Windows XP 安全性指南

第 5 章:保護獨立 Windows XP 用戶端的安全

更新日期: 2006 年 7 月 26 日

本頁內容

概觀
在 Windows NT 4.0 網域中的 Windows XP
本機群組原則物件設定
將安全性範本匯入 Windows XP
總結

概觀

不屬於 Active Directory® 目錄服務網域成員的 Microsoft® Windows® XP Professional 電腦,會遭遇到一些特殊的管理挑戰。本章將探討如何最有效套用和管理本指南前幾章所建議的原則設定。指定的原則設定將協助您確保貴組織內執行 Windows XP Professional 的獨立桌上型和膝上型電腦的安全性。藉由本機原則所套用設定,適用於登入此用戶端電腦的所有使用者,其中包括本機系統管理員。

本章並不為 Windows XP 中所有可用的原則設定提供指導。但是,指定的原則設定能提供安全的作業環境,防範絕大多數最新的威脅,允許使用者繼續使用其電腦。您套用的任何原則設定應該以您的組織安全性目標為依據。

在 Windows NT 4.0 網域中的 Windows XP

在非 Active Directory 網域環境中的 Windows XP 用戶端電腦的特定範例,就是在 Microsoft Windows NT® 4.0 網域中的 Windows XP 電腦。在此環境中,Windows XP 用戶端均視為獨立的電腦。在這類的環境中,由於缺乏據以管理原則設定的中央位置,因此會有更多的管理負荷。Microsoft 建議您安裝具有 Service Pack 6a (SP6a) 與最新更新的 Windows NT 4.0 網域控制站。Windows NT 4.0 SP6a 含有針對 NTLM 驗證的多項更新。如果沒有這些更新,在 Windows NT 4.0 網域中的 Windows XP 電腦可能會發生網域或網路的連結和通訊問題。系統管理員應該經常檢查是否有新的更新。

Windows XP Professional 比先前的 Windows 版本提供了更多的原則設定,可以讓您更容易自訂使用者與電腦設定。Windows XP Professional 中,除了 Windows 2000 Professional 原有的本機原則設定,另外還增加了數百種新設定。本機原則是允許您鎖定及微調桌上型電腦的一種強大管理功能。它也提供多種不同的自訂狀況。網域系統管理員在所有加入網域的用戶端電腦上,屬於本機 Administrators 群組的成員,因此 Windows XP 用戶端電腦受到保護的程度與它們所屬的網域是相同的。

在舊環境中的 Windows XP 用戶端電腦,應使用第 3 章<Windows XP 用戶端的安全性設定>中所提供的修訂版之安全性範本,以確保它們能與 Windows NT 4.0 網域控制站進行通訊。這些原則設定是藉由本章結尾所描述的指令碼來進行套用。

若要與 Windows NT 4.0 網域控制站通訊,應修改電腦設定\Windows 設定\安全性設定\本機原則\安全性選項下的下列原則設定:

  • 網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 – 已停用

  • Microsoft 網路用戶端:數位簽章用戶端的通訊 (自動) – 已停用

這些原則設定在本指南隨附的傳統用戶端安全性範本檔案中,均已預先設定。

本機群組原則物件設定

每一個 Windows XP Professional 作業系統都會有一項本機群組原則物件 (LGPO)。原則設定是透過「群組原則物件編輯器」或透過指令碼,手動套用到 LGPO。LGPO 所含的原則設定比以網域為主的 GPO 少,特別是在安全性設定方面。當 LGPO 設定為獨立用戶端電腦時,不支援「資料夾重新導向」、「遠端安裝服務」或「群組原則軟體安裝」,但是您可以使用它們在這類電腦上提供安全的作業環境。

下表顯示當「群組原則」嵌入式管理單元著重於某 LGPO 時,有哪些「群組原則」嵌入式管理單元延伸會開啟。

表 5.1 群組原則嵌入式管理單元延伸

群組原則嵌入式管理單元延伸

在 LGPO 中是否可用

軟體安裝

指令碼

安全性設定

系統管理範本

資料夾重新導向

Internet Explorer 維護

遠端安裝服務

帳戶原則

帳戶原則包含「密碼原則」、「帳戶鎖定原則」以及「Kerberos 原則」等設定。「密碼原則」可以要求密碼複雜度與經常變更密碼,協助保護大多數環境的安全。「帳戶鎖定原則」可在一連串的登入嘗試失敗之後,自動停用帳戶。「Kerberos 原則」可決定網域使用者帳戶的 Kerberos 相關的屬性,例如:[使用者票證最長存留期] 以及 [強制執行使用者登入限制] 等設定。然而,這些原則設定不會用於獨立用戶端電腦上,因為它們不會加入網域。

一般而言,帳戶原則都是設定在網域層級,通常是針對網域用戶端電腦來進行設定。對於獨立的 Windows XP 用戶端電腦,這些原則設定需要在本機上套用,類似於在本指南第 2 章<設定 Active Directory 網域基礎結構>中所述的原則設定。

本機原則

位於電腦設定\Windows 設定\安全性設定中的「本機原則」,會套用至使用本指南第 3 章<Windows XP 用戶端的安全性設定>所述範本的用戶端電腦。同時使用那些範本以及針對獨立用戶端電腦所建立的範本,您就可以藉由可以套用至環境中多部電腦的指令碼,將安全性範本的套用予以自動化。下一個段落將說明建立和部署本機原則的程序。

將安全性範本匯入 Windows XP

您可以使用數個不同範本,藉由指令碼來設定獨立的用戶端電腦;您應使用能夠支援用戶端安全性需求的範本。先前章節已經討論過本機原則設定,以及如何使用「群組原則物件編輯器」來設定它們。您可以使用提供的範本,將網路連接環境或獨立環境中的許多用戶端電腦的設定程序予以自動化。此節將說明如何將安全性原則的設定予以自動化。

設定

安全性範本是含有安全性設定的檔案。若要將安全性範本套用到本機電腦,您可以將它們匯入到 LGPO 中。在第 3 章<Windows XP 用戶端的安全性設定>中建立的範本,將用來設定本機原則。系統管理員將使用 Microsoft Management Console (MMC)「安全性設定及分析」嵌入式管理單元、「安全性範本」嵌入式管理單元,以及 Secedit.exe,來建立帳戶原則,並合併獨立電腦上的兩個安全性範本。

建立安全性資料庫

若要在獨立用戶端電腦上將安全性設定的匯入程序自動化,就必須建立用於寫入本機安全性原則的參照資料庫。基準線資料庫是使用 MMC「安全性設定及分析」嵌入式管理單元所建立的。以下是建立 XP Default Security.sdb 資料庫所採用的步驟。該資料庫使用 Setup security.inf 檔案作為範本,建立獨立用戶端電腦的預設原則設定。

若要建立新的預設安全性資料庫

  1. 在 [開始]功能表,按一下 [執行],鍵入 mmc,再按一下 [確定]。

  2. 在 [檔案] 功能表上,按一下 [開新檔案],以建立新的主控台。

  3. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。然後按一下 [新增/移除嵌入式管理單元] 內容對話方塊中的 [獨立] 索引標籤,按一下 [新增]。

  4. 選取 [安全性設定及分析],按一下 [新增]、[關閉],然後按一下 [確定]。

  5. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵,然後按一下 [開啟資料庫]。

  6. 鍵入新的資料庫名稱 (XP 預設安全性),然後按一下 [開啟]。

  7. 選取要匯入的安全性範本 (setup security.inf),然後按一下 [開啟]。

  8. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵,然後按一下 [立即設定電腦]。

  9. 在 [設定系統] 對話方塊中鍵入您要使用的記錄檔名稱,然後按一下 [確定]。

此程序會建立具有預設安全性設定的資料庫檔案,以便用於自動化程序。將安全性資料庫複製到已複製指令碼和資訊檔案的資料夾。自訂指令碼將用來設定資料庫,進而設定本機安全性原則。系統管理員可以使用類似的步驟來建立自訂的資料庫,以取代本指南所提供的步驟。

建立自訂範本

您可以使用 MMC「安全性範本」嵌入式管理單元來定義範本中的安全性原則設定,然後就可以套用到本機電腦。執行下列步驟以建立 Standalone-EC-Account.inf 與 Standalone-SSLF-Account.inf 範本;其中採用的原則設定來自於第 2 章<設定 Active Directory 網域基礎結構>中的「帳戶原則」表格。

若要建立自訂範本

  1. 按一下 [開始]、[執行],鍵入 mmc,然後按一下 [確定]。

  2. 在 [檔案] 功能表上,按一下 [開新檔案],以建立新的主控台。

  3. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。然後按一下 [新增/移除嵌入式管理單元] 內容方塊中的 [獨立] 索引標籤,按一下 [新增]。

  4. 按一下 [安全性範本]、[新增]、[關閉],然後按一下 [確定]。

  5. 開啟 [安全性範本]。

  6. 選取要儲存新範本的預設資料夾,然後按一下 [新增範本]。

  7. 在 [範本名稱] 文字方塊中,鍵入新安全性範本的名稱。

  8. 在 [描述] 文字方塊中,鍵入新安全性範本的描述,然後按一下 [確定]。

  9. 在主控台樹狀目錄中的新安全性範本上連按兩下,以顯示安全性區域,然後瀏覽,直到您要設定的原則設定出現在詳細資料窗格中。

  10. 在詳細資料窗格中,在您要設定的原則設定上,按一下滑鼠右鍵,然後按一下 [內容]。

  11. 在 [內容] 對話方塊中,選取 [定義範本內的這個原則設定] 核取方塊,編輯設定,然後按一下 [確定]。

檔案建立之後,您可以在 %windir%\security\templates 下找到它們。將安全性範本複製到建立安全性資料庫的資料夾中,以執行指令碼。這些檔案會在下一個階段被使用,以便自動化匯入範本。

套用原則

當您需要在多部電腦上設定安全性時,Secedit.exe 工具將會非常實用。您可以透過命令提示字元,從批次檔案或自動工作排程器中,叫用 Secedit.exe 工具,以自動建立和套用範本。您也可以從命令提示字元,動態地執行它。本指南隨附的指令碼,必須使用 Secedit.exe 工具來將本機原則合併與套用到用戶端電腦上。

手動套用本機原則

若要套用本指南內獨立安全性範本 .inf 檔案中的所有原則設定,請使用 MMC「安全性設定及分析」嵌入式管理單元,而非「本機電腦原則」嵌入式管理單元。您無法使用「本機電腦原則」嵌入式管理單元來匯入安全性範本,因為它不允許您為系統服務套用安全性原則設定。

若要匯入和套用安全性範本,請使用「安全性設定及分析」嵌入式管理單元來完成在下列程序中的步驟。

若要匯入安全性範本

  1. 啟動 MMC「安全性設定及分析」嵌入式管理單元。

  2. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵。

  3. 按一下 [開啟資料庫]。

  4. 輸入新的資料庫名稱,然後按一下 [開啟]。

  5. 選取要匯入的安全性範本 (.inf 檔案),然後按一下 [開啟]。

系統將會匯入範本內的所有原則設定,然後就可進行檢視或套用。

若要套用安全性設定

  1. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵。

  2. 選取 [立即設定電腦]。

  3. 在 [立即設定電腦] 對話方塊中,鍵入您要使用的記錄檔名稱,然後按一下 [確定]。

您需要為每一個環境匯入這兩種範本。來自於安全性範本的所有相關原則設定,會套用到用戶端電腦的本機原則中。下列各節將說明透過本機原則套用的原則設定。

Secedit

這個工具可設定和分析系統安全性;若要如此執行,它會把您目前的設定與至少一個範本作比較。使用 Secedit.exe 工具的語法如下:

secedit /configure /db <FileName> [/cfg <FileName>] [/overwrite][/areas <Area1> <Area2> ...]
[/log <FileName>] [/quiet]

下列清單說明 Secedit.exe 工具的參數。

  • /db <FileName>。指定用於執行安全性設定的資料庫。

  • /cfg <FileName>。指定在設定電腦之前,要匯入到資料庫的安全性範本。安全性範本是使用「安全性範本」嵌入式管理單元來建立。

  • /overwrite。指定在匯入安全性範本之前,需要先清空資料庫。如果沒有指定此參數,安全性範本中的原則設定就會累積在資料庫中。如果沒有指定此參數,而且您要匯入的範本內的原則設定與資料庫中現有的原則設定相衝突時,系統會套用範本中的設定。

  • /areas <Area1> <Area2>。指定要套用到系統的安全性區域。如果沒有指定此參數,就會將資料庫中所定義的所有安全性原則設定套用到系統上。若要設定多重區域,請以空格分隔每一區域。下表顯示受到支援的安全性區域。

    表 5.2 安全性區域

    區域名稱

    說明

    SECURITYPOLICY

    包括「帳戶原則」、「稽核原則」、事件日誌設定,以及安全性選項。

    GROUP_MGMT

    包括受限群組設定。

    USER_RIGHTS

    包括使用者權限指派設定。

    REGKEYS

    包括登錄權限。

    FILESTORE

    包括檔案系統權限。

    SERVICES

    包括系統服務設定。


  • /log <FileName>。指定可在其中記錄設定程序狀態的檔案。如果沒有指定,設定資料會被記錄在 %windir%\security\logs 目錄下的 Scesrv.log 檔案中。

  • /quiet。指定應執行設定程序,而不需提示使用者。

自動化指令碼

使用指令碼來將相同的原則設定套到多部用戶端電腦上,永遠是比較簡單的作法。您可以使用本章之前所述的 Secedit.exe 工具,使用簡單的指令碼將本機原則的套用予以自動化。將指令碼與所有相關的檔案複製到本機硬碟的子目錄中,然後從子目錄執行指令碼。

您可以用下列指令碼將安全性範本匯入到 LGPO 中,以保護您環境中的獨立 Windows XP 用戶端電腦。

重要:請確認安全性資料庫檔案 XP Default Security.sdb 沒有標示為「唯讀」。若要下列指令碼正確運作,它必須要能夠變更此檔案。


REM (c) Microsoft Corporation 1997-2005

REM Script for Securing Stand-Alone Windows XP Client Computers
REM
REM Name:        Standalone-EC-Desktop.cmd
REM Version:     2.0

REM This CMD file provides the proper secedit.exe syntax for importing
REM the security policy for a secure stand-alone Windows XP desktop 
REM client computer. Please read the entire guide before using this 
REM CMD file.

REM Resets the Policy to Default Values
secedit.exe /configure /cfg %windir%\repair\secsetup.inf 
/db secsetup.sdb /verbose

REM Sets the Account Settings
secedit.exe /configure /db "XP Default Security.sdb" 
/cfg "Standalone-EC-Account.inf" /overwrite /quiet

REM Sets the Security Settings
secedit.exe /configure /db "XP Default Security.sdb" 
/cfg "EC-Desktop.inf"

REM Deletes the Shared Folder
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
MyComputer\NameSpace\DelegateFolders\
{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f

REM Updates the Local Policy
gpupdate.exe /force


下表列出本指南隨附的指令碼和相關檔案。對於每一種環境,都有桌上型和膝上型這兩種用戶端電腦專用的檔案。

表 5.3 獨立指令碼和檔案

指令碼和檔案名稱

說明

Standalone-EC-Desktop.cmd

用來在桌上型用戶端電腦上設定「企業用戶端」原則的獨立指令碼。

Standalone-EC-Laptop.cmd

用來在膝上型用戶端電腦上設定「企業用戶端」原則的獨立指令碼。

Standalone-SSLF-Desktop.cmd

用來在桌上型用戶端電腦上設定「專業安全性限制功能」原則的獨立指令碼。

Standalone-SSLF-Laptop.cmd

用來在膝上型用戶端電腦上設定「專業安全性限制功能」原則的獨立指令碼。

Standalone-EC-Account.inf

「企業用戶端帳戶原則」範本。

Standalone-SSLF-Account.inf

「專業安全性限制功能帳戶原則」範本。

EC-Desktop.inf

桌上型用戶端電腦的「企業用戶端安全性」範本。

EC-Laptop.inf

膝上型用戶端電腦的「企業用戶端安全性」範本。

SSLF-Desktop.inf

桌上型用戶端電腦的「專業安全性限制功能」範本。

SSLF-Laptop.inf

膝上型用戶端電腦的「專業安全性限制功能」範本。

XP Default Security.sdb

預設原則資料庫。


表 5.4 舊版指令碼和檔案

指令碼和檔案名稱

說明

Legacy-EC-Desktop.cmd

用來在桌上型用戶端電腦上設定「企業用戶端」原則的舊版指令碼。

Legacy-EC-Laptop.cmd

用來在膝上型用戶端電腦上設定「企業用戶端」原則的舊版指令碼。

Legacy-SSLF-Desktop.cmd

用來在桌上型用戶端電腦上設定「專業安全性限制功能」原則的舊版指令碼。

Legacy-SSLF-Laptop.cmd

用來在膝上型用戶端電腦上設定「專業安全性限制功能」原則的舊版指令碼。

Legacy-EC-Account.inf

「舊版企業帳戶原則」範本。

Legacy-SSLF-Account.inf

「舊版專業安全性限制功能帳戶原則」範本。

Legacy-EC-Desktop.inf

桌上型用戶端電腦的「舊版企業用戶端安全性」範本。

Legacy-EC-Laptop.inf

膝上型用戶端電腦的「舊版企業用戶端安全性」範本。

Legacy-SSLF-Desktop.inf

桌上型用戶端電腦的「舊版專業安全性限制功能」範本。

Legacy-SSLF-Laptop.inf

膝上型用戶端電腦的「舊版專業安全性限制功能」範本。

XP Default Security.sdb

預設原則資料庫。
注意:請確定資料庫具備寫入權限。它不能設定為唯讀。


總結

Windows XP 本機原則是非常有用的方式,能為不屬於 Active Directory 網域成員的 Windows XP 系統提供一致的安全性原則設定。若要有效部署本機原則,請確定您瞭解它的套用方式,並確定所有的用戶端電腦都採用適用的設定,並且您已經為環境中的每一部電腦定義適合的安全性。

其他資訊

下列連結提供更多與 Windows XP Professional 安全性有關的主題。

  • 如需更多關於安全性設定管理員 (英文) 的資訊,請參閱 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/74d8fed6-cf2f-4ba4-94f3-fc95bad914b0.mspx。

  • 如需更多關於 Windows Server 2003 群組原則 (英文) 的資訊,請參閱 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/
    featured/gp/default.mspx。

  • 如需關於 Windows Server 中疑難排解群組原則的資訊,請參閱在 Microsoft Windows Server 中疑難排解群組原則白皮書 (英文),網址是:
    www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2。

  • 如需關於疑難排解群組原則應用問題 (英文) 的詳細資訊,請參閱知識庫文件編號 250842,網址是:http://support.microsoft.com/default.aspx?scid=250842。

  • 如需有關安全性工具 (英文)與檢查清單的詳細資訊,請造訪 www.microsoft.com/taiwan/technet/security/tools/default.mspx。

  • 如需關於如何識別 Active Directory 和 SYSVOL 中的群組原則物件的資訊,請參閱知識庫文件編號 216359,網址是:http://support.microsoft.com/default.aspx?scid=216359。

  • 如需關於系統管理範本的角色 (英文) 的資訊,請造訪 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/adminad.mspx。


下載

下載下載 Windows XP 安全性指南 (英文)

顯示: