第1 章：《Windows XP 安全指南》简介

1、Windows XP 安全指南第 1 章：Windows XP 安全指南简介更新日期： 2006年07月17日本页内容 HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA 概述 HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGAA#EGAA HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGA

2、A#EGAA 执行摘要 HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA 本指南的目标读者 HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA 本指南讨论的范围 HYPERLINK /zh-cn/library/c

3、c163069.aspx#EDAA#EDAA l EDAA#EDAA HYPERLINK /zh-cn/library/cc163069.aspx#EDAA#EDAA l EDAA#EDAA 本章概述 HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA 下载内容 HYPERLINK /zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA HYPERLINK /

4、zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA 样式约定 HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA 总结概述欢迎使用Windows XP 安全指南。本指南旨在提供用于对环境中特定于 Microsoft Windows XP Professional Service Pack 2 (SP2) 的安全风险进行评估和处理的最佳信息。本指南中的章节提供

5、有关如何在尽可能的位置配置 Windows XP 中的增强安全设置和功能，以消除环境中识别的威胁的详细信息。本指南主要面向在 WindowsXP 环境中工作的顾问、设计人员或系统工程师。Microsoft 工程小组、顾问、支持工程师、合作伙伴以及客户已经审查和批准了本指南中的信息，从而使得该指南具有下列特点：经过证明。基于现场体验。具有权威性。提供最佳可用建议。准确。经过技术验证和测试。可操作。提供迈向成功的步骤。相关。针对现实世界的安全考虑。在各种环境中实施 Windows XP Professional、Microsoft Windows Server 2003 和 Windows 200

6、0 的咨询人员和系统工程师开发了用于确保客户端计算机和服务器计算机安全的最佳做法，本指南详述了这些最佳做法。本指南还提供了分步安全指导、过程和建议，帮助您尽可能增强您的组织中运行 Windows XP Professional SP2 的计算机的安全性。如需更深入了解本文档中的相关概念，请参阅“威胁和对策：Windows Server 2003 和 Windows XP 的安全设置”、“Microsoft WindowsXP Resource Kit”、“Microsoft WindowsServer 2003 Resource Kit”、“Microsoft Windows Security

7、 Resource Kit”以及 Microsoft TechNet。本指南最初是针对 Windows XP SP1 创建的。此更新版本反映 Windows XP SP2 提供的重要安全增强功能，它是通过运行 Windows XP Professional SP2 的计算机进行开发和测试的。除非另行规定，否则本指南中对于 Windows XP 的所有引用均是指 Windows XP SP2。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh

8、-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首执行摘要无论环境如何，强烈建议您认真对待安全问题。由于通常没有将实际间接成本考虑在内，许多组织错误地低估了他们的信息技术 (IT) 环境的价值。如果对环境中的服务器的攻击很严重，则会对整个组织造成极大危害。例如，如果攻击活动迫使公司网站关闭，从而造成利润或客户信任度的巨大损失，公司将面临丧失盈利能力的危险。评估安全成本时，应该将与任何攻击相关的间接成本以及丧失 IT 功能的成本包括在内。通过与安全相关的漏洞、风险和暴露分析，您可以了解到

9、，网络环境中所有计算机系统都会面临在安全性与可用性之间取舍权衡的问题。本指南对 Windows XP SP2 中的主要安全对策、其解决的漏洞以及每个对策实施的潜在负面影响（如果有）进行了说明。此外，本指南还提供了在以下三种常见环境中加强运行 Windows XP SP2 的计算机的具体建议：企业客户端 (EC)。此环境中的客户端计算机位于 Active Directory 目录服务域中，只需要与运行 Windows 2000 或更高版本的 Windows 操作系统的系统通信。独立 (SA)。此环境中的客户端计算机不是 Active Directory 域的成员，可能需要与运行 Windows

10、NT 4.0 的系统通信。专用安全 - 限制功能 (SSLF)。由于在此环境中对安全性非常关注，因此功能上和管理上的明显损失都在可接受之列。例如，军事和情报机构的计算机在此类环境中运行。本指南组织成易于访问的形式，以便您快速找到确定组织中运行 Windows XP SP2 的计算机的适合设置所需的信息。虽然本指南主要针对企业客户，但是其中的许多内容适合于任何规模的组织。为了从本资料中获取最多有价值的信息，需要阅读整个指南。编写本指南的小组希望本指南可以为您提供有用的、信息丰富的和引人入胜的资料。有关详细信息，请参阅附加指南 HYPERLINK /china/technet/security/g

11、uidance/secmod48.mspx 威胁和对策：Windows Server 2003 和 Windows XP 的安全设置，该指南可从 /china/technet/security/guidance/secmod48.mspx 下载。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSectio

12、n 返回页首本指南的目标读者本指南主要面向在企业环境中规划应用程序或基础结构开发以及 Windows XP 工作站部署的顾问、安全专家、系统结构设计人员以及 IT 专业人员。本指南不面向家庭用户。本指南是专为从事下列工作的人员而设计的：系统结构设计人员和规划人员，他们负责组织中计算机体系结构方面的工作。IT 安全专家，他们关注如何在组织内跨计算平台提供安全性。业务分析师和业务决策者 (BDM)，他们的关键业务目标和要求需要 IT 桌面计算机或便携式计算机的支持。来自 Microsoft 服务部门和合作伙伴的顾问，他们需要用于企业客户和合作伙伴的知识传送工具。技能和准备对于负责开发、部署并确保企

13、业中 Windows XP 客户端计算机的安全的管理员或结构设计人员，下列知识和技能是必备条件：拥有 MCSE 2000 或更高证书，有 2 年以上安全相关经验或同等经验。对公司域和 Active Directory 环境有深入了解。熟练使用管理工具，包括 MMC、Secedit、Gpupdate 和 Gpresult。有管理组策略的经验。有在企业环境中部署应用程序和客户端计算机的经验。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-c

14、n/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首本指南讨论的范围本指南着重介绍如何为运行 Windows XP Professional SP2 的桌面计算机和便携式计算机创建和维护安全的环境。本指南阐述如何确保三种不同环境安全的不同阶段以及针对每种环境中部署的桌面计算机和便携式计算机的每项设置的内容。信息涵盖企业客户端 (EC) 环境、独立 (SA) 环境以及专用 - 限制功能 (SSLF) 环境。不对未作为本指南一部分专门推荐的设置进行介绍。有关 WindowsXP 中所有安全设置的

15、详尽论述，请参阅附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威胁和对策：Windows Server 2003 和 Windows XP 的安全设置，网址为 /china/technet/security/guidance/secmod48.mspx。企业客户端企业客户端 (EC) 环境包含 Windows 2000 或 Windows Server 2003 Active Directory 域。此环境中的客户端计算机将通过应用于站点、域和组织单位 (OU) 的组策略进行管理。组策略提供集中的方法来管理环境中的安

16、全策略。独立客户端环境独立客户端 (SA) 环境包括无法加入到属于 Windows NT 4.0 域成员的域或计算机的客户端计算机。这些客户端计算机必须通过本地策略设置进行配置。相比基于 ActiveDirectory 的域中的用户帐户和策略的管理而言，独立计算机的管理可能面临着更大的挑战。专用安全 限制功能专用安全 限制功能 (SSLF) 环境为客户端计算机提供高级安全设置。当应用这些安全策略设置时，用户功能可能会显著减少，因为限制为仅必要任务所需的那些特定功能。访问权限则限于已批准的应用程序、服务和基础结构环境。为清楚明了，SSLF 环境的安全策略设置仅适用于极少数组织（例如军事和情报结构

17、）的一些系统。这些设置趋向于通过可管理性和可用性优化安全性；它们应该仅用于那些危害可能导致重大财务损失或人员伤亡的计算机。换言之，SSLF 设置对于大多数组织来说并不是恰当的选择。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首本章概述Windows XP SP2 提供迄今为止最可

18、依赖的 Windows 客户端版本以及改进的安全和隐私功能。Windows XP 中已经提高了总体安全性，以帮助确保组织在更安全的计算环境中工作。Windows XP 安全指南包含七个章节，其中二至六章论述创建这种环境所需的过程。其中每个章节建立在端到端流程的基础之上，旨在确保基于 Windows XP 的计算机的安全。第 1 章：Windows XP 安全指南简介本章包括本指南的概述以及对目标读者、本指南中讨论的问题和本指南的总体目标的说明。第 2 章：配置 Active Directory 域基础结构您可以使用组策略来管理 Windows Server 2003 和 Windows 200

19、0 域中的用户和计算机环境。它是确保 Windows XP 安全的重要工具，可以用来从中央位置在整个网络中应用和维护一致安全策略。本章论述将组策略应用于 Windows XP 客户端计算机之前必须在域中执行的基本步骤。组策略设置存储在域控制器上的组策略对象 (GPO) 中。GPO 链接到 Active Directory 结构中的站点、域和 OU。由于组策略与 Active Directory 紧密集成，在实现组策略之前有必要对 Active Directory 结构和安全含义进行基本的了解。第 3 章：Windows XP 客户端安全设置本章描述可以在 Windows 2000 或 Wind

20、ows Server 2003 Active Directory 域中通过组策略设置的 Windows XP 客户端计算机的安全设置。并没有为所有可用设置提供指导，而只是为那些帮助避免环境遭受最新威胁的设置提供了指导。该指导还允许用户继续在他们的计算机上执行正常作业功能。配置的设置应基于组织的安全目标。第 4 章：Windows XP 管理模板本章讨论可以使用管理模板添加到 Windows XP 中的设置。管理模板是可用来配置基于注册表的设置的 Unicode 文件，这些设置控制许多服务、应用程序和操作系统组件的行为。许多管理模板可以与 Windows XP 一起使用，它们包含数百个设置。第

21、5 章：确保独立 Windows XP 客户端的安全虽然本指南大部分重点介绍企业客户端 (EC) 和专用安全 限制功能 (SSLF) 环境，但是本章还讨论了独立 Windows XP 客户端计算机的配置。Microsoft 建议在 Active Directory 域基础结构中部署 Windows XP，同时认识到不能够总是这样做。本章提供有关如何将建议配置应用到不是 Windows 2000 或 Windows Server 2003 域成员的 Windows XP SP2 客户端计算机的指导。第 6 章：Windows XP 客户端的软件限制策略本章提供软件限制策略的基本概述，该软件限制策

22、略向管理员提供一套策略驱动机制，用于标识和限制可以在其域中运行的软件。管理员可以使用软件限制策略阻止不想要的程序运行，并防止病毒、特洛伊木马或其他恶意代码传播。软件限制策略与 Active Directory 和组策略完全集成；如果仅应用于本地计算机，它们也可以用于没有 Windows Server 2003 域基础结构的环境。第 7 章：结论最后一章简要回顾前几章中论述的内容的要点。附录 A：需要考虑的关键设置虽然本指南论述了许多安全对策和安全设置，了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows XP SP2 的计算机的安全产生最大影响的设置。附录 B：测试Windo

23、ws XP 安全指南本附录阐述如何在实验室环境中测试Windows XP 安全指南以确保指导按预期工作。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首下载内容本指南附带了安全模板、脚本和其他文件的集合，以便于组织轻松评估、测试和实施建议的对策。安全模板是可以通过 Microsof

24、t 管理控制台 (MMC) 安全配置和分析管理单元导入到基于域的组策略或本地应用的文本文件。第 2 章“配置 ActiveDirectory 域基础结构”中详细描述了如何完成这些任务的过程。您可以使用本指南附带的脚本来在独立工作站上实施建议的对策。下载内容还包括 Microsoft Excel 工作簿“WindowsXP Security Guide Settings”，其说明每个安全模板中包含的设置。本指南附带的文件统称为工具和模板。这些文件包括在包含本指南的自解压缩 WinZip 压缩文件中的 .msi 文件中。该指南可从 Microsoft 下载中心获取，网址为 /fwlink/?Lin

25、kId=14840。执行 .msi 文件时，系统将在指定位置创建下列文件夹结构：Windows XP 安全指南工具和模板安全模板。此文件夹包含本指南第 2 章和第 3 章中论述的所有安全模板。它还包含汇总本指南中所有建议的 Excel 电子表格。Windows XP 安全指南工具和模板SCE 更新。此文件夹包含用于按照本指南第 3 章所述自动更新安全配置编辑器用户界面的脚本和数据文件。Windows XP 安全指南工具和模板独立客户端。此文件夹包含用于强化独立计算机的所有示例脚本和模板，将在指南的第 5 章中进行论述。Windows XP 安全指南工具和模板测试工具。此文件夹包含与“附录 B：

26、测试Windows XP 安全指南”相关的工具。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首样式约定本指南使用以下样式约定。表 1.1 样式约定元素含义粗体表示完全按显示键入的字符，包括命令、交换机和文件名。用户界面元素也以粗体显示。斜体书籍和其他大量出版物的标题以斜体显示。以

27、斜体和尖括号设置的占位符（例如）表示变量。固定宽度字体定义代码和脚本示例。注意提醒读者阅读补充信息。重要提醒读者阅读必要的补充信息。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回页首总结本章介绍WindowsXP 安全指南并汇总指南的各个章节。在您了解本指南的组织形式之后，就可以开始

28、充分利用 Windows XP SP2 中内置的关键安全选项了。有效、成功的安全操作需要本指南中论述的所有方面的努力，不能单靠一方面的提高。因此，强烈建议作为更广泛纵深防御安全体系结构的一部分实施本指南中适合您的组织的所有建议。更多信息以下链接提供有关 Windows XP Professional 安全相关主题的附加信息。有关可以在 Microsoft WindowsXP 上进行配置的安全设置的详细信息，请参阅附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威胁和对策：Windows Server 2003 和 Wi

29、ndows XP 的安全设置，网址为 /china/technet/security/guidance/secmod48.mspx。有关如何按照本指南所述的方式在服务器上实施安全的信息，请参阅 HYPERLINK /china/technet/security/guidance/secmod117.mspx Windows Server 2003 安全指南。本指南中的建议设计为应用于需要支持 Windows XP 客户端计算机的服务器，这些客户端计算机是按照其余章节所述进行配置的。可从 /china/technet/security/guidance/secmod117.mspx 获取。有关如何在组织中更有效地实施安全风险管理的信息，请参阅 HYPERLINK /china/technet/security/guidance/secrisk/srsgch01.mspx 安全风险管理指南，网址为 /ch