火牆: 允許遠端系統管理例外] 和 [Windows 防火牆: 定義連接埠例外]。

Windows 防火牆:允許檔案及印表機共用例外

這個原則設定可建立允許檔案和印表機共用的例外。它設定讓 Windows 防火牆開啟 UDP 連接埠 137 和 138,以及 TCP 連接埠 139 和 445。如果啟用此原則設定,Windows 防火牆會開啟這些連接埠,以便電腦接收列印工作及存取共用檔案的要求。您必須指定允許這類訊息的 IP 位址或子網路。

如果停用 [Windows 防火牆: 允許檔案及印表機共用例外] 設定,Windows 防火牆便會封鎖這些連接埠,以防止電腦共用檔案和印表機。

由於您環境中執行 Windows XP 的電腦通常不會共用檔案和印表機,因此 Microsoft 建議您在本章所討論的兩種環境中,將 [Windows 防火牆: 允許檔案及印表機共用例外] 設定設為 [已停用]。

注意:如果任何原則設定開啟 TCP 連接埠 445,Windows 防火牆就會允許傳入的 ICMP 回應要求訊息 (例如,Ping 公用程式傳送的訊息),即使 [Windows 防火牆: 允許 ICMP 例外] 原則設定會將其封鎖。可以開啟 TCP 連接埠 445 的原則設定包括 [Windows 防火牆: 允許檔案及印表機共用例外]、[Windows 防火牆: 允許遠端系統管理例外] 和 [Windows 防火牆: 定義連接埠例外]。

Windows 防火牆:允許 ICMP 例外

這個原則設定可定義 Windows 防火牆允許的一套網際網路控制訊息通訊協定 (ICMP) 訊息類型。公用程式可以使用 ICMP 訊息判斷其他電腦的狀態。例如,Ping 可以使用回應要求訊息。

如果您將 [Windows 防火牆: 允許 ICMP 例外] 設定設為 [已啟用],就必須指定 Windows 防火牆允許電腦收發的 ICMP 訊息類型。將此原則設定為 [已停用] 時,Windows 防火牆就會封鎖所有來路不明的傳入 ICMP 訊息類型,以及列出的傳出 ICMP 訊息類型。因此,仰賴 ICMP 的公用程式可能因而失敗。

許多攻擊者工具就是利用接受 ICMP 訊息類型的電腦,並利用這些訊息發動各種攻擊。但是,部分應用程式需要某些 ICMP 訊息才能正常運作。此外,在下載和處理群組原則時,也會利用 ICMP 訊息來評估網路效能;如果 ICMP 訊息遭到封鎖,群組原則就不會被套用到受影響的系統。因此,Microsoft 建議您盡可能將 [Windows 防火牆: 允許 ICMP 例外] 設定設為 [已停用]。如果您的環境需要讓一些 ICMP 訊息通過 Windows 防火牆,請設定適當的訊息類型。

當電腦位在不受信任的網路上時,就應該將 [Windows 防火牆: 允許 ICMP 例外] 設定設為 [已停用]。

注意:如果任何原則設定開啟 TCP 連接埠 445,Windows 防火牆就會允許傳入的 ICMP 回應要求訊息 (例如,Ping 公用程式傳送的訊息),即使 [Windows 防火牆: 允許 ICMP 例外] 原則設定會將其封鎖。可以開啟 TCP 連接埠 445 的原則設定包括 [Windows 防火牆: 允許檔案及印表機共用例外]、[Windows 防火牆: 允許遠端系統管理例外] 和 [Windows 防火牆: 定義連接埠例外]。

Windows 防火牆:允許遠端桌面例外

許多組織在其正常疑難排解程序或操作中會使用遠端桌面連線。但是,也發生過利用遠端桌面常用的連接埠來發動攻擊的案例。

為提供遠端系統管理的彈性,您可以使用 [Windows 防火牆: 允許遠端桌面例外] 設定。如果啟用這個原則設定,Windows 防火牆就會開啟 TCP 連接埠 3389 接受傳入連線。您還必須指定允許這些傳入訊息的 IP 位址或子網路。

如果停用此原則設定,Windows 防火牆會封鎖此連接埠並阻止電腦接收遠端桌面要求。如果系統管理員為了開啟這個連接埠,而將它加入本機連接埠例外清單中,Windows 防火牆是不會開啟這個連接埠的。

有些攻擊者會利用開啟的連接埠 3389 發動攻擊,因此 Microsoft 建議您,將 SSLF 環境的 [Windows 防火牆: 允許遠端桌面例外] 設定設為 [已停用]。若要保持遠端桌面所提供的增強管理功能,您必須將 EC 環境的這個原則設定設為 [已啟用]。您必須指定遠端系統管理所用電腦的 IP 位址和子網路。您環境中的電腦應該盡可能接受少數電腦的遠端桌面要求。

Windows 防火牆:允許 UPnP 架構例外

[Windows 防火牆: 允許 UPnP 架構例外] 設定可讓電腦接收網路裝置 (例如:含內建防火牆的路由器) 所傳送來的未經要求的隨插即用訊息。若要接收這些訊息,Windows 防火牆會開啟 TCP 連接埠 2869 和 UDP 連接埠 1900。

如果啟用 [Windows 防火牆: 允許 UPnP 結構例外] 設定,Windows 防火牆便會開啟這些連接埠,讓電腦能夠接收隨插即用訊息。您必須指定允許這些傳入訊息的 IP 位址或子網路。如果停用此原則設定,Windows 防火牆會封鎖這些連接埠並阻止電腦接收隨插即用訊息。

封鎖 UPnP 網路流量可有效減少您環境中的電腦受到攻擊的風險。如果是在受信任的網路上,Microsoft 建議您將 [Windows 防火牆: 允許 UPnP 結構例外] 設定設為 [已停用],但如果是在您的網路上使用 UPnP 裝置,則不在此限。在不受信任的網路上,此原則設定應永遠設為 [已停用]。

Windows 防火牆:禁止通知

在某個程式要求 Windows 防火牆將該程式新增至程式例外清單時,Windows 防火牆可以顯示通知給使用者。在程式嘗試開啟連接埠,但目前 Windows 防火牆規則不允許這樣做時,就會出現此情況。

[Windows 防火牆: 禁止通知] 設定可決定是否要向使用者顯示這些設定。如果將此原則設定為 [已啟用],Windows 防火牆會阻止顯示這些通知。如果將此原則設定為 [已停用],Windows 防火牆會允許顯示這些通知。

在 EC 或 SSLF 環境中,使用者通常無法新增應用程式和連接埠,來作為對這些訊息的回應。這時候,這則訊息就會通知使用者發生了他們無法控制的情況;同時,您最好將 [Windows 防火牆: 禁止通知] 設定設為 [已啟用]。在其他環境下,要容許部分使用者的例外情況時,則應該將原則設定設為 [已停用]。

Windows 防火牆:禁止單點傳送回應到多點傳送或廣播要求

這個原則設定會防止電腦接收對傳出多點傳送或廣播訊息的單點傳送回應。當啟用此原則設定,並且電腦將多點傳送或廣播訊息傳送至其他電腦時,Windows 防火牆會封鎖此類其他電腦傳送的單點傳送回應。當停用此原則設定,並且電腦將多點傳送或廣播訊息傳送到其他電腦時,Windows 防火牆最多會花三秒等待來自另一台電腦的單點傳送回應,然後將封鎖之後傳來所有回應。

通常,您不會想接收對多點傳送或廣播訊息的單點傳送回應。這類回應可能表示拒絕服務 (DoS) 攻擊,或是攻擊者企圖刺探已知的電腦。Microsoft 建議您將 [Windows 防火牆: 禁止單點傳送回應到多點傳送或廣播要求] 設定設為 [已啟用],以防止這類攻擊。

注意:如果單點傳送訊息是對電腦所傳送的 DHCP 廣播訊息的回應,此原則設定就不會發揮作用。Windows 防火牆永遠允許這些 DHCP 單點傳送回應。但是,此原則設定可能會干擾可偵測名稱衝突的 NetBIOS 訊息。

Windows 防火牆:定義連接埠例外

Windows 防火牆連接埠例外清單應由群組原則定義,以便讓您集中管理和部署連接埠例外,並確保本機系統管理員不會建立不安全的設定。

如果啟用 [Windows 防火牆: 定義連接埠例外] 設定,您就可以檢視和變更由群組原則所定義的連接埠例外清單。若要檢視和修改連接埠例外清單,請將此原則設定設為 [已啟用],然後按一下 [顯示] 按鈕。請注意,如果鍵入無效的定義字串,Windows 防火牆仍會將它新增至清單中,而不檢查錯誤,這意味著您可能會意外地為同一個連接埠,建立多個相互矛盾的範圍或狀態值。

如果停用 [Windows 防火牆: 定義連接埠例外] 設定,則會刪除群組原則所定義的連接埠例外清單,但其他設定仍可繼續開啟或封鎖連接埠。此外,如果有本機連接埠例外清單存在,除非您啟用 [Windows 防火牆: 允許本機連接埠例外] 設定,否則該清單也會被略過。

具有非標準應用程式且需要開啟特定連接埠的環境,應該考慮的是程式例外,而不是連接埠例外。Microsoft 建議只有在無法定義程式例外時,才將 [Windows 防火牆: 定義連接埠例外] 設定設為 [已啟用],並且才指定連接埠例外清單。僅在指定的程式執行時,且連接埠例外始終將指定的連接埠保持在開啟狀態時,程式例外才允許 Windows 防火牆接受來路不明的網路流量。

注意:如果任何原則設定開啟 TCP 連接埠 445,Windows 防火牆就會允許傳入的 ICMP 回應要求訊息 (例如,Ping 公用程式傳送的訊息),即使 [Windows 防火牆: 允許 ICMP 例外] 原則設定會將其封鎖。可以開啟 TCP 連接埠 445 的原則設定包括 [Windows 防火牆: 允許檔案及印表機共用例外]、[Windows 防火牆: 允許遠端系統管理例外] 和 [Windows 防火牆: 定義連接埠例外]。

Windows 防火牆:允許本機連接埠例外

這個原則設定可讓系統管理員在控制台使用 Windows 防火牆元件,來定義本機連接埠例外清單。Windows 防火牆可以使用兩個連接埠例外清單;另一個由 [Windows 防火牆: 定義連接埠例外] 設定加以定義。

如果啟用 [Windows 防火牆: 允許本機連接埠例外] 設定,系統管理員就可以使用控制台中的 Windows 防火牆元件,定義本機連接埠例外清單。如果停用此原則設定,控制台中的 Windows 防火牆元件就不允許系統管理員定義此類清單。

通常,在 EC 或 SSLF 安全性環境中,本機系統管理員無權覆寫組織原則,也無權建立他們自己的連接埠例外清單。因此,Microsoft 建議您將 [Windows 防火牆: 允許本機連接埠例外] 設定設為 [已停用]。

使用者設定

本章其餘各節將討論建議使用的使用者設定。請記住,這些設定適用於使用者,而不是電腦。它們應該在連結到包含您要設定之使用者的 OU 的群組原則中加以實作。您可以參考第 2 章的圖 2.3「展開後的 OU 結構以容納 Windows XP 桌上型和膝上型電腦」。您可以在群組原則物件編輯器中設定這些設定,其位置如下:

使用者設定\系統管理範本

下圖顯示其位置:

圖 4.5 使用者設定的群組原則結構

圖 4.5 使用者設定的群組原則結構

請經由連結至包含使用者帳戶之 OU 的 GPO 來套用這些設定。

注意:使用者設定會套用到使用者在 Active Directory 網域中登入的任何 Windows XP 電腦。但是,無論登入的使用者為何人,電腦設定都會套用到 Active Directory 中由 GPO 掌管的所有用戶端電腦。因此,本節表格只包含針對本章所討論之 EC 和 SSLF 環境所建議的設定。這些設定沒有膝上型或桌上型電腦的區別。

Windows 元件

下圖將說明群組原則受到 Windows 元件設定變更影響的部分:

圖 4.6 使用者設定 Windows 元件的群組原則結構

圖 4.6 使用者設定 Windows 元件的群組原則結構

Internet Explorer

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的使用者設定:

使用者設定\系統管理範本\Windows 元件\
Internet Explorer

下表彙整出所建議的 Internet Explorer 使用者設定。此表下方的段落將提供各個設定的更多資訊。

表 4.27 建議的 Internet Explorer 使用者設定

設定

EC 電腦

SSLF 電腦

瀏覽器功能表\停用 [將程式存到磁碟] 選項

尚未設定

已啟用

網際網路控制台\停用進階畫面

尚未設定

已啟用

網際網路控制台\停用安全性畫面

尚未設定

已啟用

離線網頁\停用新增頻道

已啟用

已啟用

離線網頁\停用新增離線網頁排程

已啟用

已啟用

離線網頁\停用所有排定的離線網頁

已啟用

已啟用

離線網頁\完全停用頻道使用者介面

已啟用

已啟用

離線網頁\停用下載網站訂閱內容

已啟用

已啟用

離線網頁\停用編輯與建立排程群組

已啟用

已啟用

離線網頁\停用編輯離線網頁排程

已啟用

已啟用

離線網頁\停用離線網頁記錄

已啟用

已啟用

離線網頁\停用移除頻道

已啟用

已啟用

離線網頁\停用移除離線網頁排程

已啟用

已啟用

設定 Outlook Express

已啟用

已啟用

停用變更進階畫面設定

尚未設定

已啟用

停用變更自動組態設定

尚未設定

已啟用

停用變更憑證設定

尚未設定

已啟用

停用變更連線設定

尚未設定

已啟用

停用變更 Proxy 設定

尚未設定

已啟用

不容許使用「自動完成」來儲存密碼

已啟用

已啟用

瀏覽器功能表\停用 [將程式存到磁碟] 選項

這個原則設定可防止使用者將 Internet Explorer 下載的程式或檔案儲存到硬碟中。如果啟用這個原則設定,使用者就無法使用 [將程式存到磁碟] 選項,因此無法將程式儲存到磁碟中。系統不會下載程式檔,並且會通知使用者此命令無法使用。這個原則設定可以協助保護高安全性環境,因為使用者無法透過 Internet Explorer 下載潛在有害的程式,並且將它們儲存到磁碟上。

[瀏覽器功能表] 下的 [停用 [將程式存到磁碟] 選項] 設定,只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

網際網路控制台\停用進階畫面

這個原則設定可以搭配其他設定,以確保使用者無法變更 Internet Explorer UI 的 [進階] 索引標籤中所設定的項目。

[網際網路控制台] 下的 [停用進階畫面] 設定只在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

網際網路控制台\停用安全性畫面

這個原則設定可以搭配其他設定,以確保使用者無法變更經由群組原則所設定的項目。這個原則設定會從 [網際網路選項] 對話方塊上,移除 [安全性] 索引標籤。如果啟用這個原則設定,使用者就無法檢視和變更安全性區域的設定,例如:指令碼處理、下載和使用者驗證。Microsoft 建議您將這個原則設定設為 [已啟用],讓使用者無法變更會減弱 Internet Explorer 中其他安全性設定的項目。

[網際網路控制台] 下的 [停用安全性畫面] 設定只在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

離線網頁\停用新增頻道

這個原則設定會移除使用者新增頻道至 Internet Explorer 中的能力。「頻道」是指在執行 Internet Explorer 的電腦上自動更新的網站,而更新排程是由頻道提供者所指定。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。最好的方法是在使用者直接從電腦提出要求時,只允許一部電腦從網際網路下載網頁。

因此,[離線網頁] 下的 [停用新增頻道] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用新增離線網頁排程

這個原則設定會移除使用者指定網頁可以離線下載和檢視的能力。這項能力可讓使用者在電腦未連線到網際網路時,仍可檢視網頁。

因此,[離線網頁] 下的 [停用新增離線網頁排程] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用所有排定的離線網頁

這個原則設定會停用下載網頁的現有排程,讓使用者能夠離線檢視它們。如果啟用這個原則,網頁 [內容] 對話方塊的 [排程] 索引標籤上的排程核取方塊會被清除,使得使用者無法選取。若要顯示這個索引標籤,使用者可依序按一下 [工具] 功能表和 [同步處理],然後選取網頁,再按一下 [內容] 按鈕和 [排程] 索引標籤。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用所有排定的離線網頁] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\完全停用頻道使用者介面

這個原則設定會移除使用者檢視頻道列介面的能力。「頻道」是指電腦上自動更新的網站,而排程是由頻道提供者所指定。如果啟用這個原則設定,使用者便無法存取頻道列介面,在 [顯示內容] 對話方塊的 [網頁] 索引標籤上,選取 [Internet Explorer 頻道列] 核取方塊。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [完全停用頻道使用者介面] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用下載網站訂閱內容

這個原則設定可移除使用者從網站下載訂閱內容的能力。但是,當使用者回到先前存取的網頁時,仍會進行網頁內容的同步處理,以確定是否有任何內容經過更新。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用下載網站訂閱內容] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用編輯與建立排程群組

這個原則設定可移除使用者為了離線檢閱他們所訂閱的網頁和網頁群組,而新增、編輯或移除排程的能力。訂閱群組是指最喜愛的網頁及與之連結的各個網頁。如果啟用這個原則,[網頁內容] 對話方塊中 [排程] 索引標籤上的 [新增]、[移除] 和 [編輯] 按鈕都會變成灰色。若要顯示這個索引標籤,請在 Internet Explorer 依序按一下 [工具] 和 [同步處理],然後選取網頁,按一下 [內容] 按鈕,然後再按一下 [排程] 索引標籤。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用編輯與建立排程群組] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用編輯離線網頁排程

這個原則設定可移除使用者編輯可供離線檢視的下載網頁之現有排程的能力。如果啟用這項原則,使用者便無法顯示可供離線檢視之網頁的排程內容。當使用者在 Internet Explorer 中依序按一下 [工具] 和 [同步處理],然後選取網頁,再按一下 [內容] 按鈕時,不會顯示任何內容。使用者不會收到任何指出該命令無法使用的訊息。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用編輯離線網頁排程] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用離線網頁記錄

這個原則設定會移除頻道提供者記錄使用者離線檢視其頻道網頁之頻率的能力。這個原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用離線網頁記錄] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用移除頻道

這個原則設定會移除使用者停用 Internet Explorer 頻道同步處理的能力。最好的方法是在使用者直接從電腦提出要求時,只允許一部電腦從網際網路下載網頁。

因此,[離線網頁] 下的 [停用移除頻道] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

離線網頁\停用移除離線網頁排程

這個原則設定會移除使用者清除下載網頁離線檢閱之預設值的能力。如果啟用這個原則設定,預設網頁設定就會受到保護。此原則設定是可封鎖 Internet Explorer 自動下載內容的數個設定之一。

因此,[離線網頁] 下的 [停用移除離線網頁排程] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

設定 Outlook Express

這個原則設定可讓系統管理員啟用和停用 Microsoft Outlook® Express 使用者儲存或開啟可能含有病毒之附件的能力。使用者無法透過停用 [設定 Outlook Express] 設定,來停止封鎖附件。若要強制使用這個原則設定,請按一下 [已啟用],然後選取 [封鎖可能包含病毒的附件]。

[設定 Outlook Express] 設定連同 [封鎖可能包含病毒的附件] 選項,在本章所討論的兩種環境中皆設為 [已啟用]。

停用變更進階畫面設定

這個原則設定會移除使用者在 Internet Explorer 的 [網際網路選項] 對話方塊中,變更 [進階] 索引標籤上設定的能力。如果啟用這個原則設定,使用者便無法變更與瀏覽器之安全性、多媒體和列印有關的進階設定。此外,他們也無法在 [網際網路選項] 對話方塊的 [進階] 索引標籤上,選取或清除這些選項的核取方塊。此原則設定也會讓使用者無法變更透過群組原則設定的設定。

[停用變更進階畫面設定] 設定只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

注意:如果您已設定 [停用進階畫面] 設定 (位於:\使用者設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台),就不必設定這個原則設定,因為 [停用進階畫面] 設定會將 [進階] 索引標籤從 [網際網路選項] 對話方塊中移除。

停用變更自動組態設定

這個原則設定會移除使用者變更自動設定的能力。系統管理員可以使用自動設定功能,定期更新瀏覽器設定。如果啟用這個原則設定,Internet Explorer 中的自動組態設定就會變淡。(這些設定位於 [區域網路 (LAN) 設定] 對話方塊的 [自動組態] 區域)。這個原則設定也會移除使用者變更透過群組原則所設定之項目的能力。

若要檢視 [區域網路 (LAN) 設定] 對話方塊

  1. 開啟 [網際網路選項] 對話方塊,然後按 [連線] 索引標籤。

  2. 按一下 [區域網路設定] 按鈕,檢視其設定。

[停用變更自動組態設定] 設定只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

注意:[停用連線畫面] 設定 (位於:\使用者設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台) 會將 [連線] 索引標籤自 [控制台] 中的 Internet Explorer 移除,並且此設定優先於 [停用變更自動組態設定] 設定選項。如果已經啟用前者,系統就會略過後者。

停用變更憑證設定

這個原則設定會移除使用者在 Internet Explorer 中變更憑證設定的能力。憑證的目的是用來確認軟體發行者的身分。如果啟用這個原則設定,[網際網路選項] 對話方塊中 [內容] 索引標籤的 [憑證] 區域的憑證設定就會變淡。此原則設定也會讓使用者無法變更透過群組原則設定的設定。

[停用變更憑證設定] 設定只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

注意:當啟用這個原則設定時,使用者仍然可以按兩下軟體發行憑證 (.spc) 檔,來執行憑證管理匯入精靈。這個精靈可讓使用者匯入並設定在 Internet Explorer 中尚未設定之軟體發行者的憑證設定。

注意:[停用內容畫面] 設定 (位於:\使用者設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台) 會將 [內容] 索引標籤自 [控制台] 中的 Internet Explorer 移除,並且此設定優先於這個 [停用變更憑證設定] 設定選項。如果已經啟用前者,系統就會略過後者。

停用變更連線設定

這個原則設定會移除使用者變更撥號設定的能力。如果啟用這個原則設定,[網際網路選項] 對話方塊中的 [連線] 索引標籤的 [設定值] 按鈕就會變淡。此原則設定也會讓使用者無法變更透過群組原則設定的設定。如果膝上型使用者在出差的時候需要變更連線設定的話,您可能會想要為他們停用此原則設定。

[停用變更連線設定] 設定只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

注意:如果您已設定 [停用連線畫面] 設定 (位於:\使用者設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台),您就不需要設定此原則設定。[停用連線畫面] 設定會從介面移除 [連線] 索引標籤。

停用變更 Proxy 設定

這個原則設定會移除使用者變更 Proxy 設定的能力。如果啟用這個原則設定,Proxy 設定就會變淡。(Proxy 設定位於 [區域網路 (LAN) 設定] 對話方塊的 [Proxy 伺服器] 區域中;請按一下 [網際網路選項] 對話方塊中的 [連線] 索引標籤,再按 [區域網路設定] 按鈕)。這個原則設定也會移除使用者變更透過群組原則所設定之項目的能力。如果膝上型使用者在出差的時候需要變更連線設定的話,您可能會想要為他們停用此原則設定。

[停用變更 Proxy 設定] 設定只有在 SSLF 環境中才設為 [已啟用]。在 EC 環境中,未設定此原則設定。

注意:如果您已設定 [停用連線畫面] 設定 (位於:\使用者設定\系統管理範本\Windows 元件\Internet Explorer\網際網路控制台),您就不需要設定此原則設定。[停用連線畫面] 設定會從介面移除 [連線] 索引標籤。

不容許使用「自動完成」來儲存密碼

這個原則設定會停用在網頁表單中自動填寫使用者名稱和密碼的功能,同時也不會提示使用者儲存密碼。如果啟用這個原則設定,[表單上的使用者名稱和密碼] 和 [提示我儲存密碼] 核取方塊就會變淡,使用者也無法在本機上儲存密碼。若要顯示這些核取方塊,使用者可以開啟 [網際網路選項] 對話方塊,按一下 [內容] 索引標籤,然後再按 [自動完成] 按鈕。

[不容許使用「自動完成」來儲存密碼] 設定在本章所討論的兩種環境中,皆設為 [已啟用]。

附件管理員

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的使用者設定:

使用者設定\系統管理範本\Windows 元件\附件管理員

下表彙整出所建議的附件管理員使用者設定。此表下方的段落將提供各個設定的更多資訊。

表 4.28 建議的附件管理員使用者設定

設定

EC 電腦

SSLF 電腦

不要保留檔案附件中的區域資訊

已停用

已停用

隱藏移除區域資訊的機制

已啟用

已啟用

開啟附件時通知防毒程式

已啟用

已啟用

不要保留檔案附件中的區域資訊

這個原則設定可讓您決定 Windows 是否要在來自 Internet Explorer 或 Outlook Express 的檔案附件上,標示來源區域 (例如:受限制的區域、網際網路、內部網路或本機) 資訊。為了讓此功能正常運作,此原則設定會要求將檔案下載至 NTFP 磁碟分割中。如果不保留區域資訊,Windows 就無法根據附件的來源區域進行適當的風險評估。

如果啟用 [不要保留檔案附件中的區域資訊] 設定,檔案附件就不會標示出區域資訊。如果停用這個原則設定,就會強制 Windows 在儲存檔案附件時,一併儲存區域資訊。由於危險附件經常是從不受信任的 Internet Explorer 區域下載而來,因此 Microsoft 建議您將這個原設定設為 [已停用],以確保每個檔案盡可能保有其安全性資訊。

[不要保留檔案附件中的區域資訊] 設定在本章所討論的兩種環境中,皆設為 [已停用]。

隱藏移除區域資訊的機制

這個原則設定可決定使用者是否可以手動移除檔案附件中的區域資訊。通常,使用者可以按一下檔案內容頁中的 [解除封鎖] 按鈕,或者在 [安全性警告] 對話方塊中選取核取方塊。如果移除區域資訊,使用者便可以開啟原先 Windows 禁止使用者開啟的危險檔案附件。

如果啟用 [隱藏移除區域資訊的機制] 設定,Windows 就會隱藏這個核取方塊和 [解除封鎖] 按鈕。如果停用這個原則設定,Windows 就 會顯示這個核取方塊和 [解除封鎖] 按鈕。由於危險附件經常是從不受信任的 Internet Explorer 區域下載而來,因此 Microsoft 建議您將這個原設定設為 [已啟用],以確保每個檔案盡可能保有其安全性資訊。

[隱藏移除區域資訊的機制] 設定在本章所討論的兩種環境中皆設為 [已啟用]。

注意:若要設定儲存檔案時是否儲存區域資訊,請參閱之前的 [不要保留檔案附件中的區域資訊] 設定。

開啟附件時通知防毒程式

許多環境都強制要求安裝防毒程式,它們可以針對攻擊提供強大的防禦能力。

[開啟附件時通知防毒程式] 設定可讓您決定如何通知已註冊的防毒程式。當此原則設為 [已啟用] 時,此原則會讓 Windows 啟動經過註冊的防毒程式,並在使用者開啟檔案附件時進行掃描。如果防毒掃描失敗,則會封鎖附件且無法開啟。如果此原則設為 [已停用],則在使用者開啟檔案附件時,Windows 就不會啟動此防毒程式。為了確保病毒掃描程式會在每一個檔案開啟前進行檢查,Microsoft 建議您在所有環境中,將這個原則設為 [已啟用]。

[開啟附件時通知防毒程式] 設定在本章所討論的兩種環境中皆設為 [已啟用]。

注意:為了讓此設定能正常運作,您必須安裝最新的防毒程式。許多更新的防毒程式均使用 SP2 隨附的新 API。

Windows 檔案總管

Windows 檔案總管的目的是瀏覽執行 Windows XP Professional 之用戶端電腦上的檔案系統。

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的使用者設定:

使用者設定\系統管理範本\Windows 元件\
Windows 檔案總管

下表彙整出所建議的 Windows 檔案總管使用者設定。此表下方的段落將提供各個設定的更多資訊。

表 4.29 建議的 Windows 檔案總管使用者設定

設定

EC 電腦

SSLF 電腦

移除 CD 燒錄功能

尚未設定

已啟用

移除 [安全性] 索引標籤

尚未設定

已啟用

移除 CD 燒錄功能

這個原則設定可移除可讓使用者透過 Windows 檔案總管燒錄 CD 的內建 Windows XP 功能。如果您將讀寫光碟機連接到電腦上,Windows XP 就可讓您建立及修改可重複寫入的 CD。您可以利用這項功能,將大量資料從硬碟複製到 CD 上,並在複製完畢之後,從電腦移除這些資料。

[移除 CD 燒錄功能] 設定在 EC 環境中是設為 [尚未設定]。但是,在 SSLF 環境中,此原則設定為 [已啟用]。

注意:這個原則設定不會防止使用光碟燒錄機的協力廠商應用程式修改或建立 CD。本指南建議您使用軟體限制原則來禁止協力廠商應用程式修改或建立 CD。如需詳細資訊,請參閱第 6 章<Windows XP 用戶端的軟體限制原則>。

另外一種防止使用者燒錄 CD 的方法,就是將光碟燒錄機從您環境中的用戶端電腦上移除,或者將它換成唯讀光碟機。

移除 [安全性] 索引標籤

這個原則設定會停用 Windows 檔案總管中檔案和資料夾內容對話方塊上的 [安全性] 索引標籤。如果啟用這個原則設定,在開啟所有檔案系統物件 (包括資料夾、檔案、捷徑和磁碟機) 的 [內容] 對話方塊後,使用者無法存取 [安全性] 索引標籤。既然無法存取 [安全性] 索引標籤,當然也就無法變更設定或檢視使用者清單了。

因此,EC 環境並未設定 [移除 [安全性] 索引標籤] 設定。但是,在 SSLF 環境中,此原則設定為 [已啟用]。

系統

下圖將說明群組原則受到系統設定變更影響的部分:

圖 4.7 使用者設定系統的群組原則結構

圖 4.7 使用者設定系統的群組原則結構

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的設定:

使用者設定\系統管理範本\系統

禁止存取登錄編輯工具

下表彙整出所建議的登錄編輯器使用者設定。

表 4.30 建議的登錄編輯器使用者設定

設定

EC 電腦

SSLF 電腦

禁止存取登錄編輯工具

尚未設定

已啟用


這個原則設定會停用 Windows 登錄編輯器 Regedit.exe 和 Regedt32.exe。如果啟用這個原則設定,當使用者嘗試使用登錄編輯器時,畫面會出現一則訊息,告訴他們不能使用其中一個編輯器。這個原則設定會移除使用者和入侵者利用這些工具存取登錄的能力,但是並不會阻止他們存取登錄本身。

[禁止存取登錄編輯工具] 設定在 EC 環境中是設為 [尚未設定]。但是,在 SSLF 環境中,此原則設定為 [已啟用]。

系統\電源管理

您可以在「群組原則物件編輯器」的下列位置中設定下列指定的設定:

使用者設定\系統管理範本\系統\電源管理

中止休眠/暫停狀態並恢復執行時必須輸入密碼

下表彙整出建議使用的 [中止休眠/暫停狀態並恢復執行時必須輸入密碼] 設定。

表 4.31 建議的系統\電源管理使用者設定

設定

EC 電腦

SSLF 電腦

中止休眠/暫停狀態並恢復執行時必須輸入密碼

已啟用

已啟用


這個原則設定可以控制當您環境中的用戶端電腦,從休眠/暫停狀態中恢復運作時,是否要鎖定它們。如果啟用這個原則設定,當用戶端電腦恢復運作時會遭到鎖定,使用者必須輸入密碼才能解除鎖定。如果停用或未設定這個原則設定,很可能會出現嚴重的安全漏洞,因為任何人都可以存取用戶端電腦。

因此,[中止休眠/暫停狀態並恢復執行時必須輸入密碼] 設定在本章所討論的兩種環境中皆設為 [已啟用]。

總結

本章主要說明在 Windows XP 附隨的系統管理範本中,許多重要的安全性設定。您可以使用這些範本,保護貴公司中執行 Windows XP 的桌上型電腦和膝上型電腦。當您在考量貴公司的安全性設定原則時,請記得一定要在安全性和使用者產能之間採取折衷。最終的目標是透過安全的運算經驗來保護您的使用者,共同對抗惡意程式和病毒,讓使用者能夠充分地執行工作,不致因為限制過多而影響工作表現。

其他資訊

下列連結提供更多與 Windows XP Professional 安全性有關的主題。

  • 如需 Windows XP 和 Windows Server 2003 上所有可用的系統管理範本群組原則設定的完整清單,請下載 Windows Server 2003 Service Pack 1 群組原則設定參考資料活頁簿 (英文),網址為:www.microsoft.com/downloads/details.aspx?FamilyId=
    7821C32F-DA15-438D-8E48-45915CD2BC14。

  • 如需有關建立自己的系統管理範本的資訊,請參閱白皮書實作已登錄的群組原則,網址為:
    www.microsoft.com/taiwan/technet/prodtechnol/windows2000serv/howto/default.mspx。

  • 如需錯誤報告的相關資訊,請參閱 Windows 企業錯誤報告網站 (英文),網址為:www.microsoft.com/resources/satech/cer/。

  • 如需 Windows Server Update Service (WSUS) 的資訊,請參閱 Windows Server Update Services 產品概觀網頁,網址為:
    www.microsoft.com/taiwan/windowsserversystem/updateservices/evaluation/overview.mspx。

  • 如需關於如何部署 WSUS 的資訊,請參閱部署 Microsoft Windows Server Update Services (英文),網址為:www.microsoft.com/technet/prodtechnol/windowsserver2003/
    library/WSUS/WSUSDeploymentGuideTC/。

  • 如需群組原則管理的詳細資訊,請參閱使用群組原則管理控制台執行企業管理,網址為:www.microsoft.com/taiwan/windowsserver2003/gpmc/。

  • Office 2003 安全性 (英文) 主網站有提供如何使用 Office 2003 安全性設定和功能的文章連結,其網址為:
    http://office.microsoft.com/en-us/assistance/HA011403061033.aspx。

  • Office 2003 Policy Template Files and Deployment Planning Tools 包含 Office 群組原則系統管理範本檔案,以及彙整所有可用設定的試算表。

  • Office 2003 Resource Kit 工具組 (英文) 包含 Office 2003 Policy Template Files and Deployment Planning Tools,以及其他許多可用來部署和管理 Office 2003 的實用工具,網址為:http://www.microsoft.com/downloads/details.aspx?FamilyID=4bb7cb10-a6e5-4334-8925-
    3bcf308cfbaf&DisplayLang=en。

  • 如需有關 Internet Explorer Administration Kit 的詳細資訊,請參閱 www.microsoft.com/technet/prodtechnol/ie/ieak/。


下載

下載下載 Windows XP 安全性指南 (英文)

顯示: