本單元中,詳細探討了使用「系統管理範本」設定及套用額外的安全性設定到 Windows XP Professional 的過程。系統管理範本 (.adm) 檔是用來設定 Windowx XP 登錄的設定,該些設定掌控許多服務、應用程式和作業系統元件的行為 。
Windows XP SP1 附隨的五個系統管理範本,包括了超過 600 種設定以及針對 Windows XP Professional 的 100 種新設定。Windows Server 2003 系統管理範本中有幾個設定無法用於 Windows XP。如需可用於 Windows XP 的所有系統管理範本設定的詳細清單,請參閱在本單元最後的<其他資訊>一節所提及的「原則設定」Excel 活頁簿。下表包括了 .adm 檔案,並概述它們所影響的應用程式及服務。
[表 1] 系統管理範本檔
檔案名稱
作業系統
說明
System.adm
Windows XP Professional
包含許多自訂使用者作業環境的設定。
Inetres.adm
Windows XP Professional
包含 Internet Explorer 的設定。
Conf.adm
Windows XP Professional
包含設定 NetMeeting 的設定。
Wmplayer.adm
Windows XP Professional
包含設定 Windows Media® Player 的設定。
Wuau.adm
Windows XP Professional
包含設定 Windows Update 的設定。
**注意:**您必須在「群組原則物件 (GPO)」中手動設定系統管理範本設定以便將它們套用到您環境中的電腦及使用者。
系統管理範本中的設定分成兩個主要的群組:
- 電腦組態設定是存放在「HKEY\_Local\_Machine」登錄群組中。
- 使用者設定則存放在「HKEY\_Current\_User」登錄群組中。
正如[<Windows XP 用戶端的安全性設定>](https://technet.microsoft.com/zh-tw/library/b99e97dd-274e-4d2d-a9c2-ffb6a2e35194(v=TechNet.10))單元中包含了針對本指南中所定義之「企業用戶端」及「高安全性」環境的的設定規則。
本單元中第一部份所討論的電腦組態設定適用於本指南中定義的兩種環境。本單元稍後探討的使用者設定也適用於該兩種環境。
**注意:** 使用者設定是經由連結的 GPO 套用到包含使用者的組織單位 (OU)。請參閱[<設定 Active Directory 網域基礎結構>](https://technet.microsoft.com/zh-tw/library/0d6afce4-e48d-4066-8cd3-01b9cd97c2de(v=TechNet.10))單元以取得此 OU 的額外細節。
部份設定在「群組原則物件編輯器」中下的電腦設定及使用者設定均有提供。如果套用設定的使用者所登入的電腦經由群組原則套用有相同電腦組態設定,則電腦組態設定會優先於使用者設定。
Office XP 的其他系統管理範本包含在「*Microsoft Office XP Resource Kit*」中。如果您有額外的設定想要經由群組原則在 Windows XP Professional 中套用,可開發自訂的範本。請參閱本單元最後的<其他資訊>一節中列出的白皮書以取得有關開發您自己的系統管理範本的細節。
本單元並不涵蓋 Microsoft 提供之系統管理範本中所有可能的設定;系統管理範本中所探討的許多設定都是非安全性特定的使用者介面 (UI) 設定。請依本指南中針對您組織的安全性目標方面,適用於您環境所指示的該些設定來做出決定。
[](#mainsection)[回到頁首](#mainsection)
### 電腦組態設定
下節探討了在「群組原則物件編輯器」中的電腦設定下所規定的設定。請在下列位置設定這些設定:
Computer Configuration\\Administrative Templates
請經由一個與包含您環境中的電腦帳戶的 OU 來套用這些設定。在 GPO 中包含膝上型電腦設定與膝上型電腦 OU 相連結,而 GPO 中的桌上型電腦設定則與桌上型電腦 OU 相連結。
[](#mainsection)[回到頁首](#mainsection)
### Windows 元件
並未提供下列 Microsoft Windows 元件的相關指示:應用程式相容性、Windows Installer、以及 Windows Media Player。
[](#mainsection)[回到頁首](#mainsection)
### NetMeeting
NetMeeting 允許使用者在您的組織中跨網路進行虛擬會議。請使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 NetMetting 相關的電腦設定:
Computer Configuration\\Administrative Templates\\Windows Components\\NetMeeting
#### 停用遠端桌面共用
**\[表 2\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
尚未設定
尚未設定
啟用
啟用
\[停用遠端桌面共用\] 設定會停用 NetMeeting 的遠端桌面共用功能。啟用此設定可防止使用者安裝 NetMeeting 或在他們的電腦上從遠端使用它跨網路傳送資訊。將一台可隨時跨網路傳送資訊的電腦控制權授予使用者會帶來安全性風險。
基於此原因,\[停用遠端桌面共用\] 設定在「企業用戶端」環境中設定為 \[尚未設定\]。然而,此設定在「高安全性」環境中是設為 \[啟用\],以防止使用者使用 NetMeeting 從遠端共用桌面。
[](#mainsection)[回到頁首](#mainsection)
### Internet Explorer
Microsoft Internet Explorer 群組原則可協助您強制施行 Windows XP 工作站的安全性需求,並避免經由瀏覽器交換不要的內容。請使用以下準則來保障您環境中的工作站上的 Internet Explorer 安全:
- 確保對網際網路的要求只發生在對使用者動作的直接回應。
- 確保傳到特定網站的資訊只到達該些網站,除非允許進行特定的使用者動作將資訊傳輸到其他目的地。
- 確保已清楚地識別至伺服器/站台的信任通道,以及每個通道上擁有伺服器/站台的對象。
- 確保任何與 Internet Explorer 一起執行的指令碼或程式都在受限的環境中執行。可啟用透過信任通道傳遞的程式以便在受限環境之外操作。
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 Internet Explorer 相關的電腦設定:
Computer Configuration\\Administrative Templates\\Windows Components\\Internet Explorer
**注意:**「安全性區域」的設定無法經由群組原則設定。可使用 Internet Explorer Administration Kit (IEAK) 來設定這些設定。請參考本單元中的<其他資訊>獲取有關取得 IEAK 的細節。
**\[表 3\] Internet Explorer 電腦設定**
UI 中的設定名稱
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
停用自動安裝 Internet Explorer 元件
啟用
啟用
啟用
啟用
停用定期檢查以進行 Internet Explorer 軟體更新
啟用
啟用
啟用
啟用
停用程式啟動時的軟體更新 Shell 通知
啟用
啟用
啟用
啟用
為每台機器建立 Proxy 設定 (而不是每個使用者)
啟用
停用
啟用
停用
安全性區域:不允許使用者新增/移除網站
啟用
啟用
啟用
啟用
安全性區域:不允許使用者變更規則
啟用
啟用
啟用
啟用
安全性區域:僅使用機器設定
啟用
啟用
啟用
啟用
#### 停用自動安裝 Internet Explorer 元件
**\[表 4\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
啟用
啟用
啟用
啟用
此 \[停用自動安裝 Internet Explorer 元件\] 設定可防止 Internet Explorer 自動安裝元件。啟用此設定可防止 Internet Explorer 在使用者瀏覽至需要元件完整運作的網站時下載該元件。
將 \[停用自動安裝 Internet Explorer 元件\] 設定設定為 \[停用\] 或 \[尚未設定\],會致使瀏覽器提示使用者在每次拜訪使用元件的網站時進行下載及安裝。當啟用此設定時,會意圖協助系統管理員控制使用者可在您環境中的用戶端上安裝哪些元件。
基於此原因,建議您將 \[停用自動安裝 Internet Explorer 元件\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。
**注意:**在啟用此設定之前,建議您使用 Software Update Service (SUS) 或類似的服務,設立一套替代策略來更新 Internet Explorer。
#### 停用定期檢查以進行 Internet Explorer 軟體更新
**\[表 5\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
啟用
啟用
啟用
啟用
\[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定可防止 Internet Explorer 太常檢查是否有可用的新瀏覽器更新。啟用此原則可防止 Internet Explorer 決定新瀏覽器更新是否可用,而接著通知使用者。將 \[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定設定為 \[停用\] 或 \[尚未設定\],會致使 Internet Explorer 依預設每 \[30 天\] 就檢查可用的瀏覽器更新,並在有新更新的時候通知使用者。此設定意在協助系統管理員在瀏覽器有可用的新更新或版本時不通知使用者,進而維護 Internet Explorer 的版本控制。
基於此原因,建議您將 \[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。
**注意:**在啟用此原則之前,建議您為組織中的系統管理設立一套替代策略,以確保他們定期在您環境內的用戶端上接受 Internet Explorer 新更新。
#### 停用程式啟動時的軟體更新 Shell 通知
**\[表 6\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
啟用
啟用
啟用
啟用
\[停用程式啟動時的軟體更新 Shell 通知\] 設定會指定使用 Microsoft Software Distribution Channel 的程式在安裝新元件時,將不通知使用者。Software Distribution Channel 是根據 Open Software Distribution (.osd) 技術在使用者電腦上動態更新軟體的一套方法。
啟用此原則可防止使用者在使用 Software Distribution Channel 更新其程式時收到通知。將 \[停用程式啟動時的軟體更新 Shell 通知\] 設定設定為 \[停用\] 或 \[尚未設定\] 允許將程式更新通知傳給使用者。啟用此設定也可讓系統管理員使用 Software Distribution Channel 來更新您環境中工作站上的程式,而無須使用者介入。
基於這些理由,建議您將 \[停用程式啟動時的軟體更新 Shell 通知\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。
#### 為每台機器建立 Proxy 設定 (而不是每個使用者)
**\[表 7\] 設定**
啟用 \[設定用戶端連線加密等級\] 設定會指示終端機服務針對在終端機服務工作階段期間在用戶端和伺服器之間傳送的所有資料,強制指定的加密等級。此設定的選項有:
- **用戶端相容**
- **高等級**
- **低等級**
\[用戶端相容\] 等級會以用戶端所支援的最大金鑰強度,來加密在用戶端及伺服器之間傳送的資料。當終端機伺服器在包含混合或傳統用戶端的環境中執行時,請使用此等級。
此設定的 \[高等級\] 選項會使用增強式 128 位元加密,來加密在用戶端和伺服器之間傳輸的資料。當終端機伺服器在只包含 128 位元用戶端 (例如 Windows XP Professional 用戶端) 的環境中執行時,請使用此等級。不支援此加密等級的用戶端將無法連線。
此設定的 \[低等級\] 選項會使用 56 位元加密,來加密在用戶端和伺服器之間傳送的資料。從伺服器傳至用戶端的資料在設定有 \[低等級\] 選項時,不會加密。
當此設定設定為 \[啟用\] 時,加密等級設定會套用至所有的伺服器連線。加密等級依預設會設為 \[用戶端相容\]。針對本指南中定義的兩種環境,建議您將加密等級增強到 \[高等級\] 以強制施行 128 位元加密。
[](#mainsection)[回到頁首](#mainsection)
### Windows Messenger
Windows Messenger 是用來傳送立即訊息給電腦網路上的其他使用者。訊息可包括檔案及其他附件。
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 Windows Messenger 相關的電腦設定:
Computer Configuration\\Administrative Templates\\Windows Components\\Windows Messenger
**\[表 19\] Windows Messenger 電腦設定**
UI 中的設定名稱
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
不允許執行 Windows Messenger
尚未設定
尚未設定
啟用
啟用
#### 不允許執行 Windows Messenger
**\[表 20\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
尚未設定
尚未設定
啟用
啟用
\[不允許執行 Windows Messenger\] 設定可讓您停用 Windows Messenger。將此設定設定為 \[啟用\] 可防止 Windows Messenger 執行。
基於此原因,本指南建議將 \[不允許執行 Windows Messenger\] 設定在「高安全性」環境中設定為 \[啟用\]。不過,建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。
**注意:**將此設定設定為 \[啟用\] 可防止 \[遠端協助\] 使用 Windows Messenger,及防止使用者使用 MSN® Messenger。
[](#mainsection)[回到頁首](#mainsection)
### Windows Update
系統管理員使用 Windows Update 設定來管理如何將修補程式及 Hotfix 套用在 Windows XP 工作站上。更新可從 Microsoft Windows Update 網站取得。或者,您可以設立內部網路網站以類似的方式,但具有額外的系統管理控制權來散佈修補程式及 Hotfix。Windows Update Administrative Template (WUAU.adm) 是 Windows XP SP1 中的新功能。
SUS 是「策略性技術保護計畫 (STPP)」的元件,該計劃是建構在 Microsoft Windows Update 技術的成功之上,供所有使用者從 Windows Update 網站使用。SUS 會管理並散佈重要的 Windows 修補程式,解決已知的安全性漏洞以及其他 Microsoft Windows 作業系統的穩定性問題。
截至最近,系統管理員都還需要定期檢查 Windows Update 網站或 Microsoft 安全性網站是否有新修補程式。然後他們還需要手動下載並在他們的環境中進行測試,接著手動散佈修補程式或使用傳統的軟體散佈工具來進行實作。
SUS 以可透過您內部網路取得的 Windows 用戶端重大更新動態通知系統,免除了這些手動的步驟。用戶端不需要網際網路存取即可使用此服務。此項技術另外還提供一套簡單且自動的解決方案,用於將更新散佈到您的 Windows 工作站及伺服器。
Software Update Services 還提供下列功能:
- **系統管理員在您的內部網路當中對內容同步的控制權**
此項同步服務是一種伺服器端的元件,可從 Windows Update 擷取最新的重大更新。當有新更新加入 Windows Update 時,執行 SUS 的伺服器便會根據系統管理員定義的排程自動下載並加以儲存。
- **內部網路主控的 Windows Update 伺服器**
這個容易使用的伺服器扮演著用戶端電腦的虛擬 Windows Update 伺服器角色。它包含同步服務及系統管理工具,用以管理各項更新。它使用「超文字傳輸通訊協定 (HTTP)」服務著與其相連的用戶端電腦所核准的更新要求。此伺服器還可以主控從同步服務下載的重大更新,並將用戶端電腦參照到該些更新。
- **系統管理員掌控更新**
系統管理員可在部署到公司內部網路之前,先測試及核准公開 Windows Update 網站的更新。部署是依系統管理員所建立的排成而進行。如果有多台伺服器執行 SUS,系統管理員可控制由哪些電腦存取執行該服務的特定伺服器。系統管理員在 Microsoft Active Directory® 目錄服務環境中可透過群組原則,或透過登錄機碼而具備此控制等級。
- **電腦上的自動更新 (工作站或伺服器)**
「自動更新」是一項 Windows 功能,可設定為自動檢查公佈在 Windows Update 上的更新。SUS 利用此項 Windows 功能將系統管理員核准的更新公佈在內部網路上。
**注意:** 如果您選擇經由其他通道 (例如 Microsoft Systems Management Server (SMS)) 來散佈修補程式,本指南建議停用 \[設定自動更新\] 設定。
\[表 21\] 簡述了可用的 Windows Update 設定。前三個設定是讓 Windows Update 運作的最低要求。本節中的第四個設定是選擇性的,視您的組織需求而定。
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 Windows Update 相關的電腦設定:
Computer Configuration\\Administrative Templates\\Windows Components\\Windows Update
在本節所討論的設定並不能單獨地解決特定的安全性風險。它們跟系統管理員的喜好設定比較有關聯。不過,設定 Windows Update 對維護您環境的安全性來說是不可或缺的,因為它可確保您環境中的用戶端在有安全性修補程式可用時,即可馬上從 Microsoft 收到該些修補程式。
**\[表 21\] Windows Update 電腦安全性設定**
\[不要處理舊版的執行清單\] 設定會使執行清單 (即 Windows XP 在啟動時自動執行的程式清單) 遭到忽略。
**注意:** 若要建立自訂的執行清單,請經由群組原則來使用 \[啟動時執行這些應用程式\] 設定。
Windows XP 自訂的執行清單存在登錄中的下列位置:
- **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run**
- **HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run**
啟用 \[不要處理舊版的執行清單\] 設定會防止惡意使用者在 Windows XP 每次啟動時,執行可能危害電腦上的資料或導致其他傷害的程式。啟用此設定也可防止特定系統程式的執行,例如防毒軟體,以及軟體的散佈和監視軟體。為了確保企業系統軟體在啟動期間仍可執行,請經由群組原則將 \[啟動時執行這些應用程式\] 設定設定為 \[啟用\]。請評估您環境的威脅等級,此設定的設計主在預防在決定出策略之前在組織中使用此設定。
基於這些理由,\[不要處理舊版的執行清單\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\],而在「高安全性」環境中則設定為 \[啟用\]。
#### 不要處理只執行一次的清單
**\[表 47\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
尚未設定
尚未設定
啟用
啟用
\[不要處理只執行一次的清單\] 設定會使只執行一次清單 (即 Windows XP 在啟動時自動執行的程式清單) 遭到忽略。此設定與 \[不要處理舊版的執行清單\] 的不同之處在於,在此清單上的程式只會在下次用戶端重新開機時執行一次。有時候會將安裝程式加入此清單,以便在用戶端重新開機之後完成安裝過程。
啟用此設定也可防止攻擊者使用只執行一次清單來啟動劣等的應用程式,這是常見的攻擊方法。惡意使用者可利用只執行一次清單來安裝一個可能會危害 Windows XP 用戶端安全性的程式。
**注意:** 自訂的只執行一次清單存在登錄的下列位置:**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce**。
啟用 \[不要處理只執行一次的清單\] 設定應該只會對您環境中的使用者造成極小的功能損失,尤其是在經由群組原則套用此設定之前,已使用您組織所有的標準軟體設定用戶端的話。
基於這些理由,\[不要處理只執行一次的清單\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\],而在「高安全性」環境中則設定為 \[啟用\]。
[](#mainsection)[回到頁首](#mainsection)
### 系統\\群組原則
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列群組原則相關的電腦設定:
Computer Configuration\\Administrative Templates\\System\\Group Policy
**\[表 48\] 系統\\群組原則電腦安全性設定**
UI 中的設定名稱
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
Internet Explorer 維護原則處理
啟用
啟用
啟用
啟用
登錄原則處理
啟用
啟用
啟用
啟用
#### Internet Explorer 維護原則處理
**\[表 49\] 設定**
企業用戶端桌上型電腦
企業用戶端膝上型電腦
高安全性桌上型電腦
高安全性膝上型電腦
啟用
啟用
啟用
啟用
\[Internet Explorer 維護原則處理\] 設定決定更新 Internet Explorer 維護原則的時機。此設定會影響所有使用群組原則之 Internet Explorer 維護元件的原則,例如位於 Windows Settings\\Internet Explorer Maintenance 下的該些原則。
此設定會覆寫 Internet Explorer 維護原則在安裝之時設定的自訂設定。停用或不設定此設定對系統不會有任何影響。啟用此設定提供您下列選項:
- **允許低速連線之間的處理**。
此選項會更新原則,即使更新是經由低速網路連線,例如電話線來傳輸。低速連線之間的更新可能會造成大量的延遲。
- **在定期的幕後處理期間不要套用**。
此選項可防止系統當電腦在使用中時,於幕後更新受影響的原則。幕後更新可能會干擾使用者,而導致程式中止或異常操作,並在特別的情況下破壞資料。
- **即使群組原則物件尚未變更也進行處理**。
此選項會更新及重新套用設定組態,即使它們未經過變更。許多設定規則都會指定只有當規則變更時才進行更新。然而,您可能偶爾會想要更新未變更的設定,或將設定等級重新套用到使用者已經變更的等級。
啟用此設定允許其他設定變更適時的套用到您的工作站。這在當您發現有安全性漏洞需要馬上處理的情況下尤其有用。
基於這些原因,\[Internet Explorer 維護原則處理\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
在啟用此設定之後,請清除 \[允許低速連線之間的處理\] 核取方塊,並接著選取以下選項:
- **在定期的幕後處理期間不要套用。**
- **即使群組原則物件尚未變更也進行處理。**
#### 登錄原則處理
**\[表 50\] 設定**
\[報告錯誤\] 設定會控制是否要報告錯誤。啟用 \[報告錯誤\] 設定會讓使用者選擇是否要在錯誤發生的時候報告。錯誤可經由網際網路或本機企業檔案共用報告給 Microsoft。啟用此設定另外還提供下列選項:
- **不顯示 Microsoft 提供的 \[其他資訊\] 網站連結**
選取此選項可確保不會顯示有關錯誤訊息其他資訊的 Microsoft 網站連結。
- **不收集其他檔案**
選取此選項可確保錯誤報告中不回收集並涵蓋其他檔案。
- **不收集其他機器資料**
選取此選項可確保錯誤報告中不會包含關於發生錯誤的電腦之其他資訊。
- **應用程式錯誤強制佇列模式**
選取此選項可防止使用者擁有傳送錯誤報告的選項。相反地,錯誤會安置在佇列目錄中,而由下一個登入到機器上的系統管理員來決定是否要報告該錯誤。
- **公司上載檔案路徑**
選取此選項會指定上載錯誤報告之檔案共用的「通用命名慣例 (UNC)」路徑,並確保「企業錯誤報告」工具已啟用。
- **用下列文字取代 "Microsoft"**
選取此選項可讓您以公司名稱來自訂錯誤報告對話方塊。
停用 \[報告錯誤\] 設定會阻止使用者報告錯誤。如果 \[顯示錯誤通知\] 已啟用,則使用者將會收到錯誤通知,但無法報告。
\[報告錯誤\] 設定可讓您針對組織自訂錯誤報告策略,並收集報告以供本機分析。基於這些理由,此設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
還有,Microsoft 建議在「高安全性」環境中選擇下列設定選項:
- **不收集其他檔案**
- **不收集其他機器資料**
- **應用程式錯誤強制佇列模式**
另外也選擇 \[公司上載檔案路徑\] 的選項,並將您安裝 \[公司錯誤報告\] 的伺服器路徑涵蓋進來。請根據您組織的需要來決定要使用哪些設定選項。
[](#mainsection)[回到頁首](#mainsection)
### 使用者設定
本單元剩下的章節將探討在「群組原則物件編輯器」中的使用者設定下所規定的設定。使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列使用者設定相關的電腦設定:
User Configuration\\Administrative Templates
請經由連結至包含使用者帳戶之 OU 的 GPO 來套用這些設定。
**注意:** 使用者設定會套用至任何有使用者登入到 Active Directory 網域的用戶端,而電腦組態設定則會套用至所有在 Active Directory 中由 GPO 管理的用戶端,不管是哪個使用者登入到用戶端。基於此原因,本節的表格只包含針對本指南中定義的「企業用戶端」和「高安全性」環境所建議的設定。這些設定沒有膝上型或桌上型電腦的區別。
[](#mainsection)[回到頁首](#mainsection)
### Internet Explorer
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 Internet Explorer 相關的使用者設定:
User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer
**\[表 57\] Internet Explorer 使用者設定**
UI 中的設定名稱
企業用戶端
高安全性
瀏覽器功能表\停用「將程式存到磁碟」選項
啟用
啟用
網際網路控制台\停用進階畫面
啟用
啟用
網際網路控制台\停用安全性畫面
啟用
啟用
離線網頁\停用新增頻道
啟用
啟用
離線網頁\停用新增離線網頁排程
啟用
啟用
離線網頁:\停用所有排定的離線網頁
啟用
啟用
離線網頁\完全停用頻道使用者介面
啟用
啟用
離線網頁\停用下載網站訂閱內容
啟用
啟用
離線網頁\停用編輯與建立排程群組
啟用
啟用
離線網頁\停用編輯離線網頁排程
啟用
啟用
離線網頁\停用離線網頁記錄
啟用
啟用
離線網頁\停用移除頻道
啟用
啟用
離線網頁\停用移除離線網頁排程
啟用
啟用
設定 Outlook Express
啟用
啟用
停用變更進階畫面設定
啟用
啟用
停用變更自動組態設定
啟用
啟用
停用變更憑證設定
啟用
啟用
停用變更連線設定
啟用
啟用
停用變更 Proxy 設定
啟用
啟用
停用網際網路連線精靈
啟用
啟用
不允許自動完成儲存密碼
啟用
啟用
#### 瀏覽器功能表\\停用「將程式存到磁碟」選項
**\[表 58\] 設定**
企業用戶端
高安全性
啟用
啟用
\[瀏覽器功能表\\停用「將程式存到磁碟」選項\] 設定可防止使用者儲存 Internet Explorer 下載至硬碟的程式或檔案。啟用此設定會封鎖使用者在嘗試下載程式時,使用 \[將程式存到磁碟\] 命令將程式儲存到磁碟。程式檔案將不會下載,而且會通知使用者該命令無法使用。此設定可防止使用者下載可能有害的內容並將之存到磁碟。
基於這些原因,\[瀏覽器功能表\\停用「將程式存到磁碟」選項\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 網際網路控制台\\停用進階畫面
**\[表 59\] 設定**
企業用戶端
高安全性
啟用
啟用
\[網際網路控制台\\停用進階畫面\] 設定是與其他設定搭配使用,以防止使用者變更經由群組原則所設定的設定。啟用此設定會將 \[進階\] 索引標籤從 Internet Explorer 的 UI 移除。
基於這些原因,\[網際網路控制台\\停用進階畫面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 網際網路控制台\\停用安全性畫面
**\[表 60\] 設定**
企業用戶端
高安全性
啟用
啟用
\[網際網路控制台\\停用安全性畫面\] 設定是與其他設定搭配使用,以防止使用者變更經由群組原則設定的設定。此設定會將 \[安全性\] 索引標籤從 \[網際網路選項\] 對話方塊移除。啟用此原則可防止使用者檢視和變更安全性區域的設定,例如指令碼、下載,以及使用者驗證。Microsoft 建議啟用此設定以防止使用者變更設定,而削弱 Internet Explorer 中的其他安全性設定。
基於這些原因,\[網際網路控制台\\停用安全性畫面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用新增頻道
**\[表 61\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用新增頻道\] 設定可防止使用者新增頻道到 Internet Explorer。頻道是一些根據頻道提供者所指定的排程,在執行 Internet Explorer 的工作站上自動更新的網站。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用新增頻道\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用新增離線網頁排程
**\[表 62\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用新增離線網頁排程\] 設定可防止使用者指定可下載以進行離線檢視的網頁。當使用者讓網頁能離線檢視時,他們可以在電腦未連接到網際網路的情況下檢視當中的內容。
啟用此原則可防止使用者新增下載離線內容的排程,並讓 \[加入我的最愛\] 對話方塊中的 \[設定成可離線瀏覽\] 核取方塊呈現灰色。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用新增離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用所有排定的離線網頁
**\[表 63\] 設定**
\[離線網頁\\完全停用頻道使用者介面\] 設定可防止使用者檢視「頻道列」介面。頻道是一些根據頻道提供者所指定的排程,在電腦上自動更新的網站。
啟用此設定可防止使用者存取「頻道列」介面,及選取 \[顯示內容\] 對話方塊中 \[網頁\] 索引標籤上的 \[Internet Explorer 頻道列\] 核取方塊。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\完全停用頻道使用者介面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用下載網站訂閱內容
**\[表 65\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用下載網站訂閱內容\] 設定可防止使用者從網站下載訂閱內容。啟用此設定雖可防止此動作,但是在使用者返回先前存取的網頁時,仍會進行網頁內容的同步處理,以確定是否有任何內容經過更新。
這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用下載網站訂閱內容\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用編輯與建立排程群組
**\[表 66\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用編輯與建立排程群組\] 設定可防止使用者新增、編輯或移除離線檢視使用者訂閱之網頁的排程。訂閱群組是我的最愛網頁加上與之連結的各個網頁。啟用此原則會使網頁的 \[內容\] 對話方塊中的 \[排程\] 索引標籤上的 \[新增\]、\[移除\] 和 \[編輯\] 按鈕變成灰色。
若要顯示此索引標籤,使用者可在 Internet Explorer 的主功能表上,按一下 \[工具\] 功能表、\[同步處理\],選擇一個網頁,按一下 \[內容\] 按鈕,再按 \[排程\] 索引標籤。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用編輯與建立排程群組\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用編輯離線網頁排程
**\[表 67\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用編輯離線網頁排程\] 設定可防止使用者編輯對下載網頁以進行離線檢視的現有排程。啟用此原則可防止使用者顯示已設定為離線檢視之網頁的排程內容。
當使用者在 Internet Explorer 的主功能表上,按一下 \[工具\] 功能表、\[同步處理\],選擇一個網頁,按一下 \[內容\] 按鈕時,並不會顯示任何內容。使用者不會收到警告指出該命令無法使用。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用編輯離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用離線網頁記錄
**\[表 68\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用離線網頁記錄\] 設定可防止頻道提供者記錄由離線工作的使用者檢視其頻道網頁的頻率。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用離線網頁記錄\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用移除頻道
**\[表 69\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用移除頻道\] 設定可防止使用者停用 Internet Explorer 中的頻道同步處理。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用移除頻道\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 離線網頁\\停用移除離線網頁排程
**\[表 70\] 設定**
企業用戶端
高安全性
啟用
啟用
\[離線網頁\\停用移除離線網頁排程\] 設定可防止使用者清除網頁預先設定的設定,以進行下載供離線檢視。啟用此設定會保護預先設定的網頁設定,並且是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時,只允許一台電腦從網際網路下載網頁。
基於這些原因,\[離線網頁\\停用移除離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
#### 設定 Outlook Express
**\[表 71\] 設定**
企業用戶端
高安全性
啟用
啟用
\[設定 Outlook Express\] 設定允許系統管理員啟用及停用 Microsoft Outlook Express 使用者儲存或開啟可能含有病毒之附件的能力。選取此設定的封鎖附件選項可防止使用者開啟或儲存可能包含病毒的電子郵件附件。使用者無法停用 \[設定 Outlook Express\] 設定來停止封鎖附件。若要強制使用此設定,按一下 \[啟用\],並選取 \[封鎖可能包含病毒的附件\]。
基於這些原因,\[設定 Outlook Express\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\] 加上 \[封鎖可能包含病毒的附件\]。
#### 停用變更進階畫面設定
**\[表 72\] 設定**
\[不允許自動完成儲存密碼\] 設定會停用在網頁上的表單內使用者名稱及密碼的自動完成功能,並防止提示使用者儲存密碼。啟用此設定會使 \[表單上的使用者名稱和密碼\] 和 \[提示我儲存密碼\] 的核取方塊變成灰色,並防止使用者將密碼存在本機上。若要顯示這些核取方塊,使用者可以開啟 \[網際網路選項\] 對話方塊,按一下 \[內容\] 索引標籤,再按 \[自動完成\] 按鈕。
基於這些原因,\[不允許自動完成儲存密碼\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。
[](#mainsection)[回到頁首](#mainsection)
### Windows 檔案總管
Windows 檔案總管是用來瀏覽執行 Windows XP Professional 的用戶端上的檔案系統。
使用「群組原則物件編輯器」在系統管理範本的以下位置,設定與下列 Windows 檔案總管相關的使用者設定:
User Configuration\\Administrative Templates\\Windows Components\\Windows Explorer
**\[表 79\] Windows 檔案總管使用者設定**
UI 中的設定名稱
企業用戶端
高安全性
移除 CD 燒錄功能
尚未設定
啟用
移除 [安全性] 索引標籤
尚未設定
啟用
#### 移除 CD 燒錄功能
**\[表 80\] 設定**
企業用戶端
高安全性
尚未設定
啟用
\[移除 CD 燒錄功能\] 設定會移除 Windows XP 中用於 Windows 檔案總管的內建 CD 燒錄功能。Windows XP 允許您在有讀/寫 CD 磁碟機連線到電腦的情況下,建立及修改可重複寫入的 CD。此功能可用來將硬碟上大量的資料複製到 CD。該 CD 接著可從電腦移除。
基於這些理由,\[移除 CD 燒錄功能\] 設定在本指南中定義的「企業用戶端」環境乃設定為 \[尚未設定\]。不過,此設定在「高安全性」環境中會設定為 \[啟用\]。
**注意:** 此設定並不會阻止協力廠商應用程式使用光碟燒錄機建立或修改 CD。本指南建議使用軟體限制原則來封鎖協力廠商應用程式建立或修改 CD。詳細資訊,請參閱單元< Windows XP 用戶端的軟體限制原則>單元。
另外一種防止使用者燒錄 CD 的方法,就是將光碟燒錄機從您環境中的用戶端移除,並將之取代為唯讀的 CD 磁碟機,或全部一起移除。
#### 移除 \[安全性\] 索引標籤
**\[表 81\] 設定**
\[中止休眠/暫停狀態並恢復執行時必須輸入密碼\] 設定會控制您環境中的用戶端是否會在它們從休眠或暫停狀態恢復的時候鎖定。啟用此設定會在用戶端從休眠或暫停狀態恢復操作時加以鎖定。使用者必須輸入他們的密碼來解除鎖定用戶端。停用或不設定此設定會產生嚴重的安全性破壞,因為用戶端可能會在恢復操作後被任何人存取。
基於此原因,建議您將 \[中止休眠/暫停狀態並恢復執行時必須輸入密碼\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。
[](#mainsection)[回到頁首](#mainsection)
### 總結
本單元涵蓋了附隨在 Windows XP 和 Microsoft Office XP Resource Kit 的系統管理範本中許多相當重要的安全性設定,讓您用來保障您組織內執行 Windows XP 的桌上型和膝上型電腦的安全。當為您的組織考量安全性原則時,謹記安全性和使用者產能之間的折衷辦法是很重要的。最終的目標是要透過安全性的電腦經驗來保護您的使用者對抗惡意程式和病毒,讓他們能夠完全地執行他們的工作,不致因過度限制的安全性設定而百受挫折。
[](#mainsection)[回到頁首](#mainsection)
### 其他資訊
下列資訊來源是本指南發行當時,與 Windows XP 用戶端的系統管理範本密切相關的最新主題。
如需 Windows XP 和 Windows Server 2003 中提供的所有系統管理員範本群組原則設定的完整清單,請下載「原則設定」活頁簿:
[https://microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en](https://microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en)。
有關 Microsoft Office XP 系統管理員範本的詳細資訊,請參閱:
[https://www.microsoft.com/office/ork/xp/two/admb03.htm\#admb03\_2](https://www.microsoft.com/office/ork/xp/two/admb03.htm)。
有關建立您自己的系統管理範本的資訊,請參閱白皮書《Implementing Registry-Based Group Policy (英文)》: