Windows XP 的系統管理範本

Overview

發佈日期: 2003 年 5 月 22 日|更新日期: 2006 年 4 月 13 日

本頁內容

本單元內容
目標
適用於
如何使用本單元
系統管理範本
電腦組態設定
Windows 元件
NetMeeting
Internet Explorer
工作排程器
終端機服務\用戶端或伺服器資料重新導向
終端機服務\加密及安全性
Windows Messenger
Windows Update
Microsoft Office XP
Microsoft Office XP\安全性設定
系統
系統\登入
系統\群組原則
系統\遠端協助
系統\錯誤報告
使用者設定
Internet Explorer
Windows 檔案總管
系統
系統\電源管理
總結
其他資訊

本單元內容

本單元將詳細探討使用「系統管理範本」設定及套用額外的安全性設定到 Microsoft® Windows® XP Professional 的過程。系統管理範本 (.adm) 檔是用來設定 Windowx XP 登錄的設定，該些設定掌控許多服務、應用程式和作業系統元件的行為 。

回到頁首

目標

透過此單元即可：

• 取得 Windows XP Professional 的新系統管理範本，並將之作為群組原則實作的一部份進行部署

• 使用電腦組態設定來限制 Microsoft NetMeeting® 的使用

• 使用電腦組態及使用者組態設定來控制 Internet Explorer 的行為

• 使用電腦組態設定來控制工作排程器中的工作建立及刪除

• 使用電腦組態設定來設定對終端服務的存取

• 使用電腦組態設定來防止 Windows Messenger 執行

• 使用電腦組態設定來設定 Windows Update

• 使用電腦組態設定來保障 Microsoft Office XP 的安全

• 使用電腦組態設定來控制群組原則的處理

• 使用電腦組態設定來設定遠端協助

• 使用電腦組態設定來設定錯誤報告

• 利用使用者組態設定來設定 Windows 檔案總管

• 利用使用者組態設定來防止存取登錄編輯工具

• 利用使用者組態設定來控制從休眠或待命恢復時的行為

回到頁首

適用於

本單元適用於下列產品及技術：

• 在 Windows Server™ 2003 網域中的 Windows XP Professional Service Pack (SP) 1 用戶端

回到頁首

如何使用本單元

本單元詳細探討了有關與 Windows XP SP1 隨附的五個「系統管理範本」中該些與安全性相關的設定。

若要充分瞭解此單元：

• 請閱讀＜介紹 Windows XP 安全性指南＞單元。當中定義了本單元中所參考的「企業用戶端」環境以及「高安全性」環境。

• 請閱讀請閱讀＜設定 Active Directory 網域基礎結構＞單元。當中說明了如何管理系統管理範本。

• 請閱讀＜Windows XP 用戶端的軟體限制原則＞單元。這將讓您對如何使用「軟體限制原則」有所認識。

• 使用檢查清單。＜檢查清單 - Windows 的系統管理範本＞提供一個可供列印的功能，以供快速參考。利用該工作檢查清單，即可迅速評估必要步驟的範圍，以及幫助您逐步完成各個步驟。

• 使用本指南提供的＜Windows XP 安全性指南設定＞試算表。這將協助您記錄在您環境中所進行的設定。

• 使用與本指南一併提供的「系統管理範本」。這些範本讓您一個動作就能夠套用本單元所討論的全部設定。同時提供有適用桌上型和膝上型電腦的「企業」和「高安全性」Windows XP Professional 用戶端的系統管理範本。

回到頁首

系統管理範本

本單元中，詳細探討了使用「系統管理範本」設定及套用額外的安全性設定到 Windows XP Professional 的過程。系統管理範本 (.adm) 檔是用來設定 Windowx XP 登錄的設定，該些設定掌控許多服務、應用程式和作業系統元件的行為 。

Windows XP SP1 附隨的五個系統管理範本，包括了超過 600 種設定以及針對 Windows XP Professional 的 100 種新設定。Windows Server 2003 系統管理範本中有幾個設定無法用於 Windows XP。如需可用於 Windows XP 的所有系統管理範本設定的詳細清單，請參閱在本單元最後的＜其他資訊＞一節所提及的「原則設定」Excel 活頁簿。下表包括了 .adm 檔案，並概述它們所影響的應用程式及服務。

[表 1] 系統管理範本檔

檔案名稱	作業系統	說明
System.adm	Windows XP Professional	包含許多自訂使用者作業環境的設定。
Inetres.adm	Windows XP Professional	包含 Internet Explorer 的設定。
Conf.adm	Windows XP Professional	包含設定 NetMeeting 的設定。
Wmplayer.adm	Windows XP Professional	包含設定 Windows Media® Player 的設定。
Wuau.adm	Windows XP Professional	包含設定 Windows Update 的設定。

**注意：**您必須在「群組原則物件 (GPO)」中手動設定系統管理範本設定以便將它們套用到您環境中的電腦及使用者。 系統管理範本中的設定分成兩個主要的群組： - 電腦組態設定是存放在「HKEY\_Local\_Machine」登錄群組中。 - 使用者設定則存放在「HKEY\_Current\_User」登錄群組中。 正如[＜Windows XP 用戶端的安全性設定＞](https://technet.microsoft.com/zh-tw/library/b99e97dd-274e-4d2d-a9c2-ffb6a2e35194(v=TechNet.10))單元中包含了針對本指南中所定義之「企業用戶端」及「高安全性」環境的的設定規則。 本單元中第一部份所討論的電腦組態設定適用於本指南中定義的兩種環境。本單元稍後探討的使用者設定也適用於該兩種環境。 **注意：** 使用者設定是經由連結的 GPO 套用到包含使用者的組織單位 (OU)。請參閱[＜設定 Active Directory 網域基礎結構＞](https://technet.microsoft.com/zh-tw/library/0d6afce4-e48d-4066-8cd3-01b9cd97c2de(v=TechNet.10))單元以取得此 OU 的額外細節。 部份設定在「群組原則物件編輯器」中下的電腦設定及使用者設定均有提供。如果套用設定的使用者所登入的電腦經由群組原則套用有相同電腦組態設定，則電腦組態設定會優先於使用者設定。 Office XP 的其他系統管理範本包含在「*Microsoft Office XP Resource Kit*」中。如果您有額外的設定想要經由群組原則在 Windows XP Professional 中套用，可開發自訂的範本。請參閱本單元最後的＜其他資訊＞一節中列出的白皮書以取得有關開發您自己的系統管理範本的細節。 本單元並不涵蓋 Microsoft 提供之系統管理範本中所有可能的設定；系統管理範本中所探討的許多設定都是非安全性特定的使用者介面 (UI) 設定。請依本指南中針對您組織的安全性目標方面，適用於您環境所指示的該些設定來做出決定。 [](#mainsection)[回到頁首](#mainsection) ### 電腦組態設定 下節探討了在「群組原則物件編輯器」中的電腦設定下所規定的設定。請在下列位置設定這些設定： Computer Configuration\\Administrative Templates 請經由一個與包含您環境中的電腦帳戶的 OU 來套用這些設定。在 GPO 中包含膝上型電腦設定與膝上型電腦 OU 相連結，而 GPO 中的桌上型電腦設定則與桌上型電腦 OU 相連結。 [](#mainsection)[回到頁首](#mainsection) ### Windows 元件 並未提供下列 Microsoft Windows 元件的相關指示：應用程式相容性、Windows Installer、以及 Windows Media Player。 [](#mainsection)[回到頁首](#mainsection) ### NetMeeting NetMeeting 允許使用者在您的組織中跨網路進行虛擬會議。請使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 NetMetting 相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\NetMeeting #### 停用遠端桌面共用 **\[表 2\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[停用遠端桌面共用\] 設定會停用 NetMeeting 的遠端桌面共用功能。啟用此設定可防止使用者安裝 NetMeeting 或在他們的電腦上從遠端使用它跨網路傳送資訊。將一台可隨時跨網路傳送資訊的電腦控制權授予使用者會帶來安全性風險。 基於此原因，\[停用遠端桌面共用\] 設定在「企業用戶端」環境中設定為 \[尚未設定\]。然而，此設定在「高安全性」環境中是設為 \[啟用\]，以防止使用者使用 NetMeeting 從遠端共用桌面。 [](#mainsection)[回到頁首](#mainsection) ### Internet Explorer Microsoft Internet Explorer 群組原則可協助您強制施行 Windows XP 工作站的安全性需求，並避免經由瀏覽器交換不要的內容。請使用以下準則來保障您環境中的工作站上的 Internet Explorer 安全： - 確保對網際網路的要求只發生在對使用者動作的直接回應。 - 確保傳到特定網站的資訊只到達該些網站，除非允許進行特定的使用者動作將資訊傳輸到其他目的地。 - 確保已清楚地識別至伺服器/站台的信任通道，以及每個通道上擁有伺服器/站台的對象。 - 確保任何與 Internet Explorer 一起執行的指令碼或程式都在受限的環境中執行。可啟用透過信任通道傳遞的程式以便在受限環境之外操作。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 Internet Explorer 相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Internet Explorer **注意：**「安全性區域」的設定無法經由群組原則設定。可使用 Internet Explorer Administration Kit (IEAK) 來設定這些設定。請參考本單元中的＜其他資訊＞獲取有關取得 IEAK 的細節。 **\[表 3\] Internet Explorer 電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用自動安裝 Internet Explorer 元件	啟用	啟用	啟用	啟用
停用定期檢查以進行 Internet Explorer 軟體更新	啟用	啟用	啟用	啟用
停用程式啟動時的軟體更新 Shell 通知	啟用	啟用	啟用	啟用
為每台機器建立 Proxy 設定 (而不是每個使用者)	啟用	停用	啟用	停用
安全性區域：不允許使用者新增/移除網站	啟用	啟用	啟用	啟用
安全性區域：不允許使用者變更規則	啟用	啟用	啟用	啟用
安全性區域：僅使用機器設定	啟用	啟用	啟用	啟用

#### 停用自動安裝 Internet Explorer 元件 **\[表 4\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

此 \[停用自動安裝 Internet Explorer 元件\] 設定可防止 Internet Explorer 自動安裝元件。啟用此設定可防止 Internet Explorer 在使用者瀏覽至需要元件完整運作的網站時下載該元件。 將 \[停用自動安裝 Internet Explorer 元件\] 設定設定為 \[停用\] 或 \[尚未設定\]，會致使瀏覽器提示使用者在每次拜訪使用元件的網站時進行下載及安裝。當啟用此設定時，會意圖協助系統管理員控制使用者可在您環境中的用戶端上安裝哪些元件。 基於此原因，建議您將 \[停用自動安裝 Internet Explorer 元件\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 **注意：**在啟用此設定之前，建議您使用 Software Update Service (SUS) 或類似的服務，設立一套替代策略來更新 Internet Explorer。 #### 停用定期檢查以進行 Internet Explorer 軟體更新 **\[表 5\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定可防止 Internet Explorer 太常檢查是否有可用的新瀏覽器更新。啟用此原則可防止 Internet Explorer 決定新瀏覽器更新是否可用，而接著通知使用者。將 \[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定設定為 \[停用\] 或 \[尚未設定\]，會致使 Internet Explorer 依預設每 \[30 天\] 就檢查可用的瀏覽器更新，並在有新更新的時候通知使用者。此設定意在協助系統管理員在瀏覽器有可用的新更新或版本時不通知使用者，進而維護 Internet Explorer 的版本控制。 基於此原因，建議您將 \[停用定期檢查以進行 Internet Explorer 軟體更新\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 **注意：**在啟用此原則之前，建議您為組織中的系統管理設立一套替代策略，以確保他們定期在您環境內的用戶端上接受 Internet Explorer 新更新。 #### 停用程式啟動時的軟體更新 Shell 通知 **\[表 6\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[停用程式啟動時的軟體更新 Shell 通知\] 設定會指定使用 Microsoft Software Distribution Channel 的程式在安裝新元件時，將不通知使用者。Software Distribution Channel 是根據 Open Software Distribution (.osd) 技術在使用者電腦上動態更新軟體的一套方法。 啟用此原則可防止使用者在使用 Software Distribution Channel 更新其程式時收到通知。將 \[停用程式啟動時的軟體更新 Shell 通知\] 設定設定為 \[停用\] 或 \[尚未設定\] 允許將程式更新通知傳給使用者。啟用此設定也可讓系統管理員使用 Software Distribution Channel 來更新您環境中工作站上的程式，而無須使用者介入。 基於這些理由，建議您將 \[停用程式啟動時的軟體更新 Shell 通知\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 #### 為每台機器建立 Proxy 設定 (而不是每個使用者) **\[表 7\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	停用	啟用	停用

\[為每台機器建立 Proxy 設定 (而不是每個使用者)\] 設定會確保相同電腦上所有使用者的 Proxy 設定都相同。啟用此設定可防止使用者設定使用者特定的 Proxy 設定，並要求他們使用為該電腦的所有使用者所建立的區域。區域是指擁有相同安全性等級的網站群組。 將 \[為每台機器建立 Proxy 設定\] (而不是每個使用者)\] 設定設定為 \[停用\] 或 \[尚未設定\]，允許相同電腦的使用者建立他們自己的 Proxy 設定。啟用此設定可確保不致在相同電腦上有不同的使用者 Proxy 設定，並禁止使用者避開您 Proxy 伺服器上設定的網際網路安全性原則。 基於這些理由，建議您將 \[為每台機器建立 Proxy 設定 (而不是每個使用者)\] 設定在本指南中定義的兩種環境內，針對「桌上型用戶端」設定為 \[啟用\]，而針對「膝上型用戶端」設定為 \[停用\]，因為行動使用者可能需要在外出時變更他們的 Proxy 設定。 #### 安全性區域：不允許使用者新增/移除網站 **\[表 8\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[安全性區域：不允許使用者新增/移除網站\] 設定可防止使用者在安全性區域新增或移除網站。安全性區域是指擁有相同安全性等級的網站群組。啟用此原則會導致安全性區域的網站管理設定無法運作。 - **若要檢視安全性區域的網站管理設定：** 1. 在 \[網際網路選項\] 對話方塊中，按一下 \[安全性\] 索引標籤。 2. 按一下 \[網站\] 按鈕。 將 \[安全性區域：不允許使用者新增/移除網站\] 設定設定為 \[停用\] 或 \[尚未設定\]，可讓使用者在 \[信任的網站\] 和 \[限制的網站\] 的區域新增或移除網站，並變更 \[近端內部網路\] 區域。啟用此設定會建立一個原則，可避免使用者變更由系統管理員所建立之安全性區域的網站管理設定。 基於此原因，建議您將 \[安全性區域：不允許使用者新增/移除網站\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 **注意：** 啟用 \[停用安全性頁面\] 設定 (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，會將 \[安全性\] 索引標籤自介面移除，並致使此設定優先於 \[安全性區域：不允許使用者新增/移除網站\] 設定。 #### 安全性區域：不允許使用者變更規則 **\[表 9\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[安全性區域：不允許使用者變更規則\] 設定可防止使用者變更安全性區域設定。安全性區域是指擁有相同安全性等級的網站群組。啟用此設定會停用 \[網際網路選項\] 對話方塊中 \[安全性\] 索引標籤上的 \[自訂層級\] 按鈕及安全性等級滑桿。將 \[安全性區域：不允許使用者變更規則\] 設定設定為 \[停用\] 或 \[尚未設定\] 會允許使用者變更安全性區域設定。啟用此設定會建立一個原則，可避免使用者變更由系統管理員所建立之安全性區域設定。 基於此原因，建議您將 \[安全性區域：不允許使用者變更規則\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 **注意：** 啟用 \[停用安全性頁面\] 設定 (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，會將 \[安全性\] 索引標籤自 \[控制台\] 中的 Internet Explorer 移除，並致使此設定優先於 \[安全性區域：不允許使用者變更規則\] 設定。 #### 安全性區域：僅使用機器設定 **\[表 10\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[安全性區域：僅使用機器設定\] 的設定會將安全性區域資訊套用至相同電腦上的所有使用者。安全性區域是指擁有相同安全性等級的網站群組。啟用此設定允許一名使用者對安全性區域所做的變更，套用至相同機器的所有使用者。將 \[安全性區域：僅使用機器設定\] 設定為 \[停用\] 或 \[尚未設定\]，允許相同電腦的使用者建立他們自己的安全性區域設定。將此設定設定為 \[啟用\] 可確保安全性區域設定統一地套用至相同電腦的所有使用者。 基於這些原因，建議您將 \[安全性區域：僅使用機器設定\] 的設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 工作排程器 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列工作排程器相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Task Scheduler **\[表 11\] 工作排程器電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
禁止建立新工作	尚未設定	尚未設定	啟用	啟用
禁止工作刪除	尚未設定	尚未設定	啟用	啟用

#### 禁止建立新工作 **\[表 12\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[禁止建立新工作\] 設定可防止使用者使用工作排程器建立新工作。您可以將工作排定在特定時間執行程式。將此設定設定為 \[啟用\] 會移除用來啟動 \[新工作精靈\] 的 \[新增排定的工作\] 選項。此外，啟用此設定會導致系統無法在使用者嘗試移動、貼上或拖曳程式或文件到 \[排定的工作\] 資料夾時加以回應。 基於這些理由，本指南建議將 \[禁止建立新工作\] 設定在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。 **注意：**此設定不會防止系統管理員使用 At.exe 命令來建立新工作，也無法防止他們從遠端電腦提交工作。 #### 禁止工作刪除 **\[表 13\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[禁止工作刪除\] 設定可防止使用者從 \[排定的工作\] 資料夾刪除工作。將此設定設定為 \[啟用\] 會將「Delete」命令自 \[排定的工作\] 資料夾中的 \[編輯\] 功能表，以及您在工作按一下右鍵時出現的功能表中移除。它還會導致系統無法在使用者嘗試從 \[排定的工作\] 資料夾刪除或拖曳工作時加以回應。 基於這些理由，本指南建議將 \[禁止工作刪除\] 設定在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。 **注意：**此設定並不能阻止系統管理員使用 At.exe 命令來刪除工作。 [](#mainsection)[回到頁首](#mainsection) ### 終端機服務\\用戶端或伺服器資料重新導向 終端機服務提供了將用戶端資源重新導向到經由終端機服務存取的伺服器的選項。以下設定是專門針對終端機服務。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列終端機服務下的用戶端或伺服器資料重新導向相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Terminal Services\\Client/Server data redirection **\[表 14\] 終端機服務\\用戶端或伺服器資料重新導向電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
不允許磁碟重新導向	尚未設定	尚未設定	啟用	啟用

#### 不允許磁碟重新導向 **\[表 15\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[不允許磁碟重新導向\] 設定可防止使用者將他們用戶端上的本機磁碟共用給其存取的終端機服務。\[Windows 檔案總管\] 或 \[我的電腦\] 中的工作階段資料夾樹狀結構內的對應磁碟會以下列格式顯示： \\\\TSClient\\<driveletter>$ 共用本機磁碟有可能讓它們難以防範入侵者對利用儲存在其上的資料的意圖。基於此原因，本指南建議將 \[不允許磁碟重新導向\] 設定在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。 [](#mainsection)[回到頁首](#mainsection) ### 終端機服務\\加密及安全性 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列終端機服務下的家密集安全性相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Terminal Services\\Encryption and Security **\[表 16\] 終端機服務\\加密及安全性電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
連線時自動提示用戶端輸入密碼	尚未設定	尚未設定	啟用	啟用
設定用戶端連線加密等級	高等級	高等級	高等級	高等級

#### 連線時自動提示用戶端輸入密碼 **\[表 17\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[連線時自動提示用戶端輸入密碼\] 設定會要求使用者輸入密碼以登入他們的電腦。將此設定設定為 \[啟用\] 可防止使用者自動登入終端機伺服器，或在 \[遠端桌面連線\] 用戶端中提供他們的密碼從遠端存取桌面。本機電腦系統管理員也無法在啟用此設定時，將使用者電腦設定成允許自動傳送密碼。 基於此原因，本指南建議將 \[連線時自動提示用戶端輸入密碼\] 設定在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。 **注意：**如果您未設定此設定，則本機電腦系統管理員即可使用「終端機服務組態」工具來允許或禁止自動傳送密碼。 #### 設定用戶端連線加密等級 **\[表 18\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
高等級	高等級	高等級	高等級

啟用 \[設定用戶端連線加密等級\] 設定會指示終端機服務針對在終端機服務工作階段期間在用戶端和伺服器之間傳送的所有資料，強制指定的加密等級。此設定的選項有： - **用戶端相容** - **高等級** - **低等級** \[用戶端相容\] 等級會以用戶端所支援的最大金鑰強度，來加密在用戶端及伺服器之間傳送的資料。當終端機伺服器在包含混合或傳統用戶端的環境中執行時，請使用此等級。 此設定的 \[高等級\] 選項會使用增強式 128 位元加密，來加密在用戶端和伺服器之間傳輸的資料。當終端機伺服器在只包含 128 位元用戶端 (例如 Windows XP Professional 用戶端) 的環境中執行時，請使用此等級。不支援此加密等級的用戶端將無法連線。 此設定的 \[低等級\] 選項會使用 56 位元加密，來加密在用戶端和伺服器之間傳送的資料。從伺服器傳至用戶端的資料在設定有 \[低等級\] 選項時，不會加密。 當此設定設定為 \[啟用\] 時，加密等級設定會套用至所有的伺服器連線。加密等級依預設會設為 \[用戶端相容\]。針對本指南中定義的兩種環境，建議您將加密等級增強到 \[高等級\] 以強制施行 128 位元加密。 [](#mainsection)[回到頁首](#mainsection) ### Windows Messenger Windows Messenger 是用來傳送立即訊息給電腦網路上的其他使用者。訊息可包括檔案及其他附件。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 Windows Messenger 相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Windows Messenger **\[表 19\] Windows Messenger 電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
不允許執行 Windows Messenger	尚未設定	尚未設定	啟用	啟用

#### 不允許執行 Windows Messenger **\[表 20\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[不允許執行 Windows Messenger\] 設定可讓您停用 Windows Messenger。將此設定設定為 \[啟用\] 可防止 Windows Messenger 執行。 基於此原因，本指南建議將 \[不允許執行 Windows Messenger\] 設定在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[尚未設定\]。 **注意：**將此設定設定為 \[啟用\] 可防止 \[遠端協助\] 使用 Windows Messenger，及防止使用者使用 MSN® Messenger。 [](#mainsection)[回到頁首](#mainsection) ### Windows Update 系統管理員使用 Windows Update 設定來管理如何將修補程式及 Hotfix 套用在 Windows XP 工作站上。更新可從 Microsoft Windows Update 網站取得。或者，您可以設立內部網路網站以類似的方式，但具有額外的系統管理控制權來散佈修補程式及 Hotfix。Windows Update Administrative Template (WUAU.adm) 是 Windows XP SP1 中的新功能。 SUS 是「策略性技術保護計畫 (STPP)」的元件，該計劃是建構在 Microsoft Windows Update 技術的成功之上，供所有使用者從 Windows Update 網站使用。SUS 會管理並散佈重要的 Windows 修補程式，解決已知的安全性漏洞以及其他 Microsoft Windows 作業系統的穩定性問題。 截至最近，系統管理員都還需要定期檢查 Windows Update 網站或 Microsoft 安全性網站是否有新修補程式。然後他們還需要手動下載並在他們的環境中進行測試，接著手動散佈修補程式或使用傳統的軟體散佈工具來進行實作。 SUS 以可透過您內部網路取得的 Windows 用戶端重大更新動態通知系統，免除了這些手動的步驟。用戶端不需要網際網路存取即可使用此服務。此項技術另外還提供一套簡單且自動的解決方案，用於將更新散佈到您的 Windows 工作站及伺服器。 Software Update Services 還提供下列功能： - **系統管理員在您的內部網路當中對內容同步的控制權** 此項同步服務是一種伺服器端的元件，可從 Windows Update 擷取最新的重大更新。當有新更新加入 Windows Update 時，執行 SUS 的伺服器便會根據系統管理員定義的排程自動下載並加以儲存。 - **內部網路主控的 Windows Update 伺服器** 這個容易使用的伺服器扮演著用戶端電腦的虛擬 Windows Update 伺服器角色。它包含同步服務及系統管理工具，用以管理各項更新。它使用「超文字傳輸通訊協定 (HTTP)」服務著與其相連的用戶端電腦所核准的更新要求。此伺服器還可以主控從同步服務下載的重大更新，並將用戶端電腦參照到該些更新。 - **系統管理員掌控更新** 系統管理員可在部署到公司內部網路之前，先測試及核准公開 Windows Update 網站的更新。部署是依系統管理員所建立的排成而進行。如果有多台伺服器執行 SUS，系統管理員可控制由哪些電腦存取執行該服務的特定伺服器。系統管理員在 Microsoft Active Directory® 目錄服務環境中可透過群組原則，或透過登錄機碼而具備此控制等級。 - **電腦上的自動更新 (工作站或伺服器)** 「自動更新」是一項 Windows 功能，可設定為自動檢查公佈在 Windows Update 上的更新。SUS 利用此項 Windows 功能將系統管理員核准的更新公佈在內部網路上。 **注意：** 如果您選擇經由其他通道 (例如 Microsoft Systems Management Server (SMS)) 來散佈修補程式，本指南建議停用 \[設定自動更新\] 設定。 \[表 21\] 簡述了可用的 Windows Update 設定。前三個設定是讓 Windows Update 運作的最低要求。本節中的第四個設定是選擇性的，視您的組織需求而定。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 Windows Update 相關的電腦設定： Computer Configuration\\Administrative Templates\\Windows Components\\Windows Update 在本節所討論的設定並不能單獨地解決特定的安全性風險。它們跟系統管理員的喜好設定比較有關聯。不過，設定 Windows Update 對維護您環境的安全性來說是不可或缺的，因為它可確保您環境中的用戶端在有安全性修補程式可用時，即可馬上從 Microsoft 收到該些修補程式。 **\[表 21\] Windows Update 電腦安全性設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
設定自動更新	啟用	啟用	啟用	啟用
已排程的自動更新安裝沒有自動重新啟動	停用	停用	停用	停用
重新排程已經排程好的自動更新安裝	啟用	啟用	啟用	啟用
指定近端內部網路 Microsoft 更新服務的位置	啟用	啟用	啟用	啟用

**注意：**Windows Update 依賴有幾種服務，包括「遠端登錄」服務及「幕後智慧型傳送服務」。在＜Windows XP 用戶端的安全性設定＞單元中，這些服務在「高安全性」環境中都是停用的。因此，如果這些服務是停用的，Windows Update 將無法在「高安全性」環境內運作，而可能只會針對此環境忽視以下四項設定指示。 #### 設定自動更新 **\[表 22\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[設定自動更新\] 設定指出您環境中的電腦是否將從 Windows Update 或 SUS 收到安全性更新。 將此設定設定為 \[啟用\]，可使作業系統辨識出網路連線何時可用，並接著使用該連線來搜尋 Windows Update 網站或您指定的內部網路網站，找到要套用的更新。 在將此設定設定為 \[啟用\] 後，請選擇 \[設定自動更新內容\] 對話方塊中下列三個選項其中之一，以指定服務的運作方式： - **下載任何更新前通知我和在安裝它們前再次通知我**。 當 Windows Update 服務找到要套用到執行 Windows XP 的電腦的更新時，電腦的通知區域會出現一個圖示，並有訊息指出更新已準備好下載。按一下該圖示或訊息來選擇特定的更新以進行下載。Windows 接著會在背景下載更新。當完成下載後，通知區域會再次出現圖示，通知該更新已經準備好安裝。按一下該圖示或訊息來選擇要安裝哪個更新。 - **自動下載更新和當它們準備好安裝時通知我 (預設設定)。** Windows 會尋找要套用到您電腦的更新，並在背景進行下載，而在此過程當中都不通知使用者。當完成下載後，狀態區會出現圖示，通知該更新已經準備好安裝。按一下該圖示或訊息來選擇要安裝哪個更新。 - **自動下載更新，並在以下指定的排程中進行安裝。** 此選項可讓您使用「群組原則」中的選項來指定排程。如果未指定排程，則所有安裝的預設排程即為每天的早上 3:00。若有任何更新需要重新開機以完成安裝的話，Windows 會自動重新啟動受影響的電腦。(若使用者在 Windows 需要重新開機以完成更新安裝時登入電腦，則會通知使用者併提供延遲重新開機的選項。) 停用此設定會要求您手動下載及安裝 Windows Update 網站上任何可用的更新，網址是：[https://windowsupdate.microsoft.com](https://windowsupdate.microsoft.com/)。 Microsoft 建議將 \[設定自動更新\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。在啟用此設定之後，從上列清單選取適合您環境的選項。 #### 已排程的自動更新安裝沒有自動重新啟動 **\[表 23\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

啟用 \[已排程的自動更新安裝沒有自動重新啟動\] 設定會致使電腦等候已登入的使用者重新開機來完成排定的安裝，而不是自動完成重新開機。將此設定設定為 \[啟用\] 同樣可防止「自動更新」在排定的安裝期間，自動重新開機。(若使用者在「自動更新」需要重新開機以完成更新安裝時登入電腦，則會通知使用者併提供延遲重新開機的選項。) 請注意「自動更新」需要重新開機後才能偵測後續的更新。將此設定設定為 \[停用\] 或 \[尚未設定\]，會致使「自動更新」通知使用者電腦將在 5 分鐘內自動重新開機以完成安裝。 如果自動重新啟動您環境中的用戶端會是個問題，請考慮啟用 \[已排程的自動更新安裝沒有自動重新啟動\] 設定。如果您已啟用此設定，請將您的用戶端排定在正常上班時間後重新開機，以確保安裝能夠順利完成。 基於這些理由，本指南建議將 \[已排程的自動更新安裝沒有自動重新啟動\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：** 此設定只在「自動更新」是設定為執行排定的更新安裝才有效。若 \[設定自動更新\] 設定設定為 \[停用\]，將無法使用。重新開機對完成更新安裝來說通常是必要的。 #### 重新排程已經排程好的自動更新安裝 **\[表 24\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[重新排程已經排程好的自動更新安裝\] 設定決定在系統啟動之後，前一個排定的自動更新安裝將進行的時間量。將此設定設定為 \[啟用\]，會導致前一個排定的安裝在電腦接下來啟動時，經過指定的分鐘數之後進行安裝。預設的等候期間為 \[5 分鐘\]。可用的值範圍是 1 - 60 分鐘。將此設定設定為 \[停用\] 或 \[尚未設定\]，會導致前一個排定的安裝在下一個定期排定的安裝時間當中發生。 此設定跟系統管理員喜好設定比安全性還要相關。用它來決定您要在使用者啟動他們的用戶端之後等候多久，才暫時降低他們的產能來更新他們的電腦。 基於此原因，建議您將 \[重新排程已經排程好的自動更新安裝\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。在啟用設定之後，您可將預設的等候期間變更為適合您環境的期間。 **注意：** 此設定只在「自動更新」是設定為執行排定的更新安裝才有效。若 \[設定自動更新\] 設定是停用的，則 \[重新排程已經排程好的自動更新安裝\] 設定將沒有任何作用。啟用後面兩個設定可確保前一個遺漏的安裝會在每次電腦重新開機時，排定進行安裝。 #### 指定近端內部網路 Microsoft 更新服務的位置 **\[表 25\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[指定近端內部網路 Microsoft 更新服務的位置\] 設定指出要主控 Microsoft Update 網站的更新的內部網路伺服器。您可以接著使用此更新服務自動更新您網路上的電腦。此設定會讓您指定網路上的一台伺服器，用作為內部更新服務。「自動更新」用戶端將與內部網路主機伺服器一起合作，搜尋要套用到您網路上的電腦的更新服務。 您必須識別下列兩台伺服器器的名稱以使用此設定： - 「自動更新」用戶端將從中偵測及下載更新的內部伺服器。 - 已更新的工作站將上載統計資料的內部統計資料伺服器。 **注意：**相同的伺服器可用作為更新及統計資料伺服器。 將此設定設定為 \[啟用\]，會致使「自動更新」用戶端連接到指定的內部網路 Microsoft 更新服務，而不是連到 Windows Update 來搜尋及下載更新。然而，這並不會強迫使用者經過防火牆以取得更新，反而讓您有機會在部署更新之前先行測試。 將此設定設定為 \[停用\] 或 \[尚未設定\]，可讓「自動更新」用戶端直接連接到網際網路上的 Windows Update 網站，如果「自動更新」未被群組原則或使用者喜好設定停用的話。啟用此設定可防止用戶端直接前往網際網路上取得更新，網址是：[https://windowsupdate.microsoft.com](https://windowsupdate.microsoft.com/)。 基於此原因，建議您將 \[指定近端內部網路 Microsoft 更新服務的位置\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 **注意：** 若 \[設定自動更新\] 設定是停用的，則啟用 \[指定近端內部網路 Microsoft 更新服務的位置\] 設定將不會有任何作用。 [](#mainsection)[回到頁首](#mainsection) ### Microsoft Office XP 您必須經由「群組原則物件編輯器」來套用系統管理範本，才能存取 Office XP 的系統管理範本設定。該些範本會與 Office XP Resource Kit 一起提供，也涵蓋在本指南中。 下表包含所有的 Office XP 系統管理範本檔案。Office10.adm 範本檔包含表中列出的程式和功能的所有設定，這將於本節加以討論。另一個範本檔則包含 UI 設定。 您必須在「群組原則物件編輯器」中將 Office10.adm 檔加入系統管理範本，才能設定本節中所指示的 Office XP 設定。如需有關如何新增系統管理範本至群組原則物件編輯器的詳細資訊，請參閱本指南中的＜設定 Active Directory 網域基礎結構＞單元。 **\[表 26\] Office XP 系統管理範本**

範本檔	內含的原則
Access10.adm	Microsoft Access 2002
Excel10.adm	Microsoft Excel 2002
Fp10.adm	Microsoft FrontPage® 2002
Gal10.adm	Microsoft Office XP Clip Organizer
Instlr11.adm	Windows Installer 1.1
Ppt10.adm	Microsoft PowerPoint® 2002
Pub10.adm	Microsoft Publisher 2002
Office10.adm	共用的 Office XP 元件
Outlk10.adm	Microsoft Outlook® 2002
Word10.adm	Microsoft Word 2002

[](#mainsection)[回到頁首](#mainsection) ### Microsoft Office XP\\安全性設定 使用「群組原則物件編輯器」在系統管理範本中的以下位置，設定與下列 Office XP 相關的電腦設定： Computer Configuration\\Administrative Templates\\Microsoft Office XP\\Security Settings Office XP 一項關鍵的功能是巨集安全性。在您的環境中設定用戶端的巨集安全性還有幾件事應該考量。那就是巨集安全性依賴的是與 Office 資料檔或附加到文件、活頁簿、簡報或電子郵件的可執行程式碼相關的憑證。憑證的驗證過程需要驗證簽署該認證的作者，以及該作者所建立的數位簽章。驗證憑證會附加在可執行的程式碼、Microsoft ActiveX® 控制項，或動態連結程式庫 (DLL) 檔案。作者必須從「憑證授權單位」(CA) 取得憑證。CA 必須是由您的組織所設定的內部授權單位，或由其他公司經營的外部授權單位。 巨集一詞同樣也隱喻 ActiveX 控制項、元件物件模型 (COM) 物件、OLE 物件，以及其他可附加到文件、工作表或電子郵件訊息的可執行程式的使用。在本單元內容中的巨集一詞，是明確用於 Microsoft Visual Basic® for Applications (VBA) 所使用的巨集。 巨集安全性等級會決定 Office 應用程式回應它們的方式。下列巨集類別的安全性等級概述如下： - **未經簽名的巨集**。 - **高：**巨集在文件、活頁簿、簡報或電子郵件訊息開啟時，是停用的。 - **中：**會提示使用者啟用或停用巨集。 - **來自信任來源並具有效憑證的簽名巨集**。 - **高及中：**巨集在文件、活頁簿、簡報或電子郵件訊息開啟時，是啟用的。 - **來自未知來源並具有效憑證的簽名巨集**。 - **高及中：** 會顯示一個含有關於憑證資訊的對話方塊。使用者接著必須決定是否要根據憑證的內容啟用巨集。若要啟用巨集，使用者必須接受憑證。 - **來自任何來源並具有效憑證的簽名巨集**。 - **高及中：** 會警告使用者潛在的病毒。並停用巨集。 - **來自任何來源但憑證無法驗證的簽名巨集**。這會發生在缺少公開金鑰或使用了不相容的加密方法的情況。 - **高：** 會警告使用者不可能進行憑證驗證。並停用巨集。 - **中：** 會警告使用者不可能進行憑證驗證。並讓使用者選擇啟用或停用巨集。 - **來自任何來源且有被憑證授權單位撤銷之過期憑證的簽名巨集**。 - **高：** 會警告使用者該憑證已過期且已被撤銷。並停用巨集。 - **中：** 會警告使用者該憑證已過期且已被撤銷。並讓使用者選擇啟用或停用巨集。 有關巨集安全性和信任來源的詳細資訊，請參閱本單元最後的＜其他資訊＞一節中的 Office XP Resource Kit 參考資料。 **\[表 27\] Office XP 電腦安全性設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
Access：信任所有已安裝的增益集和範本	停用	停用	停用	停用
停用 VBA for Office 應用程式	停用	停用	啟用	啟用
Excel：巨集安全性等級	中	中	高	高
Excel：信任存取 Visual Basic 專案	停用	停用	停用	停用
Excel：信任所有已安裝的增益集和範本	停用	停用	停用	停用
Outlook：巨集安全性等級	高	高	高	高
PowerPoint：巨集安全性等級	中	中	高	高
PowerPoint：信任存取 Visual Basic 專案	停用	停用	停用	停用
PowerPoint：信任所有已安裝的增益集和範本	停用	停用	停用	停用
Publisher：巨集安全性等級	中	中	高	高
Publisher：信任所有已安裝的增益集和範本	停用	停用	停用	停用
不安全的 ActiveX 初始化	啟用	啟用	啟用	啟用
Word：巨集安全性等級	中	中	高	高
Word：信任存取 Visual Basic 專案	停用	停用	停用	停用
Word：信任所有已安裝的增益集和範本	停用	停用	停用	停用

#### Access：信任所有已安裝的增益集和範本 **\[表 28\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

您可以設定 Office XP 中的所有產品以自動信任已安裝的 COM 增益集。停用 \[Access：信任所有已安裝的增益集和範本\] 設定，能使 Access 確保所有的增益集都已經過信任來源數位簽名。簽名的元件接著便可在任一安全性等級載入。未經簽名的元件或由不信任的來源所簽名的元件，都會使 Access 根據 \[安全性等級：\] 對話方塊中哪個下列的巨集安全性等級是有效的，來進行回應： - **高：**無法載入增益集和範本元件。 - **中：**警告使用者使用未經簽名的元件潛在的安全性風險。 - **低：**增益集和範本元件會在沒有使用者介入的情況下載入並執行。 基於這些理由，\[Access：信任所有已安裝的增益集和範本\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：**將 \[Access：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，會使 Access 從安全性的觀點，將增益集和範本視為巨集。 #### 停用 VBA for Office 應用程式 **\[表 29\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	啟用	啟用

VBA 經常被誤認是 Office 應用程式當中所有安全性風險的根源。然而，有個常見的誤解認為停用 VBA 就可以完全避免應用程式的安全性破壞。這並不完全是事實，因為 ActiveX 控制項不需要 VBA 仍然可以執行。 啟用 \[停用 VBA for Office 應用程式\] 設定會停用 Office XP 當中許多有用的功能。這些功能包括網路上的 Office 工具、許多精靈、範本、COM 增益集和巨集。任何依賴巨集的自訂項目，例如按鈕或功能表命令，都不能再運作。如果文件包含有巨集或 ActiveX 控制項，則使用者必須先將它開啟為唯讀，然後將對它的變更儲存在新文件中。然而，啟用此設定的確會使 Office 應用程式多少比較安全一點。 基於這些理由，\[停用 VBA for Office 應用程式\] 設定僅在「高安全性」環境中設定為 \[啟用\]。不過，建議您將此設定在「企業用戶端」環境中設定為 \[停用\]。 **重要事項：** 停用 VBA 可能會導致使用者無法開啟內含巨集之 Office 資料檔。請參閱上述有關巨集安全性的討論，以了解有關處理內含巨集之 Office 資料檔的細節。 #### Excel：巨集安全性等級 **\[表 30\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
中	中	高	高

永久停用您環境中的所有巨集功能可能很誘人。雖然您可以在 Office XP 這麼做，但 Office 中的巨集在管理和安全性方面的改進讓這個動作等於是多此一舉。\[Excel：巨集安全性等級\] 設定的 \[中\] 安全性等級，可讓使用者選擇是否要執行可能不安全的巨集。此設定的 \[高\] 安全性等級只允許執行來自信任來源的簽名巨集，而且會自動停用未經簽名的巨集。 基於這些理由，\[Excel：巨集安全性等級\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[啟用\] 加上 \[中\] 選項，而在「高安全性」環境中則設定為 \[啟用\] 加上 \[高\] 選項。 #### Excel：信任存取 Visual Basic 專案 **\[表 31\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

\[Excel：信任存取 Visual Basic 專案\] 設定可讓您控制是否要信任 Excel 存取附加在文件的 VBA 程式碼。強制使用此設定的 \[停用\] 預設值，可確保附加在任何您所開啟的檔案或文件的巨集，均無法存取核心的 Visual Basic 物件、方法和屬性。此設定的巨集安全性等級預設設定為 \[高\]。如此一來，預設設定即可免除可能的安全性危險。 基於此原因，\[Excel：信任存取 Visual Basic 專案\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 #### Excel：信任所有已安裝的增益集和範本 **\[表 32\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

您可以設定 Office XP 中的所有產品以自動信任已安裝的 COM 增益集。停用 \[Excel：信任所有已安裝的增益集和範本\] 設定能使 Excel 確保所有的增益集都已經過信任來源數位簽名。接著信任的元件和範本即可在任何安全性等級下載入電腦。未經簽名的元件或由不信任的來源所簽名的元件，都會使 Excel 根據 \[安全性等級：\] 對話方塊中哪個下列的巨集安全性等級是有效的，來進行回應： - **高：**無法載入增益集和範本元件。 - **中：**警告使用者使用不安全的元件潛在的安全性風險。 - **低：**增益集和範本元件會在不提示使用者的情況下載入並執行。 基於這些理由，\[Excel：信任所有已安裝的增益集和範本\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：**將 \[Excel：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，會使 Excel 從安全性的觀點，將增益集和範本視為巨集。 #### Outlook：巨集安全性等級 **\[表 33\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
高	高	高	高

永久停用您環境中的所有巨集功能可能很誘人。雖然您可以在 Office XP 這麼做，但 Office 中的巨集在管理和安全性方面的改進讓這個動作等於是多此一舉。\[Outlook：巨集安全性等級\] 設定的 \[高\] 安全性等級，只允許執行來自信任來源的簽名巨集，而且會自動停用未經簽名的巨集。從電子郵件附件將惡意程式碼引入您環境的風險相當的高。因此，Microsoft Outlook 建議的巨集安全性等級比其他 Office 應用程式要高一些。 基於此原因，\[Outlook：巨集安全性等級\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\] 加上 \[高\] 選項。 #### PowerPoint：巨集安全性等級 **\[表 34\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
中	中	高	高

永久停用您環境中的所有巨集功能可能很誘人。雖然您可以在 Office XP 這麼做，但 Office 中的巨集在管理和安全性方面的改進讓這個動作等於是多此一舉。\[PowerPoint：巨集安全性等級\] 設定的 \[中\] 安全性等級，可讓使用者選擇是否要執行可能不安全的巨集。此設定的 \[高\] 安全性等級只允許執行來自信任來源的簽名巨集，而且會自動停用未經簽名的巨集。 基於這些理由，\[Powerpoint：巨集安全性等級\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[啟用\] 加上 \[中\] 選項，而在「高安全性」環境中則設定為 \[啟用\] 加上 \[高\] 選項。 #### PowerPoint：信任存取 Visual Basic 專案 **\[表 35\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

\[PowerPoint：信任存取 Visual Basic 專案\] 設定可讓您控制 PowerPoint 是否可存取附加在檔案及文件的 VBA 程式碼。將此設定設定為預設的 \[停用\]，會封鎖任何您所開啟的檔案和文件中的巨集，來存取核心的 Visual Basic 物件、方法和屬性。如此一來，預設設定即可免除可能的安全性危險。 基於此原因，\[PowerPoint：信任存取 Visual Basic 專案\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 #### PowerPoint：信任所有已安裝的增益集和範本 **\[表 36\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

您可以設定 Microsoft Office XP 中的所有產品以自動信任已安裝的 COM 增益集。將 \[PowerPoint：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，能使 PowerPoint 確保所有的增益集都已經過信任來源數位簽名。簽名的元件接著便可在任一安全性等級載入。未經簽名的元件或由不信任的來源所簽名的元件，都會使 PowerPoint 根據 \[安全性等級：\] 對話方塊中哪個下列的巨集安全性等級是有效的，來進行回應： - **高：**無法載入增益集和範本元件。 - **中：**警告使用者使用不安全的元件潛在的安全性風險。 - **低：**增益集和範本元件會在沒有使用者介入的情況下載入並執行。 基於此原因，\[PowerPoint：信任所有已安裝的增益集和範本\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：**將 \[PowerPoint：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，會使 Access 從安全性的觀點，將增益集和範本視為巨集。 #### Publisher：巨集安全性等級 **\[表 37\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
中	中	高	高

永久停用您環境中的所有巨集功能可能很誘人。雖然您可以在 Office XP 這麼做，但 Office 中的巨集在管理和安全性方面的改進讓這個動作等於是多此一舉。\[Publisher：巨集安全性等級\] 設定的 \[中\] 安全性等級，可讓使用者選擇是否要執行可能不安全的巨集。此設定的 \[高\] 安全性等級只允許執行來自信任來源的簽名巨集，而且會自動停用未經簽名的巨集。 基於這些理由，\[Publisher：巨集安全性等級\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[啟用\] 加上 \[中\] 選項，而在「高安全性」環境中則設定為 \[啟用\] 加上 \[高\] 選項。 #### Publisher：信任所有已安裝的增益集和範本 **\[表 38\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

Office XP 中的所有產品都可以設定為自動信任已安裝的 COM 增益集。停用 \[Publisher：信任所有已安裝的增益集和範本\] 設定能使 Publisher 確保所有的增益集都已經過信任來源數位簽名。簽名的元件接著便能以任一安全性等級載入。未經簽名的元件或由不信任的來源所簽名的元件，都會使 Publisher 根據 \[安全性等級：\] 對話方塊中哪個下列的巨集安全性等級是有效的，來進行回應： - **高：**無法載入增益集和範本元件。 - **中：**警告使用者使用不安全的元件潛在的安全性風險。 - **低：**增益集和範本元件會在沒有使用者介入的情況下載入並執行。 基於這些理由，\[Publisher：信任所有已安裝的增益集和範本\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：**將 \[Publisher：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，會使 Access 從安全性的觀點，將增益集和範本視為巨集。 #### 不安全的 ActiveX 初始化 **\[表 39\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

ActiveX 控制項在 Office XP 及 Internet Explorer 中提供相當多的實用功能。ActiveX 控制項實際上是惡意的開發人員可用來偷竊或破壞在您環境中電腦上的資訊的程式碼可執行片段。為了提供安全性以預防 ActiveX 控制項的惡意用途，Office XP 允許您指定使用者只能使用經過其建立者所數位簽名的 ActiveX 控制項，藉此給予您在其來源和安全性上某種程度的保證。 啟用 \[不安全的 ActiveX 初始化\] 設定可能會在檢視或使用包含 ActiveX 控制項的文件或表單時發生問題，因為它會掠奪由控制項儲存的資料，並強制控制項在每次啟動時自行重新初始化。因此，最好的辦法是在將 Office XP 部署到您環境中的電腦上前，先測試舊版 Office 所使用所有應用程式和表單。 此設定提供下列選項： - **使用控制項預設值初始化** - **訓問使用者：持續性資料或控制項預設值** 基於這些原因，\[不安全的 ActiveX 初始化\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]，加上 \[使用控制項預設值初始化\] 的選項。\[使用控制項預設值初始化\] 選項旨在防止 ActiveX 控制項使用可能被用來攻擊您的用戶端的持續性資料。 #### Word：巨集安全性等級 **\[表 40\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
中	中	高	高

永久停用您環境中的所有巨集功能可能很誘人。雖然您可以在 Office XP 這麼做，但 Office XP 中的巨集在管理和安全性方面的改進讓這個動作等於是多此一舉。\[Word：巨集安全性等級\] 設定的 \[中\] 安全性等級，可讓使用者選擇是否要執行可能不安全的巨集。此設定的 \[高\] 安全性等級只允許執行來自信任來源的簽名巨集，而且會自動停用未經簽名的巨集。 基於這些理由，\[Word：巨集安全性等級\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[啟用\] 加上 \[中\] 選項，而在「高安全性」環境中則設定為 \[啟用\] 加上 \[高\] 選項。 #### Word：信任存取 Visual Basic 專案 **\[表 41\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

\[Word：信任存取 Visual Basic 專案\] 設定可讓您控制 Word 是否可存取附加到文件的 VBA 程式碼。將此設定設定為預設的 \[停用\]，會防止任何您所開啟的文件中的巨集存取核心的 Visual Basic 物件、方法和屬性。停用此設定可免除可能的安全性危險。 基於此原因，\[Word：信任存取 Visual Basic 專案\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 #### Word：信任所有已安裝的增益集和範本 **\[表 42\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
停用	停用	停用	停用

您可以設定 Microsoft Office XP 中的所有產品以自動信任已安裝的 COM 增益集。停用 \[Word：信任所有已安裝的增益集和範本\] 設定能使 Word 確保所有的增益集都已經過信任來源數位簽名。簽名的元件接著便可在任一安全性等級載入。未經簽名的元件或來自不信任來源的元件，都會使 Word 根據 \[安全性等級：\] 對話方塊中哪個下列的巨集安全性等級是有效的，來進行回應： - **高：**無法載入增益集和範本元件。 - **中：**警告使用者使用不安全的元件潛在的安全性風險。 - **低：**增益集和範本元件會在沒有使用者介入的情況下載入並執行。 基於這些理由，\[Word：信任所有已安裝的增益集和範本\] 設定在本指南中定義的兩種環境內均設定為 \[停用\]。 **注意：**將 \[Word：信任所有已安裝的增益集和範本\] 設定設定為 \[停用\]，會使 Access 從安全性的觀點，將增益集和範本視為巨集。 [](#mainsection)[回到頁首](#mainsection) ### 系統 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列系統相關的電腦設定： Computer Configuration\\Administrative Templates\\System **\[表 43\] 系統電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
關閉自動播放	尚未設定	尚未設定	啟用 - 所有磁碟機	啟用 - 所有磁碟機

#### 關閉自動播放 **\[表 44\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用 - 所有磁碟機	啟用 - 所有磁碟機

「自動播放」會在您將媒體插入磁碟機時，馬上開始讀取該磁碟機，而使程式或音效媒體的安裝檔馬上開始。攻擊者可利用此功能啟動一個程式來破壞用戶端或電腦上的資料。啟用 \[關閉自動播放\] 設定會關閉「自動播放」功能。卸除式磁碟機 (例如磁片及網路軟碟機) 依預設會停用「自動播放」。不過，這並不適用於光碟機。當啟用此設定時，最佳的辦法就是停用您環境中各電腦上所有磁碟機的「自動播放」功能。 基於這些理由，\[關閉自動播放\] 設定僅在「高安全性」環境中設定為 \[啟用\]。不過，建議您將 \[關閉自動播放\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\]。 **注意：**您無法使用此設定來啟用其預設為停用的電腦磁碟機其「自動播放」功能，例如磁片和網路磁碟機。 [](#mainsection)[回到頁首](#mainsection) ### 系統\\登入 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列登入相關的電腦設定： Computer Configuration\\Administrative Templates\\System\\Logon **\[表 45\] 系統\\電腦登入安全性設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
不要處理舊版的執行清單	尚未設定	尚未設定	啟用	啟用
不要處理只執行一次的清單	尚未設定	尚未設定	啟用	啟用

#### 不要處理舊版的執行清單 **\[表 46\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[不要處理舊版的執行清單\] 設定會使執行清單 (即 Windows XP 在啟動時自動執行的程式清單) 遭到忽略。 **注意：** 若要建立自訂的執行清單，請經由群組原則來使用 \[啟動時執行這些應用程式\] 設定。 Windows XP 自訂的執行清單存在登錄中的下列位置： - **HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run** - **HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Run** 啟用 \[不要處理舊版的執行清單\] 設定會防止惡意使用者在 Windows XP 每次啟動時，執行可能危害電腦上的資料或導致其他傷害的程式。啟用此設定也可防止特定系統程式的執行，例如防毒軟體，以及軟體的散佈和監視軟體。為了確保企業系統軟體在啟動期間仍可執行，請經由群組原則將 \[啟動時執行這些應用程式\] 設定設定為 \[啟用\]。請評估您環境的威脅等級，此設定的設計主在預防在決定出策略之前在組織中使用此設定。 基於這些理由，\[不要處理舊版的執行清單\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\]，而在「高安全性」環境中則設定為 \[啟用\]。 #### 不要處理只執行一次的清單 **\[表 47\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	啟用	啟用

\[不要處理只執行一次的清單\] 設定會使只執行一次清單 (即 Windows XP 在啟動時自動執行的程式清單) 遭到忽略。此設定與 \[不要處理舊版的執行清單\] 的不同之處在於，在此清單上的程式只會在下次用戶端重新開機時執行一次。有時候會將安裝程式加入此清單，以便在用戶端重新開機之後完成安裝過程。 啟用此設定也可防止攻擊者使用只執行一次清單來啟動劣等的應用程式，這是常見的攻擊方法。惡意使用者可利用只執行一次清單來安裝一個可能會危害 Windows XP 用戶端安全性的程式。 **注意：** 自訂的只執行一次清單存在登錄的下列位置：**HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce**。 啟用 \[不要處理只執行一次的清單\] 設定應該只會對您環境中的使用者造成極小的功能損失，尤其是在經由群組原則套用此設定之前，已使用您組織所有的標準軟體設定用戶端的話。 基於這些理由，\[不要處理只執行一次的清單\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\]，而在「高安全性」環境中則設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 系統\\群組原則 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列群組原則相關的電腦設定： Computer Configuration\\Administrative Templates\\System\\Group Policy **\[表 48\] 系統\\群組原則電腦安全性設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
Internet Explorer 維護原則處理	啟用	啟用	啟用	啟用
登錄原則處理	啟用	啟用	啟用	啟用

#### Internet Explorer 維護原則處理 **\[表 49\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[Internet Explorer 維護原則處理\] 設定決定更新 Internet Explorer 維護原則的時機。此設定會影響所有使用群組原則之 Internet Explorer 維護元件的原則，例如位於 Windows Settings\\Internet Explorer Maintenance 下的該些原則。 此設定會覆寫 Internet Explorer 維護原則在安裝之時設定的自訂設定。停用或不設定此設定對系統不會有任何影響。啟用此設定提供您下列選項： - **允許低速連線之間的處理**。 此選項會更新原則，即使更新是經由低速網路連線，例如電話線來傳輸。低速連線之間的更新可能會造成大量的延遲。 - **在定期的幕後處理期間不要套用**。 此選項可防止系統當電腦在使用中時，於幕後更新受影響的原則。幕後更新可能會干擾使用者，而導致程式中止或異常操作，並在特別的情況下破壞資料。 - **即使群組原則物件尚未變更也進行處理**。 此選項會更新及重新套用設定組態，即使它們未經過變更。許多設定規則都會指定只有當規則變更時才進行更新。然而，您可能偶爾會想要更新未變更的設定，或將設定等級重新套用到使用者已經變更的等級。 啟用此設定允許其他設定變更適時的套用到您的工作站。這在當您發現有安全性漏洞需要馬上處理的情況下尤其有用。 基於這些原因，\[Internet Explorer 維護原則處理\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 在啟用此設定之後，請清除 \[允許低速連線之間的處理\] 核取方塊，並接著選取以下選項： - **在定期的幕後處理期間不要套用。** - **即使群組原則物件尚未變更也進行處理。** #### 登錄原則處理 **\[表 50\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[登錄原則處理\] 指出更新登錄原則的時機。此設定會影響 \[系統管理範本\] 資料夾中的所有原則，以及任何其他在登錄中存有值的原則。啟用此設定提供了下列選項： - **在定期的幕後處理期間不要套用。** 此選項可防止系統當電腦在使用中時，於幕後更新受影響的原則。幕後更新可能會干擾使用者，而導致程式中止或不一致的操作，並在特別的情況下破壞資料。 - **即使群組原則物件尚未變更也進行處理。** 此選項會更新及重新套用設定組態，即使它們未經過變更。許多原則實作都會指定只要變更時進行更新。此設定將覆寫由使用者所做的變更，讓設定與您定義的原則保持一致。 部份經由「系統管理範本」設定的設定是在使用者可存取的登錄區域進行的。啟用此設定將覆寫使用者對這些設定的變更。基於這些原因，\[登錄原則處理\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 在啟用 \[登錄原則處理\] 設定之後，請選擇以下兩種選項： - **在定期的幕後處理期間不要套用。** - **即使群組原則物件尚未變更也進行處理。** [](#mainsection)[回到頁首](#mainsection) ### 系統\\遠端協助 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列遠端協助相關的電腦設定： Computer Configuration\\Administrative Templates\\System\\Remote Assistance **\[表 51\] 系統\\遠端協助電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
提供遠端協助	尚未設定	尚未設定	停用	停用
要求遠端協助	尚未設定	尚未設定	停用	停用

#### 提供遠端協助 **\[表 52\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	停用	停用

\[停用遠端協助\] 設定指出支援人員或資訊技術 (IT) 專業系統管理員是否不需要使用者先經由通道、電子郵件或立即訊息明確要求協助，即能對您環境內的電腦提供遠端協助。 **注意：** 專業人員無法不經公佈就連接到電腦，或未經使用者同意就控制該電腦。當專業人員嘗試連線時，使用者仍可選擇拒絕連線 (給予專業人員只能檢視使用者工作站的權限。)使用者必須在 \[提供遠端協助\] 設定設定為 \[啟用\] 後，明確地按下 \[是\] 按鈕以允許專業人員從遠端控制工作站。 啟用此設定提供您下列選項： - **只允許協助人員檢視電腦。** - **允許協助人員從遠端控制電腦。** 當設定此設定時，您還可以指定可能提供遠端協助的使用者或使用者群組 (稱為「協助人員」)。 - **若要設定協助人員清單：** 1. 在 \[提供遠端協助\] 設定組態視窗中，按一下 \[顯示\]。 會開啟一個新視窗，您可以在當中輸入協助人員名稱。 2. 使用下列其中一種格式，將每位使用者或群組加入 \[協助人員\] 清單： - <網域名稱>\\<使用者名稱> - <網域名稱>\\<群組名稱> 停用或未設定 \[提供遠端協助\] 設定可防止使用者或群組對您環境中的電腦，提供未經要求的遠端協助。 基於這些理由，\[提供遠端協助\] 設定在本指南中定義的「企業用戶端」環境內乃設定為 \[尚未設定\]。不過，為了避免任何人跨網路存取 Windows XP 用戶端，此設定在「高安全性」環境中是設定為 \[停用\]。 #### 要求遠端協助 **\[表 53\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
尚未設定	尚未設定	停用	停用

\[要求遠端協助\] 設定指出是否可從您環境中的 Windows XP 電腦要求遠端協助。啟用此設定可讓使用者向 IT 專業系統管理員要求對他們的工作站提供遠端協助。 **注意：** 專業人員無法不經公佈就連接到電腦，或未經使用者同意就控制該電腦。當專業人員嘗試連線時，使用者仍可選擇拒絕連線 (給予專業人員只能檢視使用者工作站的權限。)使用者必須明確的按下 \[是\] 以允許專業人員從遠端控制其工作站。 啟用此設定會提供您下列選項來准許對使用者電腦的遠端控制權： - **允許協助人員從遠端控制電腦。** - **只允許協助人員檢視電腦。** 此外，還提供下列選項來設定使用者協助要求保持有效性的時間量： - **票證時間最大值 (值)：** - **票證時間最大值 (單位)：小時、分鐘或天** 當票證 (協助要求) 到期時，使用者必須傳送另一個要求，這樣專業人員才能連接到電腦。 如果您停用 \[要求遠端協助\] 設定，則使用者將無法傳送協助要求，而且專業人員也無法連接到他們的電腦來回應要求。 若未設定此設定，則使用者可經由「控制台」來設定要求的遠端協助。以下設定預設會經由「控制台」啟用：\[要求的遠端協助\]、\[友人支援\]，以及 \[遠端控制\]。\[票證時間最大值\] 的值預設為 \[30 天\]。 停用此設定可防止任何人跨網路存取 Windows XP 用戶端。基於這些理由，\[要求遠端協助\] 設定在本指南中定義的「企業用戶端」環境內設定為 \[尚未設定\]，而在「高安全性」環境中則設定為 \[停用\]。 [](#mainsection)[回到頁首](#mainsection) ### 系統\\錯誤報告 這些設定控制著作業系統及應用程式錯誤報告的方式。當發生錯誤時，預設會經由快顯對話方塊通知使用者，詢問使用者是否要傳送錯誤報告給 Microsoft。Microsoft 對於在這些報告中收到的資料擁有嚴格的保護原則，不過資料是以純文字傳輸，會造成潛在的安全性風險。 Microsoft 為各公司提供了「企業錯誤報告」工具從本機收集報告，而不用透過網際網路將之寄到 Microsoft。Microsoft 建議在「高安全性」環境中使用「企業錯誤報告」來防止任何與您環境有關的資訊在網際網路上遊蕩。有關此工具的其他資訊都包含在本單元最後的＜其他資訊＞一節。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列錯誤報告相關的電腦設定： Computer Configuration\\Administrative Templates\\System\\Error Reporting **\[表 54\] 系統\\錯誤報告電腦設定**

UI 中的設定名稱	企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
顯示錯誤通知	啟用	啟用	啟用	啟用
報告錯誤	啟用	啟用	啟用	啟用

#### 顯示錯誤通知 **\[表 55\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[顯示錯誤通知\] 設定會控制是否要將錯誤訊息顯示在使用者的電腦螢幕上。啟用此設定允許在發生錯誤的時候傳送錯誤訊息通知，並讓使用者存取其相關細節。停用此設定會阻止使用者檢視錯誤通知。當發生錯誤時，讓使用者知道問題的所在是很重要的。停用 \[顯示錯誤通知\] 設定而會妨礙這個動作的發生。 基於此原因，\[顯示錯誤通知\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 報告錯誤 **\[表 56\] 設定**

企業用戶端桌上型電腦	企業用戶端膝上型電腦	高安全性桌上型電腦	高安全性膝上型電腦
啟用	啟用	啟用	啟用

\[報告錯誤\] 設定會控制是否要報告錯誤。啟用 \[報告錯誤\] 設定會讓使用者選擇是否要在錯誤發生的時候報告。錯誤可經由網際網路或本機企業檔案共用報告給 Microsoft。啟用此設定另外還提供下列選項： - **不顯示 Microsoft 提供的 \[其他資訊\] 網站連結** 選取此選項可確保不會顯示有關錯誤訊息其他資訊的 Microsoft 網站連結。 - **不收集其他檔案** 選取此選項可確保錯誤報告中不回收集並涵蓋其他檔案。 - **不收集其他機器資料** 選取此選項可確保錯誤報告中不會包含關於發生錯誤的電腦之其他資訊。 - **應用程式錯誤強制佇列模式** 選取此選項可防止使用者擁有傳送錯誤報告的選項。相反地，錯誤會安置在佇列目錄中，而由下一個登入到機器上的系統管理員來決定是否要報告該錯誤。 - **公司上載檔案路徑** 選取此選項會指定上載錯誤報告之檔案共用的「通用命名慣例 (UNC)」路徑，並確保「企業錯誤報告」工具已啟用。 - **用下列文字取代 "Microsoft"** 選取此選項可讓您以公司名稱來自訂錯誤報告對話方塊。 停用 \[報告錯誤\] 設定會阻止使用者報告錯誤。如果 \[顯示錯誤通知\] 已啟用，則使用者將會收到錯誤通知，但無法報告。 \[報告錯誤\] 設定可讓您針對組織自訂錯誤報告策略，並收集報告以供本機分析。基於這些理由，此設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 還有，Microsoft 建議在「高安全性」環境中選擇下列設定選項： - **不收集其他檔案** - **不收集其他機器資料** - **應用程式錯誤強制佇列模式** 另外也選擇 \[公司上載檔案路徑\] 的選項，並將您安裝 \[公司錯誤報告\] 的伺服器路徑涵蓋進來。請根據您組織的需要來決定要使用哪些設定選項。 [](#mainsection)[回到頁首](#mainsection) ### 使用者設定 本單元剩下的章節將探討在「群組原則物件編輯器」中的使用者設定下所規定的設定。使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列使用者設定相關的電腦設定： User Configuration\\Administrative Templates 請經由連結至包含使用者帳戶之 OU 的 GPO 來套用這些設定。 **注意：** 使用者設定會套用至任何有使用者登入到 Active Directory 網域的用戶端，而電腦組態設定則會套用至所有在 Active Directory 中由 GPO 管理的用戶端，不管是哪個使用者登入到用戶端。基於此原因，本節的表格只包含針對本指南中定義的「企業用戶端」和「高安全性」環境所建議的設定。這些設定沒有膝上型或桌上型電腦的區別。 [](#mainsection)[回到頁首](#mainsection) ### Internet Explorer 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 Internet Explorer 相關的使用者設定： User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer **\[表 57\] Internet Explorer 使用者設定**

UI 中的設定名稱	企業用戶端	高安全性
瀏覽器功能表\停用「將程式存到磁碟」選項	啟用	啟用
網際網路控制台\停用進階畫面	啟用	啟用
網際網路控制台\停用安全性畫面	啟用	啟用
離線網頁\停用新增頻道	啟用	啟用
離線網頁\停用新增離線網頁排程	啟用	啟用
離線網頁：\停用所有排定的離線網頁	啟用	啟用
離線網頁\完全停用頻道使用者介面	啟用	啟用
離線網頁\停用下載網站訂閱內容	啟用	啟用
離線網頁\停用編輯與建立排程群組	啟用	啟用
離線網頁\停用編輯離線網頁排程	啟用	啟用
離線網頁\停用離線網頁記錄	啟用	啟用
離線網頁\停用移除頻道	啟用	啟用
離線網頁\停用移除離線網頁排程	啟用	啟用
設定 Outlook Express	啟用	啟用
停用變更進階畫面設定	啟用	啟用
停用變更自動組態設定	啟用	啟用
停用變更憑證設定	啟用	啟用
停用變更連線設定	啟用	啟用
停用變更 Proxy 設定	啟用	啟用
停用網際網路連線精靈	啟用	啟用
不允許自動完成儲存密碼	啟用	啟用

#### 瀏覽器功能表\\停用「將程式存到磁碟」選項 **\[表 58\] 設定**

企業用戶端	高安全性
啟用	啟用

\[瀏覽器功能表\\停用「將程式存到磁碟」選項\] 設定可防止使用者儲存 Internet Explorer 下載至硬碟的程式或檔案。啟用此設定會封鎖使用者在嘗試下載程式時，使用 \[將程式存到磁碟\] 命令將程式儲存到磁碟。程式檔案將不會下載，而且會通知使用者該命令無法使用。此設定可防止使用者下載可能有害的內容並將之存到磁碟。 基於這些原因，\[瀏覽器功能表\\停用「將程式存到磁碟」選項\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 網際網路控制台\\停用進階畫面 **\[表 59\] 設定**

企業用戶端	高安全性
啟用	啟用

\[網際網路控制台\\停用進階畫面\] 設定是與其他設定搭配使用，以防止使用者變更經由群組原則所設定的設定。啟用此設定會將 \[進階\] 索引標籤從 Internet Explorer 的 UI 移除。 基於這些原因，\[網際網路控制台\\停用進階畫面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 網際網路控制台\\停用安全性畫面 **\[表 60\] 設定**

企業用戶端	高安全性
啟用	啟用

\[網際網路控制台\\停用安全性畫面\] 設定是與其他設定搭配使用，以防止使用者變更經由群組原則設定的設定。此設定會將 \[安全性\] 索引標籤從 \[網際網路選項\] 對話方塊移除。啟用此原則可防止使用者檢視和變更安全性區域的設定，例如指令碼、下載，以及使用者驗證。Microsoft 建議啟用此設定以防止使用者變更設定，而削弱 Internet Explorer 中的其他安全性設定。 基於這些原因，\[網際網路控制台\\停用安全性畫面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用新增頻道 **\[表 61\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用新增頻道\] 設定可防止使用者新增頻道到 Internet Explorer。頻道是一些根據頻道提供者所指定的排程，在執行 Internet Explorer 的工作站上自動更新的網站。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用新增頻道\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用新增離線網頁排程 **\[表 62\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用新增離線網頁排程\] 設定可防止使用者指定可下載以進行離線檢視的網頁。當使用者讓網頁能離線檢視時，他們可以在電腦未連接到網際網路的情況下檢視當中的內容。 啟用此原則可防止使用者新增下載離線內容的排程，並讓 \[加入我的最愛\] 對話方塊中的 \[設定成可離線瀏覽\] 核取方塊呈現灰色。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用新增離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用所有排定的離線網頁 **\[表 63\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用所有排定的離線網頁\] 設定會停用對下載網頁以進行離線檢視的現有排程。啟用此原則會清除 \[網頁內容\] 對話方塊的 \[排程\] 索引標籤上的排程核取方塊，以防止使用者選取它們。若要顯示此索引標籤，使用者可按一下 \[工具\] 功能表、\[同步處理\]，選擇一個網頁，再按一下 \[內容\] 按鈕及 \[排程\] 索引標籤。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用所有排定的離線網頁\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\完全停用頻道使用者介面 **\[表 64\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\完全停用頻道使用者介面\] 設定可防止使用者檢視「頻道列」介面。頻道是一些根據頻道提供者所指定的排程，在電腦上自動更新的網站。 啟用此設定可防止使用者存取「頻道列」介面，及選取 \[顯示內容\] 對話方塊中 \[網頁\] 索引標籤上的 \[Internet Explorer 頻道列\] 核取方塊。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\完全停用頻道使用者介面\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用下載網站訂閱內容 **\[表 65\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用下載網站訂閱內容\] 設定可防止使用者從網站下載訂閱內容。啟用此設定雖可防止此動作，但是在使用者返回先前存取的網頁時，仍會進行網頁內容的同步處理，以確定是否有任何內容經過更新。 這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用下載網站訂閱內容\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用編輯與建立排程群組 **\[表 66\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用編輯與建立排程群組\] 設定可防止使用者新增、編輯或移除離線檢視使用者訂閱之網頁的排程。訂閱群組是我的最愛網頁加上與之連結的各個網頁。啟用此原則會使網頁的 \[內容\] 對話方塊中的 \[排程\] 索引標籤上的 \[新增\]、\[移除\] 和 \[編輯\] 按鈕變成灰色。 若要顯示此索引標籤，使用者可在 Internet Explorer 的主功能表上，按一下 \[工具\] 功能表、\[同步處理\]，選擇一個網頁，按一下 \[內容\] 按鈕，再按 \[排程\] 索引標籤。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用編輯與建立排程群組\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用編輯離線網頁排程 **\[表 67\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用編輯離線網頁排程\] 設定可防止使用者編輯對下載網頁以進行離線檢視的現有排程。啟用此原則可防止使用者顯示已設定為離線檢視之網頁的排程內容。 當使用者在 Internet Explorer 的主功能表上，按一下 \[工具\] 功能表、\[同步處理\]，選擇一個網頁，按一下 \[內容\] 按鈕時，並不會顯示任何內容。使用者不會收到警告指出該命令無法使用。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用編輯離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用離線網頁記錄 **\[表 68\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用離線網頁記錄\] 設定可防止頻道提供者記錄由離線工作的使用者檢視其頻道網頁的頻率。這是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用離線網頁記錄\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用移除頻道 **\[表 69\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用移除頻道\] 設定可防止使用者停用 Internet Explorer 中的頻道同步處理。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用移除頻道\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 離線網頁\\停用移除離線網頁排程 **\[表 70\] 設定**

企業用戶端	高安全性
啟用	啟用

\[離線網頁\\停用移除離線網頁排程\] 設定可防止使用者清除網頁預先設定的設定，以進行下載供離線檢視。啟用此設定會保護預先設定的網頁設定，並且是可防止 Internet Explorer 自動下載內容的幾個設定中的一個。最佳的辦法是在使用者直接從電腦提出要求時，只允許一台電腦從網際網路下載網頁。 基於這些原因，\[離線網頁\\停用移除離線網頁排程\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 設定 Outlook Express **\[表 71\] 設定**

企業用戶端	高安全性
啟用	啟用

\[設定 Outlook Express\] 設定允許系統管理員啟用及停用 Microsoft Outlook Express 使用者儲存或開啟可能含有病毒之附件的能力。選取此設定的封鎖附件選項可防止使用者開啟或儲存可能包含病毒的電子郵件附件。使用者無法停用 \[設定 Outlook Express\] 設定來停止封鎖附件。若要強制使用此設定，按一下 \[啟用\]，並選取 \[封鎖可能包含病毒的附件\]。 基於這些原因，\[設定 Outlook Express\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\] 加上 \[封鎖可能包含病毒的附件\]。 #### 停用變更進階畫面設定 **\[表 72\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用變更進階畫面設定\] 的設定可防止使用者變更 Internet Explorer \[網際網路選項\] 對話方塊內的 \[進階\] 索引標籤。啟用此設定可防止使用者變更與瀏覽器中的安全性、多媒體和列印相關的進階設定。使用者無法選取或清除 \[網際網路選項\] 對話方塊的 \[進階\] 索引標籤上這些選項的核取方塊。如此可防止使用者變更經由群組原則設定的設定。 基於這些原因，\[停用變更進階畫面設定\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 **注意：** 如果您已設定 \[停用進階畫面\] 設定 (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，就不需要設定此設定，因為啟用 \[停用進階畫面\] 設定會將 \[進階\] 索引標籤從 \[網際網路選項\] 對話方塊中移除。 #### 停用變更自動組態設定 **\[表 73\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用變更自動組態設定\] 的設定可防止使用者變更自動設定的設定。系統管理員可使用自動設定定期更新瀏覽器設定。啟用此設定會使 Internet Explorer 中的自動組態設定變成灰色。這些設定位於 \[LAN 設定\] 對話方塊的 \[自動設定\] 區域。此設定可防止使用者變更經由群組原則設定的設定。 - **若要檢視 \[LAN 設定\] 對話方塊：** 1. 開啟 \[網際網路選項\] 對話方塊，並按一下 \[連線\] 索引標籤。 2. 按一下 \[LAN 設定\] 按鈕以檢視設定。 基於這些原因，\[停用變更自動組態設定\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 **注意：** 設定 \[停用連線畫面\] 設定 (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，會將 \[連線\] 索引標籤自 \[控制台\] 中的 Internet Explorer 移除，因為此設定比 \[停用變更自動組態設定\] 還優先。若前者的設定已啟用，則會忽略後者的設定。 #### 停用變更憑證設定 **\[表 74\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用變更憑證設定\] 的設定可防止使用者變更 Internet Explorer 中的憑證設定。憑證是用來確認軟體發行者的身分識別。啟用此設定會使 \[網際網路選項\] 對話方塊中 \[內容\] 索引標籤的 \[憑證\] 區域內的這些設定變成灰色。此設定可防止使用者變更經由群組原則設定的設定。 基於這些原因，\[停用變更憑證設定\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 **注意：**當啟用此設定時，使用者仍可按兩下軟體發行憑證 (.spc) 檔案來執行「憑證管理員匯入精靈」。此精靈可讓使用者匯入並設定在 Internet Explorer 中尚未設定之軟體發行者的憑證設定。 **注意：** 設定 \[停用內容畫面\] 設定 (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，會將 \[內容\] 索引標籤自 \[控制台\] 中的 Internet Explorer 移除，因為此設定比 \[停用變更憑證設定\] 還優先。若前者的設定已啟用，則會忽略後者的設定。 #### 停用變更連線設定 **\[表 75\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用變更連線設定\] 的設定可防止使用者變更撥接設定。啟用此原則會使 \[網際網路選向\] 對話方塊中 \[連線\] 索引標籤上的 \[設定\] 按鈕變成灰色。此設定可防止使用者變更經由群組原則設定的設定。您可能會想要為膝上型使用者停用此設定，如果他們在出差的時候需要變更連線設定的話。 基於這些原因，\[停用變更連線設定\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 **注意：** 如果您已設定 \[停用連線畫面\] (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，就不需要設定此設定，因為它會將 \[連線\] 索引標籤自介面移除。 #### 停用變更 Proxy 設定 **\[表 76\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用變更 Proxy 設定\] 的設定可防止使用者變更 Proxy 設定。啟用此設定會使 Proxy 設定變成灰色。這些設定位於 \[LAN 設定\] 對話方塊的 \[Proxy 伺服器\] 區域，這會在使用者按下 \[連線\] 索引標籤及 \[網際網路選項\] 對話方塊中的 \[LAN 設定\] 按鈕時出現。此設定可防止使用者變更經由群組原則設定的設定。您可能會想要為膝上型使用者停用此設定，如果他們在出差的時候需要變更連線設定的話。 基於這些原因，\[停用變更 Proxy 設定\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 **注意：** 如果您已設定 \[停用連線畫面\] (位於 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer\\Internet Control Panel)，就不需要設定此設定，因為它會將 \[連線\] 索引標籤自介面移除。 #### 停用網際網路連線精靈 **\[表 77\] 設定**

企業用戶端	高安全性
啟用	啟用

\[停用網際網路連線精靈\] 的設定可防止使用者執行「網際網路連線精靈」。啟用此原則會使 \[網際網路選向\] 對話方塊中 \[連線\] 索引標籤上的 \[安裝\] 按鈕變成灰色。此設定可防止使用者變更經由群組原則設定的設定。您可能會想要為膝上型使用者停用此設定，如果他們在出差的時候需要變更連線設定的話。 啟用此設定可防止使用者透過按下桌面的 \[連線到網際網路\] 圖示，或透過按下 \[開始\]，指向 \[程式集\]，接著 \[附屬應用程式\]、\[通訊\]，然後按下 \[網際網路連線精靈\] 來執行精靈。 基於這些原因，\[停用網際網路連線精靈\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 #### 不允許自動完成儲存密碼 **\[表 78\] 設定**

企業用戶端	高安全性
啟用	啟用

\[不允許自動完成儲存密碼\] 設定會停用在網頁上的表單內使用者名稱及密碼的自動完成功能，並防止提示使用者儲存密碼。啟用此設定會使 \[表單上的使用者名稱和密碼\] 和 \[提示我儲存密碼\] 的核取方塊變成灰色，並防止使用者將密碼存在本機上。若要顯示這些核取方塊，使用者可以開啟 \[網際網路選項\] 對話方塊，按一下 \[內容\] 索引標籤，再按 \[自動完成\] 按鈕。 基於這些原因，\[不允許自動完成儲存密碼\] 設定在本指南中定義的兩種環境裡均設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### Windows 檔案總管 Windows 檔案總管是用來瀏覽執行 Windows XP Professional 的用戶端上的檔案系統。 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列 Windows 檔案總管相關的使用者設定： User Configuration\\Administrative Templates\\Windows Components\\Windows Explorer **\[表 79\] Windows 檔案總管使用者設定**

UI 中的設定名稱	企業用戶端	高安全性
移除 CD 燒錄功能	尚未設定	啟用
移除 [安全性] 索引標籤	尚未設定	啟用

#### 移除 CD 燒錄功能 **\[表 80\] 設定**

企業用戶端	高安全性
尚未設定	啟用

\[移除 CD 燒錄功能\] 設定會移除 Windows XP 中用於 Windows 檔案總管的內建 CD 燒錄功能。Windows XP 允許您在有讀/寫 CD 磁碟機連線到電腦的情況下，建立及修改可重複寫入的 CD。此功能可用來將硬碟上大量的資料複製到 CD。該 CD 接著可從電腦移除。 基於這些理由，\[移除 CD 燒錄功能\] 設定在本指南中定義的「企業用戶端」環境乃設定為 \[尚未設定\]。不過，此設定在「高安全性」環境中會設定為 \[啟用\]。 **注意：** 此設定並不會阻止協力廠商應用程式使用光碟燒錄機建立或修改 CD。本指南建議使用軟體限制原則來封鎖協力廠商應用程式建立或修改 CD。詳細資訊，請參閱單元＜ Windows XP 用戶端的軟體限制原則＞單元。 另外一種防止使用者燒錄 CD 的方法，就是將光碟燒錄機從您環境中的用戶端移除，並將之取代為唯讀的 CD 磁碟機，或全部一起移除。 #### 移除 \[安全性\] 索引標籤 **\[表 81\] 設定**

企業用戶端	高安全性
尚未設定	啟用

\[移除 \[安全性\] 索引標籤\] 設定會停用 Windows 檔案總管中檔案和資料夾內容對話方塊上的 \[安全性\] 索引標籤。啟用此設定可防止使用者在開啟所有檔案系統物件 (包括資料夾、檔案、捷徑和磁碟機) 的 \[內容\] 對話方塊後，存取 \[安全性\] 索引標籤。這可防止使用者變更 \[安全性\] 索引標籤下的設定，或在存取內容對話方塊之後檢視使用者清單。 基於這些理由，\[移除 \[安全性\] 索引標籤\] 設定在本指南中定義的「企業用戶端」環境內乃設定為 \[尚未設定\]。不過，此設定在「高安全性」環境中會設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 系統 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列系統相關的使用者設定： User Configuration\\Administrative Templates\\System **\[表 82\] 系統使用者設定**

UI 中的設定名稱	企業用戶端	高安全性
禁止存取登錄編輯工具	尚未設定	啟用

#### 禁止存取登錄編輯工具 **\[表 83\] 設定**

企業用戶端	高安全性
尚未設定	啟用

\[禁止存取登錄編輯工具\] 設定會停用 Windows 登錄編輯器 Regedit.exe 和 Regedit32.exe。啟用此設定會在使用者嘗試啟動登錄編輯器時顯示訊息，通知使用者無法使用任何編輯器。此設定可防止使用者或入侵者使用這些工具存取登錄，但無法防止存取登錄本身。 基於這些理由，\[禁止存取登錄編輯工具\] 設定在本指南中定義的「企業用戶端」環境內乃設定為 \[尚未設定\]。不過，此設定在「高安全性」環境中會設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 系統\\電源管理 使用「群組原則物件編輯器」在系統管理範本的以下位置，設定與下列系統\\電源管理相關的使用者設定： User Configuration\\Administrative Templates\\System\\Power Management **\[表 84\] 系統\\電源管理使用者設定**

UI 中的設定名稱	企業用戶端	高安全性
中止休眠/暫停狀態並恢復執行時必須輸入密碼	啟用	啟用

#### 中止休眠/暫停狀態並恢復執行時必須輸入密碼 **\[表 85\] 設定**

企業用戶端	高安全性
啟用	啟用

\[中止休眠/暫停狀態並恢復執行時必須輸入密碼\] 設定會控制您環境中的用戶端是否會在它們從休眠或暫停狀態恢復的時候鎖定。啟用此設定會在用戶端從休眠或暫停狀態恢復操作時加以鎖定。使用者必須輸入他們的密碼來解除鎖定用戶端。停用或不設定此設定會產生嚴重的安全性破壞，因為用戶端可能會在恢復操作後被任何人存取。 基於此原因，建議您將 \[中止休眠/暫停狀態並恢復執行時必須輸入密碼\] 設定在本指南中定義的兩種環境內均設定為 \[啟用\]。 [](#mainsection)[回到頁首](#mainsection) ### 總結 本單元涵蓋了附隨在 Windows XP 和 Microsoft Office XP Resource Kit 的系統管理範本中許多相當重要的安全性設定，讓您用來保障您組織內執行 Windows XP 的桌上型和膝上型電腦的安全。當為您的組織考量安全性原則時，謹記安全性和使用者產能之間的折衷辦法是很重要的。最終的目標是要透過安全性的電腦經驗來保護您的使用者對抗惡意程式和病毒，讓他們能夠完全地執行他們的工作，不致因過度限制的安全性設定而百受挫折。 [](#mainsection)[回到頁首](#mainsection) ### 其他資訊 下列資訊來源是本指南發行當時，與 Windows XP 用戶端的系統管理範本密切相關的最新主題。 如需 Windows XP 和 Windows Server 2003 中提供的所有系統管理員範本群組原則設定的完整清單，請下載「原則設定」活頁簿： [https://microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en](https://microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en)。 有關 Microsoft Office XP 系統管理員範本的詳細資訊，請參閱： [https://www.microsoft.com/office/ork/xp/two/admb03.htm\#admb03\_2](https://www.microsoft.com/office/ork/xp/two/admb03.htm)。 有關建立您自己的系統管理範本的資訊，請參閱白皮書《Implementing Registry-Based Group Policy (英文)》：