保障獨立 Windows XP 用戶端的安全
Overview
發佈日期: 2003 年 5 月 22 日|更新日期: 2006 年 4 月 13 日
本頁內容
本單元內容
目標
適用於
如何使用本單元
在 Windows NT 4.0 網域中的 Windows XP
本機群組原則物件設定
匯入安全性範本到 Windows XP 中
總結
其他資訊
本單元內容
管理執行 Microsoft® Windows® XP Professional、但又不屬於 Microsoft Active Directory® 目錄服務網域的電腦,是一項頗具難度的挑戰。此單元將探討如何有效地套用和管理本指南前幾個單元所建議的設定。推薦的設定值可以確保在 貴組織中執行 Windows XP Professional 之桌上型電腦和膝上型電腦用戶端等的安全。原則適用於所有登入到用戶端的使用者,包括本機系統管理員。此處並不涵蓋所有在 Windows XP 中可用的設定。但是,推薦的設定可以防範絕大多數已知的潛在威脅,以提供安全的作業環境,讓使用者在電腦上能夠進行正常工作。採用的設定應該以您的組織安全性目標為主。
針對有部份電腦無法加入 Active Directory 網域的組織,此單元將說明如何有效執行前幾個單元所建議的因應對策。
目標
透過此單元即可:
設定 Windows XP 用戶端,以允許與 Microsoft Windows NT® 4.0 網域控制站進行通訊
設定本機群組原則中的個別設定
匯入並套用安全性範本,以設定本機群組原則中的多項設定
使用 Secedit.exe 來匯入並套用安全性範本
使用提供的自動化指令檔來套用安全性範本
適用於
本單元適用於下列產品及技術:
在 Windows NT 4.0 網域中的 Windows XP Professional Service Pack (SP) 1 用戶端,其中 Windows NT 4.0 網域控制站已經安裝 SP 6.0a
獨立 Windows XP Professional SP1 用戶端
如何使用本單元
此單元將探討如何針對不屬於 Active Directory 網域的 Windows XP SP1 用戶端,有效地套用和管理本指南前幾個單元所建議的設定。
若要充分瞭解此單元:
請參閱<介紹 Windows XP 安全性指南>單元。當中定義了本單元中所參考的「企業用戶端」環境以及「高安全性」環境。
請參閱<設定 Active Directory 網域基礎結構>單元。當中說明了如何管理系統管理範本
請參閱<Windows XP 用戶端的安全性設定>單元。這將讓您進一步瞭解所管理的安全性設定。
使用檢查清單。<檢查清單 - 保障獨立 Windows XP 用戶端的安全>提供一個可列印的功能,以供快速參考。利用該工作檢查清單,即可迅速評估必要步驟的範圍,以及幫助您逐步完成各個步驟。
使用可供下載的安全性範本:這些資料可以提供您套用此單元所討論的設定。
使用可供下載的自動化指令檔。這些資料提供您相關範例,讓您瞭解如何套用一組設定到多重 Windows XP Professional 用戶端。
在 Windows NT 4.0 網域中的 Windows XP
在舊版 Windows NT® 4.0 網域中的 Windows XP 用戶端,就是屬於非 Active Directory 網域環境的用戶端。在此環境中,Windows XP 用戶端均視為獨立的電腦。由於如此的環境並沒有管理安全性設定的中央位置,所以管理負荷會比較高。我們建議以 Windows NT 4.0 為基礎的網域控制站,要安裝 Service Pack 6a (SP6a) 以及所有最新的修補程式。Windows NT 4.0 SP6a 含有多項針對 NT LanManager (NTLM) 驗證的修正。如果沒有安裝這些修正程式,在 Windows NT 4.0 網域中執行 Windows XP 的電腦可能會發生網域或網路的連結和通訊問題。系統管理員必須經常查詢是否有新的更新檔案與修補程式。
Windows XP Professional 比先前的 Windows 版本新增了更多的「本機電腦原則」設定,如此可以讓您更容易自訂使用者與電腦設定。Windows XP Professional 中,除了 Windows 2000 Professional 原有的設定,另外新增了數百個設定。此威力強大的管理功能,可以讓您確保桌上型電腦的穩定性,且可以根據不同的自訂狀況,微調設定。Windows XP 用戶端的安全性,會直接受到所屬網域的安全性而影響。在舊版環境中的 Windows XP 用戶端要使用<Windows XP 用戶端的安全性設定>單元中、修改過之安全性範本的版本,以確保用戶端可以和 Windows NT 4.0 網域控制站通訊。這些設定需要使用本指南結尾所描述的指令檔套用。
為了要與 Windows NT 4.0 網域控制站通訊,下列設定已經過修改:在 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項] 中:
網域成員:要求增強式 (Windows 2000 或更新) 工作階段索引鍵 - 停用
本指南結尾所使用的舊版資訊檔案會採用此預設值。
本機群組原則物件設定
每一個 Windows XP Professional 作業系統都會有一項本機群組原則物件 (GPO)。這些設定可以透過「群組原則物件編輯器」或指令檔,套用到「本機群組原則物件」。「本機群組原則」物件比網域為基礎的 GPO 含有更少的設定,差別主要在於 [安全性設定] 中。設定為獨立用戶端時,「本機群組原則物件 (LGPO)」並不支援「資料夾重新導向」、「遠端安裝服務」或「群組原則軟體安裝」。本機原則可以在獨立用戶端上提供安全的作業環境。
下列表格顯示當「群組原則」嵌入式管理單元焦點放在某 LGPO 時,有哪些「群組原則」嵌入式管理單元延伸會開啟。
[表 1] 群組原則嵌入式管理單元延伸
群組原則嵌入式管理單元延伸 | 在 LGPO 中是否可用 |
---|---|
軟體安裝 | 否 |
指令檔 | 是 |
安全性設定 | 是 |
系統管理範本 | 是 |
資料夾重新導向 | 否 |
Internet Explorer 維護 | 是 |
遠端安裝服務 | 否 |
區域名稱 | 說明 |
---|---|
SECURITYPOLICY | 包括帳戶原則、稽核原則、事件日誌設定以及安全性選項。 |
GROUP_MGMT | 包括受限群組設定。 |
USER_RIGHTS | 包括使用者權限指派 |
REGKEYS | 包括登錄使用權限。 |
FILESTORE | 包括檔案系統使用權限。 |
SERVICES | 包括系統服務設定。 |
REM 保障獨立 Windows XP 之安全的指令檔
REM
REM 名稱:SA 企業 XP 用戶端 - Desktop.CMD
REM 版本: 1.0
REM 此 CMD 檔案提供正確的 secedit.exe 語法,用於匯入
REM 安全性原則到安全的獨立 Windows XP 用戶端。
REM 使用此 CMD 檔案之前,請先詳細閱讀整個指南。
REM 將原則重設為預設值
Secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
REM 組態帳戶設定
secedit.exe /configure /db "XP Default Security.sdb" /cfg
"SA 企業 XP Account.inf" /overwrite /quiet
REM 組態安全性設定
secedit.exe /configure /db "XP Default Security.sdb"
/cfg "企業用戶端 - Desktop.inf"
REM 刪除共用資料夾
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\
NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f
REM 更新本機原則
gpupdate.exe /force
下列表格含有本指南隨附之指令碼和相關檔案的清單。每一個環境都有一組適用的指令檔和檔案,區分為桌上型電腦與膝上型電腦用戶端。
**\[表 3\] 指令檔和檔案**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >獨立指令檔和檔案</th>
<th style="border:1px solid black;" >說明</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">SA 企業 XP 用戶端 - Desktop.cmd</td>
<td style="border:1px solid black;">用於設定桌上型電腦用戶端之企業原則的獨立指令檔。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">SA 企業 XP 用戶端 - Laptop.cmd</td>
<td style="border:1px solid black;">用於設定膝上型電腦用戶端之企業原則的獨立指令檔。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">SA XP 高安全性用戶端 - Desktop.cmd</td>
<td style="border:1px solid black;">用於設定桌上型電腦用戶端之高安全性原則的獨立指令檔。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">SA XP 高安全性用戶端 - Laptop.cmd</td>
<td style="border:1px solid black;">用於設定膝上型電腦用戶端之高安全性原則的獨立指令檔。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">SA 企業 Account.inf</td>
<td style="border:1px solid black;">企業帳戶原則範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">SA 高安全性 Account.inf</td>
<td style="border:1px solid black;">高安全性帳戶原則範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">企業用戶端 - Desktop.inf</td>
<td style="border:1px solid black;">桌上型電腦用戶端的企業安全性範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">企業用戶端 - Laptop.inf</td>
<td style="border:1px solid black;">膝上型電腦用戶端的企業安全性範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">高安全性 - Desktop.inf</td>
<td style="border:1px solid black;">桌上型電腦用戶端的高安全性範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">高安全性 - Laptop.inf</td>
<td style="border:1px solid black;">膝上型電腦用戶端的高安全性範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">XP 預設 Security.sdb</td>
<td style="border:1px solid black;">預設原則資料庫。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">舊版的企業 XP 用戶端 - Desktop.cmd</td>
<td style="border:1px solid black;">用於設定桌上型電腦用戶端之企業原則的舊版指令檔。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">舊版企業 XP 用戶端 - Laptop.cmd</td>
<td style="border:1px solid black;">用於設定膝上型電腦用戶端之企業原則的舊版指令檔。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">舊版 XP 高安全性用戶端 - Desktop.cmd</td>
<td style="border:1px solid black;">用於設定桌上型電腦用戶端之高安全性原則的舊版指令檔。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">舊版 XP 高安全性用戶端 - Laptop.cmd</td>
<td style="border:1px solid black;">用於設定膝上型電腦用戶端之高安全性原則的舊版指令檔。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">舊版的企業 Account.inf</td>
<td style="border:1px solid black;">舊版的企業帳戶原則範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">舊版的高安全性 Account.inf</td>
<td style="border:1px solid black;">舊版的高安全性帳戶原則範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">舊版的企業用戶端 - Desktop.inf</td>
<td style="border:1px solid black;">桌上型電腦用戶端的舊版企業安全性範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">舊版的企業用戶端 - Laptop.inf</td>
<td style="border:1px solid black;">膝上型電腦用戶端的舊版企業安全性範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">舊版的高安全性 - Desktop.inf</td>
<td style="border:1px solid black;">桌上型電腦用戶端的舊版高安全性範本。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">舊版的高安全性 - Laptop.inf</td>
<td style="border:1px solid black;">膝上型電腦用戶端的舊版高安全性範本。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">XP 預設 Security.sdb</td>
<td style="border:1px solid black;">預設原則資料庫。<br />
<strong>注意:</strong> 請確定資料庫有寫入權限。不能設定為「唯讀」。</td>
</tr>
</tbody>
</table>
[](#mainsection)[回到頁首](#mainsection)
### 總結
Windows XP 本機原則可以便捷地為您的 Windows XP 作業系統提供一致的安全性設定。若要有效進行部署,請確定您瞭解本機原則的套用方式,並確定所有的用戶端都採用適用的設定,而且您已經為環境中的每一部用戶端定義適合的安全性設定。
[](#mainsection)[回到頁首](#mainsection)
### 其他資訊
下列資訊來源是本指南公開發行當時,與保障 Windows XP Professional 安全性相關的最新主題。
有關「安全性設定管理員」的詳細資訊,請參閱:<https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/scm_analyze.asp>。
有關「群組原則」的詳細資訊,請參閱:<https://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp>。
有關在 Windows 2000 中,針對「群組原則」進行疑難排解的詳細資訊,請參閱:[https://www.microsoft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp](https://www.microsoft.com/windows2000/techinfo/howitworks/management/gptshoot.asp)。
有關如何針對「群組原則」應用程式的問題進行疑難排解,請參閱下列微軟知識庫文件 250842《Troubleshooting Group Policy Application Problems (英文)》:<https://support.microsoft.com/default.aspx?scid=250842>。
有關安全性工具與檢查清單的詳細資訊,請參閱:<https://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools.asp>。
有關「保障執行 Windows XP Professional 之筆記型電腦的安全」的詳細資訊,請參閱:<https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/evaluate/prfeatgd.asp>。
有關如何在 Active Directory 以及 SYSVOL 中識別 GPO,請參閱下列微軟知識庫文件 216359《HOW TO:識別 Active Directory 和 SYSVOL 中的群組原則物件》:<https://support.microsoft.com/default.aspx?scid=216359>。
有關「Windows XP 的系統管理範本」的詳細資訊,請參閱下列 TechNet 指引《The role of Administrative Templates (英文)》:[https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/ADMinAD.asp](https://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/proddocs/adminad.asp)。
[](#mainsection)[回到頁首](#mainsection)