安全生产第章WP安全指引简介

1、Windows XP安全指南第1章：Windows XP安全指南简介 更新日期：2006年07月17日本页内容概述执行摘要本指南的目标读者 本指南讨论的范围 本章概述 下载内容 样式约定总结 概述欢迎使用Windows XP安全指南。本指南旨在提供用于对环境中特定于Microsoft? Windows? XPProfessional Service Pack 2 (SP2)的安全风险进行评估和处理的最佳信息。本指南中的章节提供有关如何在尽可能的位置配置Windows XP中的增强安全设置和功能，以消除环境中识别的威胁的详细信息。本指南主要面向在 Windows XP环境中工作的顾问、设计人员或

2、系统工程师。Microsoft 工程小组、顾问、支持工程师、合作伙伴以及客户已经审查和批准了本指南中的信息，从而使 得该指南具有下列特点：?经过证明。基于现场体验。? 具有权威性。提供最佳可用建议。? 准确。经过技术验证和测试。? 可操作。提供迈向成功的步骤。? 相关。针对现实世界的安全考虑。在各种环境中实施 Windows XP Professional 、Microsoft Windows Server? 2003和 Windows2000的咨询人员和系统工程师开发了用于确保客户端计算机和服务器计算机安全的最佳做法，本指南详述了这些最佳做法。本指南还提供了分步安全指导、过程和建议，帮助您尽

3、可能增强您的组织中运行Windows XP Professional SP2 的计算机的安全性。如需更深入了解本文档中的相关概念，请参阅 威胁和对策：Windows Server 2003 和 Windows XP 的安全设置” aMicrosoft Windows XP Resource Kit ”、 aMicrosoft WindowsServer 2003 Resource以及 Microsoft TechNetKit ”“ Microsoft Windows Security Resource Kit本指南最初是针对 Windows XP SP1创建的。此更新版本反映Windows X

4、P SP2提供的重要安全增强功能，它是通过运行Windows XP Professional SP2的计算机进行开发和测试的。除非另行规定，否则本指南中对于 Windows XP的所有引用均是指 Windows XP SP2 。返回页首执行摘要无论环境如何，强烈建议您认真对待安全问题。由于通常没有将实际间接成本考虑在内，许多组织错误地 低估了他们的信息技术（IT）环境的价值。如果对环境中的服务器的攻击很严重，则会对整个组织造成极大危害。例如，如果攻击活动迫使公司网站关闭，从而造成利润或客户信任度的巨大损失，公司将面临丧 失盈利能力的危险。评估安全成本时，应该将与任何攻击相关的间接成本以及丧失I

5、T功能的成本包括在内。通过与安全相关的漏洞、风险和暴露分析，您可以了解到，网络环境中所有计算机系统都会面临在安全性与可用性之间取舍权衡的问题。本指南对Windows XP SP2中的主要安全对策、其解决的漏洞以及每个对策实施的潜在负面影响（如果有）进行了说明。此外，本指南还提供了在以下三种常见环境中加强运行Windows XP SP2的计算机的具体建议：?企业客户端（EC）。此环境中的客户端计算机位于 Active Directory?目录服务域中，只需要与运行Windows 2000或更高版本的 Windows 操作系统的系统通信。? 独立（SA）。此环境中的客户端计算机不是Active D

6、irectory域的成员，可能需要与运行Windows NT? 4.0 的系统通信。? 专用安全-限制功能（SSLF）。由于在此环境中对安全性非常关注，因此功能上和管理上的明 显损失都在可接受之列。例如，军事和情报机构的计算机在此类环境中运行。本指南组织成易于访问的形式，以便您快速找到确定组织中运行Windows XP SP2的计算机的适合设置所需的信息。虽然本指南主要针对企业客户，但是其中的许多内容适合于任何规模的组织。为了从本资料中获取最多有价值的信息，需要阅读整个指南。编写本指南的小组希望本指南可以为您提供有用的、信息丰富的和引人入胜的资料。有关详细信息，请参阅附加指南威胁和对策：Win

7、dows Server2003 和 Windows XP的安全设置，该指南可从下载。返回页首本指南的目标读者本指南主要面向在企业环境中规划应用程序或基础结构开发以及Windows XP工作站部署的顾问、安全专家、系统结构设计人员以及IT专业人员。本指南不面向家庭用户。本指南是专为从事下列工作的人员而设计的：?系统结构设计人员和规划人员，他们负责组织中计算机体系结构方面的工作。? IT安全专家，他们关注如何在组织内跨计算平台提供安全性。?业务分析师和业务决策者（BDM），他们的关键业务目标和要求需要IT桌面计算机或便携式计算机的支持。? 来自Microsoft服务部门和合作伙伴的顾问，他们需要用

8、于企业客户和合作伙伴的知识传送工具。技能和准备对于负责开发、部署并确保企业中 Windows XP客户端计算机的安全的管理员或结构设计人员，下列知识和技能是必备条件：? 拥有MCSE 2000或更高证书，有 2年以上安全相关经验或同等经验。? 对公司域和 Active Directory环境有深入了解。?熟练使用管理工具，包括MMC、Secedit、Gpupdate 和 Gpresult。?有管理组策略的经验。?有在企业环境中部署应用程序和客户端计算机的经验。返回页首本指南讨论的范围本指南着重介绍如何为运行Windows XP Professional SP2的桌面计算机和便携式计算机创建和维

9、护安全的环境。本指南阐述如何确保三种不同环境安全的不同阶段以及针对每种环境中部署的桌面计算机和 便携式计算机的每项设置的内容。信息涵盖企业客户端(EC)环境、独立(SA)环境以及专用-限制功能(SSLF)环境。不对未作为本指南一部分专门推荐的设置进行介绍。有关Windows XP中所有安全设置的详尽论述，请参阅附加指南威胁和对策：Windows Server 2003 和 Windows XP的安全设置，网址为。企业客户端企业客户端 (EC)环境包含 Windows 2000 或 Windows Server 2003 Active Directory域。此环境中的客户端计算机将通过应用于站点

10、、域和组织单位(OU)的组策略进行管理。组策略提供集中的方法来管理环境中的安全策略。独立客户端环境独立客户端(SA)环境包括无法加入到属于 Windows NT 4.0 域成员的域或计算机的客户端计算机。这 些客户端计算机必须通过本地策略设置进行配置。相比基于Active Directory的域中的用户帐户和策略的管理而言，独立计算机的管理可能面临着更大的挑战。专用安全-限制功能专用安全-限制功能(SSLF)环境为客户端计算机提供高级安全设置。当应用这些安全策略设置时，用 户功能可能会显著减少，因为限制为仅必要任务所需的那些特定功能。访问权限则限于已批准的应用程序、服务和基础结构环境。为清楚明

11、了，SSLF环境的安全策略设置仅适用于极少数组织(例如军事和情报结构）的一些系统。这些设置趋向于通过可管理性和可用性优化安全性；它们应该仅用于那些危害可能导致 重大财务损失或人员伤亡的计算机。换言之，SSLF设置对于大多数组织来说并不是恰当的选择。返回页首本章概述Windows XP SP2提供迄今为止最可依赖的Windows 客户端版本以及改进的安全和隐私功能。Windows XP中已经提高了总体安全性，以帮助确保组织在更安全的计算环境中工作。Windows XP安全指南包含七个章节，其中二至六章论述创建这种环境所需的过程。其中每个章节建立在端到端流程的 基础之上，旨在确保基于Windows

12、 XP的计算机的安全。第1章：Windows XP安全指南简介本章包括本指南的概述以及对目标读者、本指南中讨论的问题和本指南的总体目标的说明。第2章：配置 Active Directory域基础结构您可以使用组策略来管理Windows Server 2003 和 Windows 2000域中的用户和计算机环境。它是确保 Windows XP安全的重要工具，可以用来从中央位置在整个网络中应用和维护一致安全策略。本章论述将组策略应用于Windows XP客户端计算机之前必须在域中执行的基本步骤。组策略设置存储在域控制器上的组策略对象（GPO）中。GPO链接到Active Directory结构中的

13、站点、域和0U。由于组策略与 Active Directory紧密集成，在实现组策略之前有必要对Active Directory 结构和安全含义进行基本的了解。第3章：Windows XP客户端安全设置本章描述可以在 Windows 2000 或 Windows Server 2003 Active Directory域中通过组策略设置的Windows XP 客户端计算机的安全设置。并没有为所有可用设置提供指导，而只是为那些帮助避免环 境遭受最新威胁的设置提供了指导。该指导还允许用户继续在他们的计算机上执行正常作业功能。配置的 设置应基于组织的安全目标。第4章：Windows XP 管理模板本

14、章讨论可以使用管理模板添加到Windows XP中的设置。管理模板是可用来配置基于注册表的设置的Unicode 文件，这些设置控制许多服务、应用程序和操作系统组件的行为。许多管理模板可以与WindowsXP 一起使用，它们包含数百个设置。第5章：确保独立 Windows XP 客户端的安全虽然本指南大部分重点介绍企业客户端（EC）和专用安全-限制功能（SSLF）环境，但是本章还讨论了独立Windows XP客户端计算机的配置。Microsoft 建议在Active Directory 域基础结构中部署Windows XP ，同时认识到不能够总是这样做。本章提供有关如何将建议配置应用到不是Win

15、dows 2000或 Windows Server 2003域成员的 Windows XP SP2客户端计算机的指导。第 6 章：Windows XP客户端的软件限制策略本章提供软件限制策略的基本概述，该软件限制策略向管理员提供一套策略驱动机制，用于标识和限制可 以在其域中运行的软件。管理员可以使用软件限制策略阻止不想要的程序运行，并防止病毒、特洛伊木马 或其他恶意代码传播。软件限制策略与 Active Directory和组策略完全集成；如果仅应用于本地计算机，它们也可以用于没有Windows Server 2003域基础结构的环境。第7章：结论最后一章简要回顾前几章中论述的内容的要点。附录

16、A :需要考虑的关键设置虽然本指南论述了许多安全对策和安全设置，了解少量安全对策和安全设置尤其重要。本附录论述会对运 行Windows XP SP2的计算机的安全产生最大影响的设置。附录 B :测试Windows XP安全指南本附录阐述如何在实验室环境中测试Windows XP 安全指南以确保指导按预期工作。返回页首下载内容本指南附带了安全模板、脚本和其他文件的集合，以便于组织轻松评估、测试和实施建议的对策。安全模板是可以通过Microsoft 管理控制台（MMC）安全配置和分析管理单元导入到基于域的组策略或本地应用的文本文件。第2章配置Active Directory域基础结构中详细描述了如

17、何完成这些任务的过程。您可以使用本指南附带的脚本来在独立工作站上实施建议的对策。下载内容还包括 Microsoft Excel? 工作簿“Windows XP Security Guide Settings ” ，其说明每个安 全模板中包含的设置。本指南附带的文件统称为工具和模板。这些文件包括在包含本指南的自解压缩Win Zip 压缩文件中的.msi文件中。该指南可从Microsoft 下载中心获取，网址为。执行.msi 文件时，系统将在指定位置创建下列文件夹结构：?Windows XP安全指南工具和模板 安全模板。此文件夹包含本指南第 2章和第3章中论述的所有安全模板。它还包含汇总本指南中所

18、有建议的Excel电子表格。?Windows XP安全指南工具和模板SCE 更新。此文件夹包含用于按照本指南第3章所述自动更新安全配置编辑器用户界面的脚本和数据文件。?Windows XP安全指南工具和模板独立客户端。此文件夹包含用于强化独立计算机的所有示例脚本和模板，将在指南的第 5章中进行论述。?Windows XP安全指南工具和模板测试工具。此文件夹包含与 附录B :测试Windows XP安全指南”相关的工具。返回页首样式约定 本指南使用以下样式约定。表1.1样式约定元素含义粗体表示完全按显示键入的字符，包括命令、交换机和文件名。用户界面元素也以粗体显示。斜体书籍和其他大量岀版物的标题以 斜体显示。以斜体和尖括号设置的占位符（例如 ）表示变量。固定宽度字体定义代码和脚本示例。注意提醒读者阅读补充信息。重要提醒读者阅读必要的补充信息。返回页首总结本章介绍Windows XP安全指南并汇总指南的各个章节。在您了解本指南的组织形式之后，就可以开始充分利用 Windows XP SP2中内置的关键安全选项了。有效、成功的安全操作需要本指南中论述的所有方面的努力，不能单靠一方面的提高。因此，强烈建议作 为更广泛纵深防御安全体系结构的一部分实施本指南中适合