Windows Vista 安全性指南

概觀

歡迎使用 Windows Vista 安全性指南。本指南提供的指令及建議,可協助加強在使用 Active Directory 目錄服務的網域中執行 Windows Vista 之桌上型及筆記型電腦的安全性。

Windows Vista 安全性指南除了指定解決方案,還包含工具、逐步程序、建議和大幅簡化部署處理序的程序。本指南不只提供有效的安全性設定指引,還提供可重現的方法,讓您用來對測試和實際生產環境套用指引。

Windows Vista 安全性指南為您提供的主要工具是 GPOAccelerator.wsf 指令碼。此工具可讓您執行指令碼,自動建立必須套用此安全性指引的所有群組原則物件 (GPO)。本指南隨附 Windows Vista Security Guide Settings.xls 檔,提供您用來比較設定值的另一項資源。

Microsoft 工程小組、顧問、支援工程師、合作夥伴及客戶都已檢閱並認可此精準的指引,讓它成為:

  • 已驗證的。以欄位體驗為基礎。
  • 已授權的。提供可取得的最佳建議。
  • 精確的。技術方面經過驗證及測試。
  • 可動作的。提供成功的步驟。
  • 相關的。解決真實世界的安全性考量。

顧問和系統工程師會開發在各種環境中實作 Windows Vista、Windows XP Professional、Windows Server 2003 和 Windows 2000 的最佳做法。如果您正在為您的環境評估 Windows Vista,Windows Vista 硬體評量 (英文) 解決方案加速器可以幫助組織判斷其電腦的完備性是否能執行 Windows Vista 作業系統。此工具會快速清查電腦、識別支援的 Windows Vista 體驗,以及視需要建議特定的硬體和裝置驅動程式升級。

Microsoft 已發行 Windows XP 含 Service Pack 1 (SP1) 和 Windows XP 含 SP2 的指南。本指南參考 Windows Vista 中重要的安全性增強功能。本指南是使用已加入使用 Active Directory 的網域中執行 Windows Vista 的電腦和獨立的電腦開發及測試而成。

注意除非另外指明,否則本指南中所有 Windows XP 的參考都是指 Windows XP 含 SP2。

本頁內容

執行摘要 執行摘要
誰應該閱讀本指南 誰應該閱讀本指南
章節摘要 章節摘要
指引及工具 指引及工具
樣式慣例 樣式慣例
其他資訊 其他資訊
銘謝 銘謝

執行摘要

不論您的環境為何,強烈建議您認真考慮安全性的事宜。很多組織低估資料技術 (IT) 的價值。如果您環境中的伺服器遭到攻擊,可能會嚴重破壞整個組織。例如,如果惡意程式感染網路上的用戶端電腦,您的組織可能失去專屬的資料,要付出顯著的成本費用才能將這些電腦回復至安全狀態。造成您的網站無法使用的攻擊可能還會導致收入重大損失或失去客戶信任。

進行安全性弱點、風險及其可能程度分析可告知您,當所有電腦系統可能都處於網路環境中時,應在安全性和功能之間求取平衡。本指南記載 Windows Vista 中可取得之與安全性相關的主要因應對策、該對策會協助解決的弱點,以及實作每個對策可能產生的相關負面後果 (若有的話)。

本指南的建置基礎是介紹 Windows XP 安全性指南,該指南提供的專屬建議可用來加強執行 Windows XP 含 SP2 的電腦。Windows Vista 安全性指南提供的建議可加強將特定安全性基準用於下列兩種環境的電腦:

  • 企業版用戶端 (EC)。此環境中的用戶端電腦位於使用 Active Directory 的網域中,且只需要與執行 Windows Server 2003 的系統進行通訊。此環境中的用戶端電腦是混合的狀態:有些執行 Windows Vista,但有些執行 Windows XP。如需如何測試及部署 EC 環境的指示,請參閱第 1 章<實作安全性基準>。如需此環境所使用之基準安全性設定的相關資訊,請參閱附錄 A<安全性群組原則設定>。
  • 特定的安全性 - 有限的功能 (SSLF)。此環境因為對安全性的考量很大,所以可接受功能和管理性方面的重大損失。例如,軍事和情報單位電腦會在此種環境類型中操作。此環境中的用戶端電腦只會執行 Windows Vista。如需如何測試及部署 SSLF 環境的指示,請參閱第 5 章<特定的安全性 - 有限的功能>。如需此環境所使用之 SSLF 設定的相關資訊,請參閱附錄 A<安全性群組原則設定>。

    警告 警告

    SSLF 安全性設定並非供大多數的企業組織使用。這些設定的組態是針對安全性比功能性還重要的組織而開發。

本指南的組織可讓您輕鬆存取自己所需的資訊。本指南及其相關工具可協助您:

  • 部署及啟用網路環境中的安全性基準。
  • 針對一般的安全性狀況識別及使用 Windows Vista 安全性功能。
  • 識別任一安全性基準中每個個別設定的目的,並了解它們的重要性。

雖然本指南是針對企業客戶設計,但指南的大部分內容還是適用於任何規模的組織。為了得到這項資料的最大價值,您必須閱讀整份指南。但是,只閱讀本指南的個別部分可能也能達成特定目標。本概觀的「章節摘要」小節會簡短介紹本指南中的資訊。如需與 Windows XP 相關之安全性主題和設定的詳細資訊,請參閱介紹 Windows XP 安全性指南及其附贈指南潛在威脅及因應對策簡介

誰應該閱讀本指南

Windows Vista 安全性指南主要供 IT 一般人員、安全性專家、網路架構和其他 IT 專業人員及顧問使用,這些人員在企業環境中規劃桌上型和筆記型用戶端電腦的應用程式或基礎結構開發以及 Windows Vista 的部署。本指南並非供家庭使用者使用。本指南供從事下列工作角色的個人使用者使用:

  • IT 一般人員。此角色的使用者處理具備 50 至 500 部用戶端電腦之組織中每個層級的安全性。IT 一般人員著重能簡單快速保護他們所管理之電腦的安全。
  • 安全性專家。此角色的使用者著重如何跨組織內的電腦平台提供安全性。安全性專家需要可靠的參考指南,解決組織中每個層級的安全性需求,同時提供驗證過的方法來實作安全性因應對策。安全性專家會識別安全性功能和設定,然後針對如何在高風險環境中以最有效的方式使用這些功能和設定,為客戶提供建議。
  • IT 作業、支援工程師和部署人員。IT 作業的使用者著重整合安全性和控制部署處理序中的變更,而部署人員則著重於快速管理安全性更新。扮演這些角色的人員也會排解與應用程式相關的安全性疑難問題,包括如何安裝、設定及改善軟體的可用性及管理性。他們會監控這些問題類型,以便定義可觀的安全性改良以及它們對重大商務應用程式的最小影響。
  • 網路架構及規劃人員。扮演這些角色的使用者要盡力讓網路架構適合組織內的電腦。
  • 顧問。此角色的使用者在具備 50 至 5,000 部 (含) 以上之用戶端電腦的組織中工作。IT 顧問知悉很多安全性的狀況,這些狀況範圍跨組織內的多個業務層級。來自 Microsoft 服務和合作夥伴的 IT 顧問會利用企業客戶與合作夥伴的知識傳輸工具。
  • 商業分析人員及商業決策人員 (BDM)。這些角色的使用者身負需要 IT 桌上型電腦或筆記型電腦支援的重大商業目標和需求。

注意想要套用本指南中之精準指引的使用者,至少必須閱讀及完成第 1 章<實作安全性基準>中建立 EC 環境的步驟。

技能及完備性

下列是適用本指南之讀者必須具備的知識及技術,這些讀者通常要開發和部署企業組織內執行 Windows Vista 的用戶端電腦並保護其安全:

  • Windows Server 2003 的 MCSE 或具備更新的認證,以及兩年 (含) 以上的安全性相關經驗或同等知識。
  • 深入了解組織的網域及 Active Directory 環境。
  • 具備使用群組原則管理主控台 (GPMC) 的經驗。
  • 具備使用 GPMC 進行群組原則管理的經驗,該工具提供管理所有與群組原則相關之工作的單一解決方案。
  • 曾使用過管理工具,包括 Microsoft Management Console (MMC)、Gpupdate 和 Gpresult。
  • 曾在企業環境中部署過應用程式和用戶端電腦。

指南用途

本指南的主要用途可讓您執行下列作業:

  • 使用解決方案指引,有效地透過群組原則來建立及套用測試過的安全性基準設定。
  • 了解基準設定中安全性設定建議的緣由及其含意,這些設定會包含在指南中。
  • 識別及考量一般的安全性狀況,以及如何使用 Windows Vista 中特定的安全性功能來協助您管理環境中的這些狀況。

本指南的設計可讓您只使用其中的相關部分,便能符合組織的安全性需求。但是,讀者若能讀完整份指南將可獲取最大的好處。

指南範圍

本指南的重點在於如何協助執行 Windows Vista 的桌上型和筆記型電腦建立及維護安全的環境。本指南會說明如何保護兩種不同環境之安全的不同階段,以及每個安全性設定可為部署在任一環境中的桌上型及筆記型電腦解決的問題為何。本指南提供精準的資訊及安全性建議。

EC 環境中的用戶端電腦只能執行 Windows XP 或 Windows Vista。但是,用以管理網路上的這些用戶端電腦的電腦必須執行 Windows Server 2003 R2 或 Windows Server 2003 含 SP1。SSLF 環境中的用戶端電腦只能執行 Windows Vista。

本指南只包含可在它所建議之作業系統中使用的安全性設定。如需 Windows Vista 中所有安全性設定的完整討論,請參閱附贈的指南潛在威脅及因應對策簡介

章節摘要

Windows Vista 安全性指南包含五個章節,以及一個您可以用來參考設定描述、考量及值的附錄。本指南隨附 Windows Vista Security Guide Settings.xls 檔,提供您可以用來比較設定值的另一項資源。下圖顯示本指南結構,可協助您得知如何最佳化實作及部署精準的指引。


概觀

概觀陳述本指南的用途和範圍、定義指南的讀者,以及指出指南的組織以協助您找到與自己相關的資訊。另外還描述了指南隨附的工具和範本,以及指引的使用者必要條件。接著是指南中每一章和附錄的簡短描述。

第 1 章:實作安全性基準

本章識別建立和部署安全性基準對組織的好處。本章包含實作 EC 基準設定和安全性指引的指示和處理序。

為了完成此作業,本章包含的指示會解釋如何使用 GPOAccelerator.wsf 指令碼結合 GPMC,以建立、測試及部署組織單位 (OU) 和 GPO 來建立此環境。本指南隨附 Windows Vista Security Guide Settings.xls 檔,提供您用來比較設定值的另一項資源。

第 2 章:防禦惡意程式

本章提供的建議可協助充份利用 Windows Vista 中新的安全性功能和增強的現有功能,保護用戶端電腦和公司資產免受惡意程式 (包括病毒、蠕蟲和特洛伊木馬病毒) 侵襲。內含如何最有效地在作業系統中使用下列技術的相關資訊:

  • 使用者帳戶控制 (UAC)
  • Windows Defender
  • Windows 防火牆
  • Windows 資訊安全中心
  • 惡意軟體移除工具
  • 軟體限制原則

此外,本章還包含下列 Internet Explorer 7 安全性的相關資訊:

  • Internet Explorer 受保護模式
  • ActiveX Opt-in
  • 跨網域指令碼攻擊保護
  • 安全性狀態列
  • 網路釣魚篩選器
  • 其他安全性功能

第 3 章:保護機密資料

本章提供如何在 Windows Vista 中使用加密和存取控制技術來保護資料的建議及最佳實作資訊。這些技術特別與行動計算環境相關,這類環境中執行 Windows Vista 的裝置遺失或被偷的可能性相對較高。

本章內容包含如何在 Windows Vista 中以最有效的方式使用下列技術的相關資訊:

  • BitLocker™ 磁碟加密
  • 加密檔案系統 (EFS)
  • Rights Management Services (RMS)
  • 裝置控制

第 4 章:應用程式相容性

本章針對在不犠牲目前環境中現有應用程式功能性的情況下,如何使用 Windows Vista 中全新增強的安全性功能和設定,提供相關的建議。本章內容:

  • 概述潛在的應用程式相容性問題。
  • 提供兩個簡單的程序,您可以用它們來測試應用程式與 Windows Vista 的相容性。
  • 包括可能的安全防護策略、設定和指示。
  • 建議您可以用來進一步判斷應用程式與 Windows Vista 之相容性的其他資源。

第 5 章:特定的安全性 - 有限的功能

本章包括 SSLF 環境的解釋,以及該環境與 EC 環境最大的差異。本章提供實作 SSLF 基準設定和安全性指引的指示和處理序。本章包含的指示會解釋如何使用指令碼來運用 GPMC,以建立、測試及部署 OU 和 GPO 來建立此環境。 

警告 警告

本章中的指引可讓您建立 SSLF 環境,這個環境和第 1 章<實作安全性基準>中所述的 EC 環境不同。本章中的指引僅適用於高度安全性的環境,並非第 1 章指引的補充說明。

附錄 A:安全性群組原則設定

本附錄包含描述和表格,詳述指南中所述之 EC 和 SSLF 安全性基準的精確設定。本附錄會描述每項設定,以及該設定或值的原因。還會指出 Windows Vista 和 Windows XP 之間設定值的差異。

指引及工具

此解決方案加速器包括數個檔案,例如 Windows Vista Security Guide.doc、Windows Vista Security Guide.doc 的附錄 A、Windows Vista Security Guide Settings.xls 和 GPOAccelerator 工具,可協助您輕鬆實作指引。從 Microsoft 下載中心下載 Windows Vista 安全性指南 (英文) 解決方案加速器之後,請使用 Microsoft Windows Installer (.msi) 檔案將這些資源安裝在電腦上您所選擇的位置中。

注意當您開始 Windows Vista 安全性指南安裝時,預設會選取 GPOAccelerator 工具,與此工具隨附的其他指引一起安裝。若要使用此工具必須擁有系統管理員權限。解決方案加速器的預設安裝位置是您的 [文件] 資料夾。安裝會放置一個指南的捷徑,用以開啟 [Windows Vista Security Guide] 資料夾。

您可以使用群組原則管理主控台 (GPMC) 為指南中所定義之任一安全性基準套用工具及範本。<實作安全性基準>和<特定的安全性 - 有限的功能>等章節描述了可用來完成這些工具的程序。

樣式慣例

本指南使用下列樣式慣例:

表 1.1 樣式慣例

項目 意義

粗體字型

表示要確實依所示輸入的字元,包括命令、參數和檔案名稱。使用者介面元素也會以粗體顯示。

斜體字型

書名和其他真實的出版品會以斜體顯示。

<斜體>

以斜體放在角括弧中的預留位置組 <檔案名稱> 表示變數。

等寬字型

定義程式碼和指令碼範例。

注意

警示讀者此為補充資訊。

重要事項

重要注意事項提供要完成工作所必須了解的資訊。

警告警告

警示讀者此為不應被忽略的補充資訊。

此符號代表特定的群組原則設定修改或建議。

§

此符號代表 Windows Vista 中新的群組原則設定。

其他資訊

下列連結提供與安全性主題和本指南之概念和安全性指示的深入討論相關的其他資訊:

支援服務與意見指教

解決方案加速器 - Security and Compliance (SASC) 小組將感謝您提供有關此指南與其他解決方案加速器的想法。

請將意見加入 Windows Vista 說明及支援網站上的 Discussions in Security (安全性方面的討論) (英文) 新聞群組。

或將您的意見指教以電子郵件寄至:secwish@microsoft.com

我們期待您的意見。

銘謝

解決方案加速器 - Security and Compliance (SASC) 小組要感謝製造出 Windows Vista 安全性指南的小組。下列是直接負責本解決方案或對本解決方案之撰寫、開發和測試有實質貢獻的人士。

開發小組

作者及專家

José Maldonado

Mike Danseglio

Michael Tan

Richard Harrison, Content Master Ltd

David Coombes, Content Master Ltd

Jim Captainino, Content Master Ltd

Richard Hicks, QinetiQ

測試人員

Gaurav Bora

Vikrant Minhas, Infosys Technologies Ltd

Sumit Parikh, Infosys Technologies Ltd

Dharani Mohanam, Infosys Technologies Ltd

Swapna Jagannathan, Infosys Technologies Ltd

Prashant Japkar, Infosys Technologies Ltd

編輯

John Cobb, Wadeware LLC

Jennifer Kerns, Wadeware LLC

Steve Wacker, Wadeware LLC

專案經理

Kelly Hengesteg

Audrey Centola, Volt Information Sciences

Neil Bufton, Content Master Ltd

產品經理

Jim Stewart

Alain Meeus

Tony Bailey

Kevin Leo, Excell Data Corporation

發行經理

Karina Larson

Gareth Jones

合著者與校閱者

Microsoft

Charles Denny、Ross Carter、

Derick Campbell、Chase Carpenter

Karl Grunwald、Mike Smith-Lonergan

Don Armstrong、Bob Drake

Eric Fitzgerald、Emily Hill

George Roussos、David Abzarian

Darren Canavor、Nils Dussart

Peter Waxman、Russ Humphries

Sarah Wahlert、Tariq Sharif

Ned Pyle、Bomani Siwatu

Kiyoshi Watanabe、Eric Lawrence

David Abzarian、Chas Jeffries

Vijay Bharadwaj、Marc Silbey

Sean Lyndersay、Chris Corio

Matt Clapham、Tom Daemen

Sanjay Pandit、Jeff Williams

Alex Heaton、Mike Chan

Bill Sisk、Jason Joyce

外部人員

Mehul Mediwala, Infosys Technologies Ltd

附註
國家安全局的資訊保險理事會 (Information Assurance Directorate) 應 Microsoft 的要求參與此 Microsoft 安全性指南的檢閱工作,且其所提供的意見已納入發行版本中。
美國商務部 (Department of Commerce) 的國家標準與技術委員會 (National Institute of Standards and Technology,NIST) 參與了此 Microsoft 安全性指南的檢閱工作,且其所提供的意見已納入發行版本中。

下載

取得 Windows Vista 安全性指南 (英文)

解決方案加速器通知

註冊以便收到通知 (英文)

意見與指教

將您的意見或建議寄給我們

顯示: