保障獨立 Windows XP 用戶端的安全

Overview

發佈日期: 2003 年 5 月 22 日|更新日期: 2006 年 4 月 13 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
在 Windows NT 4.0 網域中的 Windows XP
本機群組原則物件設定
匯入安全性範本到 Windows XP 中
總結
其他資訊

本單元內容

管理執行 Microsoft® Windows® XP Professional、但又不屬於 Microsoft Active Directory® 目錄服務網域的電腦,是一項頗具難度的挑戰。此單元將探討如何有效地套用和管理本指南前幾個單元所建議的設定。推薦的設定值可以確保在 貴組織中執行 Windows XP Professional 之桌上型電腦和膝上型電腦用戶端等的安全。原則適用於所有登入到用戶端的使用者,包括本機系統管理員。此處並不涵蓋所有在 Windows XP 中可用的設定。但是,推薦的設定可以防範絕大多數已知的潛在威脅,以提供安全的作業環境,讓使用者在電腦上能夠進行正常工作。採用的設定應該以您的組織安全性目標為主。

針對有部份電腦無法加入 Active Directory 網域的組織,此單元將說明如何有效執行前幾個單元所建議的因應對策。

目標

透過此單元即可:

  • 設定 Windows XP 用戶端,以允許與 Microsoft Windows NT® 4.0 網域控制站進行通訊

  • 設定本機群組原則中的個別設定

  • 匯入並套用安全性範本,以設定本機群組原則中的多項設定

  • 使用 Secedit.exe 來匯入並套用安全性範本

  • 使用提供的自動化指令檔來套用安全性範本


適用於

本單元適用於下列產品及技術:

  • 在 Windows NT 4.0 網域中的 Windows XP Professional Service Pack (SP) 1 用戶端,其中 Windows NT 4.0 網域控制站已經安裝 SP 6.0a

  • 獨立 Windows XP Professional SP1 用戶端


如何使用本單元

此單元將探討如何針對不屬於 Active Directory 網域的 Windows XP SP1 用戶端,有效地套用和管理本指南前幾個單元所建議的設定。

若要充分瞭解此單元:


在 Windows NT 4.0 網域中的 Windows XP

在舊版 Windows NT® 4.0 網域中的 Windows XP 用戶端,就是屬於非 Active Directory 網域環境的用戶端。在此環境中,Windows XP 用戶端均視為獨立的電腦。由於如此的環境並沒有管理安全性設定的中央位置,所以管理負荷會比較高。我們建議以 Windows NT 4.0 為基礎的網域控制站,要安裝 Service Pack 6a (SP6a) 以及所有最新的修補程式。Windows NT 4.0 SP6a 含有多項針對 NT LanManager (NTLM) 驗證的修正。如果沒有安裝這些修正程式,在 Windows NT 4.0 網域中執行 Windows XP 的電腦可能會發生網域或網路的連結和通訊問題。系統管理員必須經常查詢是否有新的更新檔案與修補程式。

Windows XP Professional 比先前的 Windows 版本新增了更多的「本機電腦原則」設定,如此可以讓您更容易自訂使用者與電腦設定。Windows XP Professional 中,除了 Windows 2000 Professional 原有的設定,另外新增了數百個設定。此威力強大的管理功能,可以讓您確保桌上型電腦的穩定性,且可以根據不同的自訂狀況,微調設定。Windows XP 用戶端的安全性,會直接受到所屬網域的安全性而影響。在舊版環境中的 Windows XP 用戶端要使用<Windows XP 用戶端的安全性設定>單元中、修改過之安全性範本的版本,以確保用戶端可以和 Windows NT 4.0 網域控制站通訊。這些設定需要使用本指南結尾所描述的指令檔套用。

為了要與 Windows NT 4.0 網域控制站通訊,下列設定已經過修改:在 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項] 中:

網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 - 停用

本指南結尾所使用的舊版資訊檔案會採用此預設值。

本機群組原則物件設定

每一個 Windows XP Professional 作業系統都會有一項本機群組原則物件 (GPO)。這些設定可以透過「群組原則物件編輯器」或指令檔,套用到「本機群組原則物件」。「本機群組原則」物件比網域為基礎的 GPO 含有更少的設定,差別主要在於 [安全性設定] 中。設定為獨立用戶端時,「本機群組原則物件 (LGPO)」並不支援「資料夾重新導向」、「遠端安裝服務」或「群組原則軟體安裝」。本機原則可以在獨立用戶端上提供安全的作業環境。

下列表格顯示當「群組原則」嵌入式管理單元焦點放在某 LGPO 時,有哪些「群組原則」嵌入式管理單元延伸會開啟。

[表 1] 群組原則嵌入式管理單元延伸

群組原則嵌入式管理單元延伸

在 LGPO 中是否可用

軟體安裝

指令檔

安全性設定

系統管理範本

資料夾重新導向

Internet Explorer 維護

遠端安裝服務

帳戶原則

帳戶原則包含「密碼原則」、「帳戶鎖定原則」以及「Kerberos 原則」等設定。「密碼原則」適用於需要複雜且經常更換的密碼制度,以保障大多數環境的安全。「帳戶鎖定原則」提供追蹤嘗試登入環境失敗事件的功能。此資訊可以用於在需要的時候,將帳戶鎖定。Kerberos 原則用於網域使用者帳戶。其中會決定與 Kerberos 相關的設定,例如使用者票證最長存留期以及強制執行使用者登入限制等設定。然而,這些設定不會用於獨立用戶端,因為該用戶端並不屬於網域的成員。

一般而言,「帳戶原則」都是在網域階層設定,所以通常會採用網域用戶端的設定。針對獨立 XP 用戶端,這些設定必須在本機階層套用,基本上會採用如<設定 Active Directory 網域基礎結構>中所述的設定。

本機原則

位於 [電腦設定\Windows 設定\安全性設定] 中的本機原則,會套用至使用本指南的<Windows XP 用戶端的安全性設定>單元所述範本的用戶端。使用這些範本以及針對獨立用戶端所建立的範本,即可透過指令檔進行自動化,套用至環境中的多部電腦。下一個段落將說明建立和部署原則的程序。

匯入安全性範本到 Windows XP 中

透過指令檔設定獨立用戶端所使用的範本有數個,視用戶端的安全性需求而定。我們之前已經討論過本機原則的設定以及「群組原則物件編輯器」的使用方法。使用所提供的範本,即可自動化多部用戶端的設定程序,無論它們是否有連線到網路或處於獨立環境。此段落將解釋如何自動化安全性原則的設定程序。

設定

安全性範本是含有安全性設定的檔案。安全性範本可以套用到本機電腦上,方法是將其匯入到「本機群組原則」物件。由於範本已經在<Windows XP 用戶端的安全性設定>單元建立,這些範本將用來設定本機原則。系統管理員將使用 Microsoft Management Console (MMC) 嵌入式管理單元在安全性設定及分析的進行和安全性範本的運用,並透過 secedit.exe 建立帳戶原則以及合併上述兩者,為獨立電腦設定原則。

建立安全性資料庫

若要在獨立用戶端上自動化安全性設定的匯入程序,就必須建立用於寫入本機安全性原則的參照資料庫。基準資料庫是使用「安全性設定及分析 MMC」嵌入式管理單元建立的。用於建立 XP 預設 Security.sdb 資料庫的步驟如下。該資料庫使用安裝程式的 security.inf 做為範本,以建立獨立用戶端的預設設定。

  • 若要建立新的預設安全性資料庫

    1. 從 [開始] 功能表,按一下 [執行],鍵入「mmc」,然後按一下 [確定]。

    2. 在 [檔案] 功能表上,按一下 [新增],以建立新的主控台。

    3. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後在 [新增/移除嵌入式管理單元] 內容方塊的 [獨立] 標籤中,按一下 [新增]。

    4. 選取 [安全性設定及分析],按一下 [新增],按一下 [關閉],然後按一下 [確定]。

    5. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵,然後按一下 [開啟資料庫]。

    6. 鍵入新的資料庫名稱 (XP 預設安全性),然後按一下 [開啟]。

    7. 選取要匯入的安全性範本 (安裝程式的 security.inf),然後按一下 [開啟]。

    8. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵,然後按一下 [立即設定電腦]。

    9. 在 [設定系統] 對話方塊中鍵入您要檢視的記錄檔名稱,然後按一下 [確定]。

此程序會建立具預設安全性設定的資料庫檔案,以用於自動化程序。將安全性資料庫複製到含有指令檔和資訊檔案的資料夾。使用的自訂指令檔可以用來設定資料庫,進而設定本機安全性原則。系統管理員可以使用類似的步驟,來建立自己的資料庫,以取代本指南所提供的資料庫。

建立自訂範本

「安全性範本」管理工具中的範本,會定義範本中的安全性設定。這些範本可以套用到本機電腦。下列是建立 SA 企業 XP Account.inf 以及 SA 高安全性 XP Account.inf 範本的步驟,其中的設定採用<設定 Active Directory 網域基礎結構>單元中的「帳戶原則」表格內容。

  • 若要建立自訂範本

    1. 從 [開始] 功能表,按一下 [執行],鍵入「mmc」,然後按一下 [確定]。

    2. 在 [檔案] 功能表上,按一下 [新增],以建立新的主控台。

    3. 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元],然後在 [新增/移除嵌入式管理單元] 內容方塊的 [獨立] 標籤中,按一下 [新增]。

    4. 按一下 [安全性範本],按一下 [新增],按一下 [關閉],然後按一下 [確定]。

    5. 開啟安全性範本。

    6. 選取要儲存新範本的預設資料夾,然後按一下 [新增範本]。

    7. 在 [範本名稱] 文字方塊中,鍵入新安全性範本的名稱。

    8. 在 [描述] 文字方塊中,鍵入新安全性範本的描述,然後按一下 [確定]。

    9. 在主控台樹狀目錄中的新安全性範本上連按兩下,以顯示安全性區域並向下瀏覽,直到您要組態的安全性設定出現在詳細資料窗格中。

    10. 在詳細資料窗格中、您要設定的安全性設定上,按一下滑鼠右鍵,然後按一下 [內容]。

    11. 在 [內容] 對話方塊中,選取 [定義範本內的這個原則設定] 核取方塊,編輯設定,然後按一下 [確定]。

所建立的檔案可以在 %windir%\security\templates 目錄中找到。將安全性範本複製到建立安全性資料庫的資料夾中,以執行指令檔。這些檔案會在下一個階段,自動化匯入範本時使用。

套用原則

您可以透過命令提示字元呼叫 secedit.exe 工具,無論是使用批次檔案或自動工作排程器,即可自動建立和套用範本。您也可以透過命令提示字元,動態地執行。secedit.exe 工具適用於需要同時組態多部電腦的安全性設定。本指南所提供的指令檔,會使用 secedit.exe 公用程式來合併與套用本機原則到用戶端上。

手動套用本機原則

若要套用本指南包含之獨立安全性範本的 .inf 檔案中的所有安全性設定,就必須使用「安全性設定及分析」嵌入式管理單元,而非「本機電腦原則」嵌入式管理單元。您無法使用「本機電腦原則」嵌入式管理單元來匯入安全性範本,因為「系統服務」的安全性設定無法透過此嵌入式管理單元套用。

下列程序詳細說明使用「安全性設定及分析」嵌入式管理單元匯入與套用安全性範本的程序。

  • 若要匯入安全性範本

    1. 啟動「安全性設定及分析」嵌入式管理單元。

    2. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵。

    3. 按一下 [開啟資料庫]。

    4. 鍵入新的資料庫名稱,然後按一下 [開啟]。

    5. 選取要匯入的安全性範本 (.inf 檔案),然後按一下 [開啟]。

所有的安全性範本設定就會匯入,且可以針對各項進行檢閱或套用。

  • 若要套用安全性設定

    1. 在 [安全性設定及分析] 領域項目上按一下滑鼠右鍵。

    2. 選取 [立即設定電腦]。

    3. 在 [立即設定電腦] 對話方塊中鍵入您要檢視的記錄檔名稱,然後按一下 [確定]。

您需要為每一個環境匯入兩種範本。適用的安全性範本設定會套用到用戶端的本機原則。接下來的區段將說明透過本機原則套用的安全性設定。

Secedit

藉由比較目前的設定與一個或以上的範本,進行設定及分析系統安全性。

語法

secedit /configure /db 檔案名稱 [/cfg 檔案名稱 ] [/overwrite][/areas 區域1 區域2 ...][/log 檔案名稱] [/quiet]

參數

/db 檔案名稱

指定用於執行安全性設定的資料庫。

/cfg 檔案名稱

指定在設定電腦之前,要匯入資料庫的安全性範本。安全性範本均使用「安全性範本」嵌入式管理單元建立。

/overwrite

指定在匯入安全性範本之前,需要先清空資料庫。如果沒有指定此參數,安全性範本中的設定就會累積到資料庫中。如果沒有指定此參數,而且資料庫與匯入之範本中的設定有衝突,就會採用範本中的設定。

/areas 區域1 區域2

This specifies the security areas to be applied to the system.如果沒有指定此參數,就會將資料庫中所定義的設定套用至系統。若要設定多重區域,請以空格分隔各項。下列表格顯示支援的安全性區域。

[表 2] 安全性區域

區域名稱

說明

SECURITYPOLICY

包括帳戶原則、稽核原則、事件日誌設定以及安全性選項。

GROUP_MGMT

包括受限群組設定。

USER_RIGHTS

包括使用者權限指派

REGKEYS

包括登錄使用權限。

FILESTORE

包括檔案系統使用權限。

SERVICES

包括系統服務設定。


/log 檔案名稱

指定可在其中記錄設定程序狀態的檔案。如果沒有指定,匯出程序的資訊會被記錄在 %windir%\security\logs 目錄中的 scesrv.log 檔案。

/quiet

指定不需提示使用者進行確認,設定程序就可以直接執行。

自動化指令檔

如果要套用相同的設定到多部用戶端上,最簡單的方法是使用指令檔。透過先前說明的 secedit 工具,即可使用簡單的指令檔,自動化套用本機原則的程序。將指令檔與相關的檔案複製到本機硬碟的子目錄中,然後從該目錄中為用戶端執行指令檔即可。

下列是用於匯入範本到「本機群組原則」物件的指令檔之一。一共有四個指令檔,各適用於每一種用戶端。以下乃用於<保障獨立 Windows XP 用戶端的安全>的指令檔。


REM (c) Microsoft Corporation 1997-2003

REM 保障獨立 Windows XP 之安全的指令檔
REM
REM 名稱:SA 企業 XP 用戶端 - Desktop.CMD
REM 版本:     1.0

REM 此 CMD 檔案提供正確的 secedit.exe 語法,用於匯入 
REM 安全性原則到安全的獨立 Windows XP 用戶端。 
REM 使用此 CMD 檔案之前,請先詳細閱讀整個指南。

REM 將原則重設為預設值
Secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

REM 組態帳戶設定
secedit.exe /configure /db "XP Default Security.sdb" /cfg
"SA 企業 XP Account.inf" /overwrite /quiet

REM 組態安全性設定
secedit.exe /configure /db "XP Default Security.sdb"
/cfg "企業用戶端 - Desktop.inf"

REM 刪除共用資料夾
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\
NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f

REM 更新本機原則
gpupdate.exe /force


下列表格含有本指南隨附之指令碼和相關檔案的清單。每一個環境都有一組適用的指令檔和檔案,區分為桌上型電腦與膝上型電腦用戶端。

[表 3] 指令檔和檔案

獨立指令檔和檔案

說明

SA 企業 XP 用戶端 - Desktop.cmd

用於設定桌上型電腦用戶端之企業原則的獨立指令檔。

SA 企業 XP 用戶端 - Laptop.cmd

用於設定膝上型電腦用戶端之企業原則的獨立指令檔。

SA XP 高安全性用戶端 - Desktop.cmd

用於設定桌上型電腦用戶端之高安全性原則的獨立指令檔。

SA XP 高安全性用戶端 - Laptop.cmd

用於設定膝上型電腦用戶端之高安全性原則的獨立指令檔。

SA 企業 Account.inf

企業帳戶原則範本。

SA 高安全性 Account.inf

高安全性帳戶原則範本。

企業用戶端 - Desktop.inf

桌上型電腦用戶端的企業安全性範本。

企業用戶端 - Laptop.inf

膝上型電腦用戶端的企業安全性範本。

高安全性 - Desktop.inf

桌上型電腦用戶端的高安全性範本。

高安全性 - Laptop.inf

膝上型電腦用戶端的高安全性範本。

XP 預設 Security.sdb

預設原則資料庫。

舊版的企業 XP 用戶端 - Desktop.cmd

用於設定桌上型電腦用戶端之企業原則的舊版指令檔。

舊版企業 XP 用戶端 - Laptop.cmd

用於設定膝上型電腦用戶端之企業原則的舊版指令檔。

舊版 XP 高安全性用戶端 - Desktop.cmd

用於設定桌上型電腦用戶端之高安全性原則的舊版指令檔。

舊版 XP 高安全性用戶端 - Laptop.cmd

用於設定膝上型電腦用戶端之高安全性原則的舊版指令檔。

舊版的企業 Account.inf

舊版的企業帳戶原則範本。

舊版的高安全性 Account.inf

舊版的高安全性帳戶原則範本。

舊版的企業用戶端 - Desktop.inf

桌上型電腦用戶端的舊版企業安全性範本。

舊版的企業用戶端 - Laptop.inf

膝上型電腦用戶端的舊版企業安全性範本。

舊版的高安全性 - Desktop.inf

桌上型電腦用戶端的舊版高安全性範本。

舊版的高安全性 - Laptop.inf

膝上型電腦用戶端的舊版高安全性範本。

XP 預設 Security.sdb

預設原則資料庫。
注意: 請確定資料庫有寫入權限。不能設定為「唯讀」。


總結

Windows XP 本機原則可以便捷地為您的 Windows XP 作業系統提供一致的安全性設定。若要有效進行部署,請確定您瞭解本機原則的套用方式,並確定所有的用戶端都採用適用的設定,而且您已經為環境中的每一部用戶端定義適合的安全性設定。

其他資訊

下列資訊來源是本指南公開發行當時,與保障 Windows XP Professional 安全性相關的最新主題。

有關「安全性設定管理員」的詳細資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/scm_analyze.asp

有關「群組原則」的詳細資訊,請參閱:http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp

有關在 Windows 2000 中,針對「群組原則」進行疑難排解的詳細資訊,請參閱:http://www.microsoft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp

有關如何針對「群組原則」應用程式的問題進行疑難排解,請參閱下列微軟知識庫文件 250842《Troubleshooting Group Policy Application Problems (英文)》:http://support.microsoft.com/default.aspx?scid=250842

有關安全性工具與檢查清單的詳細資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools.asp

有關「保障執行 Windows XP Professional 之筆記型電腦的安全」的詳細資訊,請參閱:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/evaluate/prfeatgd.asp

有關如何在 Active Directory 以及 SYSVOL 中識別 GPO,請參閱下列微軟知識庫文件 216359《HOW TO:識別 Active Directory 和 SYSVOL 中的群組原則物件》:http://support.microsoft.com/default.aspx?scid=216359

有關「Windows XP 的系統管理範本」的詳細資訊,請參閱下列 TechNet 指引《The role of Administrative Templates (英文)》:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/ADMinAD.asp


顯示: