如何在活动目录环境下配置 Windows XP SP2 网络保护技术

1、如何在活动目录环境下配置 Windows XP SP2 网络保护技术目录简介 开始之前 在管理工作站和 Windows Small Business Server 2003 上添加修补程序 更新现有的组策略对象 配置安全中心设置 配置 Windows 防火墙设置 配置 Internet Explorer 安全设置 配置 Internet 通信管理设置 配置 DCOM 访问设置 配置 RPC 设置 相关信息 简介组策略设置基于您的 Microsoft Active Directory 组织实施而应用，有助于通过各类用户和计算机内的标准配置设置来保护您的计算机环境。 用于 Microsoft Wi

2、ndows XP Service Pack 2 (SP2) 的新组策略网络保护设置包括：Windows 防火墙。 配置这些策略设置以打开或关闭防火墙、管理程序和端口例外并为特定方案定义例外，例如允许在目标计算机上进行远程管理。 Internet Explorer。 通过这些新的策略设置，您可以配置 Microsoft Internet Explorer 安全设置。 此外，通过策略设置，您还可以为不同的过程启用或禁用 Internet Explorer 安全功能。 Internet 通信管理。 您可以配置这些设置以控制不同组件如何在 Windows XP SP2 上通过 Internet 进行通

3、信，以便执行涉及到组织和 Internet 内的计算机之间信息交换的任务。DCOM 安全。 通过配置这些设置，可以控制分布式组件对象模型 (DCOM) 的安全设置。 DCOM 基础结构包括新的访问控制限制，有助于尽量减少网络攻击所带来的安全风险。 安全中心。 通过配置这些设置，可以集中管理 Windows 安全中心。 安全中心是 Windows XP SP2 中的新功能，允许您监视组织内的计算机以确保它们得到最新的安全更新，并在计算机遭遇安全风险时提供用户警报。远程过程调用 (RPC)。 您可以配置 RPC 策略设置以阻止对系统上的 RPC 接口的远程匿名访问，并防止对 RPC 终点映射程序接

4、口的匿名访问。本文档解释了如何部署网络保护组策略设置，以帮助保护 Windows XP SP2 客户计算机。 有关推荐设置的完整列表，请参阅下面的资源：Microsoft TechNet 网站 /fwlink/?linkid=35465 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2”您可以在活动目录域中执行关于组策略对象 (GPO) 的任务。 其中一些任务可以通过域控制器来运行，但是通常都在包含活动目录管理工具的 Windows XP SP2 客户计算机上执行

5、。 注： 有关如何部署 GPO 的更多信息，请参阅下面的资源： Microsoft Windows Server System 网站 /fwlink/?linkid=35498 上的“Designing a Managed Environment: Staging Group Policy Deployments”要在活动目录环境下配置网络保护，请配置以下任务： 在管理工作站上添加修补程序更新现有的 GPO配置安全中心设置配置 Windows 防火墙设置配置 Internet Explorer 设置配置 Internet 通信管理设置配置 DCOM 安全设置配置 RPC 设置重要： 安装操作系

6、统时，使用默认出现的“开始”菜单，便可获得本文档中的步骤说明。 如果修改了“开始”菜单，操作步骤会略有不同。有关安全相关术语的定义，请参阅下面的资源：Microsoft 网站 /fwlink/?LinkId=35468 上的“Microsoft Security Glossary”开始之前在使用运行以下任何产品版本的域控制器的活动目录域中，Windows XP SP2 可以用作 Windows 域客户端：Microsoft Windows Server 2003Microsoft Windows Small Business Server 2003 Microsoft Windows 2000

7、 Server SP3 或更高版本 安装修补程序之前，请确保您已备份了计算机，包括注册表的备份。有关如何备份注册表的更多信息，请参阅下面的资源：Microsoft 帮助和支持网站 /fwlink/?linkid=36365 上的 Microsoft 知识库文章 322756在管理工作站和 Windows Small Business Server 2003 上添加修补程序如果您在运行较早版本操作系统或 Service Pack（例如附带 SP1 的 Windows XP 或 Windows Server 2003）的计算机上管理组策略对象设置，则必须安装修补程序 (KB842933)，以使策略

8、设置正确地显示在“组策略对象编辑器”中。如果您使用 Small Business Server 2003 (SBS 2003)，则必须应用附加修补程序 (KB872769)，因为 SBS 2003 会默认关闭 Windows 防火墙。 修补程序可以解决此问题。注：列出的修补程序并不是 Windows 更新的一部分，您必须单独安装它们。 修补程序必须单独应用于所有受影响的系统。KB842933 适用于：Microsoft Windows Server 2003, Web Edition Microsoft Windows Server 2003, Standard Edition Microso

9、ft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Windows XP Professional SP1 Microsoft Windows Small Business Server 2003, Premium Edition Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows 2000 Advanced Serve

10、r Microsoft Windows 2000 Server Microsoft Windows 2000 ProfessionalKB872769 适用于：Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows Small Business Server 2003, Premium Edition 注：要获得这些修补程序并了解更多信息，请参阅下面的资源： Microsoft 帮助和支持网站 /fwlink/?linkid=35474 上的 Microsoft 知识库文章 842933M

11、icrosoft 帮助和支持网站 /fwlink/?linkid=35477 上的 Microsoft 知识库文章 872769执行此任务的要求凭据：您必须作为域管理员安全组或本地管理员安全组的成员登录到客户计算机。工具：按照知识库文章 842933 和 872769 中的解释，正确下载适用于您的操作系统的修补程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、Windows XP SP1 或 Windows Server 2003 上添加修补程序 842933添加修补程序在 Windows 桌面上单击“开

12、始”，单击“运行”，键入已下载修补程序的路径和文件名，然后单击“确定”。在“欢迎使用 KB842933 安装向导”页面上，单击“下一步”。在“许可协议”页面中，单击“我同意”，然后单击“下一步”。在“完成 KB842933 安装向导”页面上单击“完成”，以便完成修补程序安装并重新启动计算机。为适用的所有系统（服务器和管理工作站）重复以上步骤。在 Windows Small Business Server 2003 上添加修补程序 872769添加修补程序在 Windows 桌面上单击“开始”，单击“运行”，键入已下载 872769 修补程序的路径和文件名，然后单击“确定”。在“欢迎使用 KB8

13、72769 安装向导”页面上，单击“下一步”。在“许可协议”页面中，单击“我同意”，然后单击“下一步”。“完成 KB872769 安装向导”页面上单击“完成”，以便完成修补程序安装并重新启动计算机。更新现有的组策略对象Windows XP SP2 将在管理模板中添加附加设置。 要配置这些新设置，每个 GPO 都必须使用在 Windows XP SP2 中找到的新管理模板进行更新。 除非更新组策略对象，否则将不能使用与 Windows 防火墙相关的设置。 如果安装 Windows XP SP2 的计算机上安装了组策略对象编辑器管理单元，则可以使用 Microsoft 管理控制台 (MMC) 来更

14、新 GPO。更新 GPO 之后，您可以针对自己运行 Windows XP SP2 的计算机来配置适当的网络保护设置。执行此任务的要求凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员或组策略 Creator/Owner 安全组的成员登录。工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。更新组策略对象更新组策略对象在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。在“文件”菜单上，单击“添加/删除管理单元”。 在“独立”选项卡上，单击“添加”。 在“可用的独立管理单元”列表中

15、单击“组策略对象编辑器”，然后单击“添加”。 在“选择组策略对象”对话框中，单击“浏览”。图 1 浏览组策略对象在“浏览组策略对象”对话框中，选择您要使用新的 Windows 防火墙设置来更新的组策略对象。 单击“确定”，然后单击“完成”以关闭组策略向导。 此操作会将新的管理模板应用于选定的 GPO。在“添加独立管理单元”对话框中，单击“关闭”。在“添加/删除管理单元”对话框中，单击“确定”。关闭 MMC，单击“文件”并退出，不保存对控制设置所作的更改。注：尽管您不保存控制台更改，以上过程也会将来自 Windows XP SP2 的新管理模板导入到 GPO 中。 模板必须导入每个已定义的 GP

16、O 中。 对要用于将组策略应用到安装 Windows XP SP2 的计算机的每个 GPO 重复这些步骤。注： 要为使用活动目录和 Windows XP SP1 的网络环境更新您的 GPO，Microsoft 建议您使用可免费下载的组策略管理控制台。 有关更多信息，请参阅下面的资源：Microsoft Windows Server System 网站 /fwlink/?linkID=35479 上的“Enterprise Management with the Group Policy Management Console”配置安全中心设置安全中心是 Windows XP SP2 中的一项新服

17、务，它提供的中央位置可用于更改安全设置、详细了解安全性，并确保用户的计算机具有 Microsoft 推荐的最新主要安全设置。 在 Windows 域环境中，您可以使用组策略来允许安全中心监视用户的计算机，从而有助于确保它们具有最新的安全更新，并在用户的计算机可能遭遇风险时通知他们。 安装中心服务将作为后台进程运行，并在用户的计算机上检查以下组件的状态： 防火墙。 安全中心将检查 Windows 防火墙是已打开还是关闭，同时检查是否存在其它一些软件防火墙。 为检查其它防火墙，安全中心将查询特定 Windows 管理规范 (WMI) 提供程序，它们已由参与的供应商提供。病毒保护。 安全中心将检查是

18、否存在防病毒软件。 为检查是否存在防病毒软件，安全中心将查询由参与的供应商提供的特定 WMI 提供程序。 如果提供了信息，安全中心服务还将确定软件是不是最新版本以及是否打开了实时扫描。 自动更新。 安全中心将检查并确保自动更新已设置为推荐的设置，该设置将为用户的计算机自动下载并安装重要更新。 如果自动更新已关闭或未设置为推荐的设置，安全中心将提供适当的建议。如果发现组件缺少或不符合您的安全策略，安全中心将在工具栏的通知区域中显示红色图标或在登录时提供警告信息以向您发出警告。 此信息包含用于打开安全中心用户界面的链接，它提供了关于问题以及修复建议的信息。如果您运行的防火墙或防病毒软件包件未被安全

19、中心检测到，则可以将安全中心设置为绕过该组件的警告。对于 Windows 域中的计算机，您可以使用组策略设置来集中管理安全中心功能。 如果您启用“打开安全中心（仅限域 PC）”策略设置，安全中心将监视主要安全设置（防火墙、防病毒软件和自动更新），并且在用户的计算机遭遇风险时通知他们。 在默认情况下，“打开安全中心（仅限域 PC）”策略设置将不会启用，这意味着它将在安全中心关闭时关闭，通知和安全中心状态部分都不会显示。 执行此任务的要求凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开“组策略对象”。工具：已安装组策略对象编辑器管理单元的

20、 Microsoft 管理控制台 (MMC)。配置安全中心设置如果使用此设置，则允许运行 Windows XP SP2 的计算机的用户使用安全中心来发布关于防火墙、防病毒软件包件和自动更新的警告。 配置安全中心设置在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。在“文件”菜单上，单击“添加/删除管理单元”。 在“独立”选项卡上，单击“添加”。 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 在“选择组策略对象”对话框中，单击“浏览”。从列表中选择您要配置的组策略对象。 单击“确定”，然后单击“完成”以关闭组策

21、略向导。单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。在控制台树中打开“计算机配置”、“管理模板”、“Windows 组件”，然后打开“安全中心”。图 2 安全中心设置双击“启用安全中心（仅域电脑）”，单击“已启用”，然后单击“确定”。 使用 GPUpdate 应用配置GPUpdate 实用工具将刷新基于活动目录的组策略设置，包括安全设置。 配置组策略之后，您可以等待标准刷新周期将设置应用于客户计算机。 默认情况下的刷新周期为 90 分钟，动态偏差为 + 或 - 30 分钟。要在标准周期之间刷新组策略，请使用 GPUpdate

22、 实用工具。验证安全中心设置是否已应用验证安全中心设置是否已应用在 Windows XP 桌面上单击“开始”，然后单击“控制面板”。在“选择一个类别”下单击“安全中心”。验证安全中心是否已启动。注：如果配置设置未应用，您必须排除组策略应用程序的故障。 要排除组策略应用程序的故障，请参阅下面的资源： Microsoft 下载中心网站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Windows 防火墙设置有三套 Windows 防火墙设置需要配置： 允许通过验证的 IPSec 旁路。

23、 此设置在组织使用 Internet 协议安全 (IPSec) 时使用，用于保护通信量并启用 Windows 防火墙。域配置文件。 如果计算机连接至某个网络，而该网络中包含的域控制器同样用于这些计算机所属的域，则会使用这些设置。标准配置文件。 如果计算机未连接至您的网络（例如在您携带膝上型计算机时），则会使用这些设置。如果您不配置标准配置文件设置，则默认值将保留不变。 Microsoft 建议您同时配置域和标准配置文件设置，并且为两个配置文件都启用 Windows 防火墙。 唯一的例外是您准备使用第三方主机防火墙产品。如果您准备使用第三方主机防火墙产品，则 Microsoft 建议您禁用 Wi

24、ndows 防火墙。 如果您决定在整个组织网络中禁用 Windows 防火墙，并且网络中混合包含运行未安装 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的计算机，则应该配置这些组策略设置：“禁止在 DNS 域网络上使用 Internet 连接防火墙”设置为“已启用”“域配置文件 Windows 防火墙：保护所有网络连接”设置为“已禁用”“标准配置文件 Windows 防火墙：保护所有网络连接”设置为“已禁用”注：此标准配置文件设置将确保未使用 Windows 防火墙，而无论计算机是否连接至您的组织网络。 为确保 Windo

25、ws 防火墙未在您的组织网络上使用，但是计算机未连接至网络时使用，则将此设置更改为“已启用”。标准配置文件设置比域配置文件更受限制，因为标准配置文件设置不包括仅在受管理域环境中使用的应用程序和服务。在 GPO 中，域配置文件和标准配置文件都包含相同的 Windows 防火墙设置集。 Windows XP SP2 依靠网络确定来应用正确的配置文件。 注：有关网络确定的更多信息，请参阅下面的资源：Microsoft TechNet 网站 /fwlink/?linkid=35480 上的“Network Determination Behavior for Network-Related Group

26、 Policy Settings”本节介绍了 GPO 中可能使用的 Windows 防火墙设置以及企业环境的推荐设置，并演示了如何启用四种类型的设置。执行此任务的要求凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开您在前面任务中个修改的“组策略对象”。工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。注：要打开 GPO，请使用已安装组策略对象编辑器管理单元的 MMC，或者使用“Active Directory 用户和计算机”控制台。 要在 Windows XP 客户计算机上使用“Active Dire

27、ctory 用户和计算机”控制台，则必须通过 Windows Server 2003 CD 运行 adminpak.msi使用组策略配置 Windows 防火墙设置使用组策略对象编辑器管理单元或“Active Directory 用户和计算机”，在适当的 GPO 中修改 Windows 防火墙设置。 配置 Windows 防火墙设置之后，下一次刷新计算机配置组策略将下载新的 Windows 防火墙设置，并将它们应用于运行 Windows XP SP2 的计算机。 配置 Windows 防火墙设置在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。

28、在“文件”菜单上，单击“添加/删除管理单元”。 在“独立”选项卡上，单击“添加”。 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 在“选择组策略对象”对话框中，单击“浏览”。选择您要配置的组策略对象，单击“确定”，然后单击“完成”以退出组策略向导。单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。在控制台树中打开“计算机配置”、“管理模板”、“网络”、“网络连接”，然后打开“Windows 防火墙”。 图 4 组策略中的 Windows 防火墙选项双击“Windows 防火墙：允许通过验证的 I

29、PSec 旁路”。图 5 允许通过验证的 IPSec 旁路表 1 概述了允许绕过已验证的 IPSec 选项。表 1 允许企业通过验证的 IPSec 旁路设置设置描述备注未配置此 GPO 不会更改 Windows 防火墙的当前配置已启用Windows 防火墙不会处理受 IPSec 保护的通信，除非是来自策略中列出的用户或组。列出用户和组的语法使用 SDDL 标准。 有关更多信息，请参阅下面的资源： HYPERLINK /fwlink/?linkid=35503 MSDN 网站 /fwlink/?linkid=35503 上的“Security Descriptor Definition Lang

30、uage”已禁用Windows 防火墙将处理受 IPSec 保护的通信。使用表 1 中的信息，然后单击“已启用”或“已禁用”。注：如果您单击“已启用”，则可以创建一个用户或组列表，并允许他们向您的计算机发送受 IPSec 保护的通信。单击“确定”。 选择“域配置文件”或“标准配置文件”。图 6 组策略中的 Windows 防火墙设置表 2 概述了用于域和标准配置文件的 Windows 防火墙组策略推荐设置。表 2 用于企业的 Windows 防火墙推荐设置设置描述域配置文件标准配置文件保护所有网络连接指定为所有网络连接启用 Windows 防火墙已启用已启用不允许例外指定放弃所有进入的垃圾通信

31、，包括例外通信未配置已启用，除非您必须配置程序例外定义程序例外按照程序文件名定义例外通信如果网络上的计算机运行附带 SP2 的 Windows XP，则启用和配置由其使用的程序（应用程序和服务）如果网络上的计算机运行附带 SP2 的 Windows XP，则启用和配置由其使用的程序（应用程序和服务）允许本地程序例外允许程序例外的本地配置已禁用，除非您需要本地管理员在本地配置程序例外已禁用允许远程管理例外允许使用工具进行远程配置禁用，除非您希望能够使用 MMC 管理单元远程管理您的计算机已禁用允许文件和打印共享机例外指定是否允许文件和打印机共享通信已禁用，除非运行 Windows XP SP2

32、的计算机共享本地资源已禁用允许 ICMP 例外指定允许的 ICMP 消息类型禁用，除非您希望使用 ping 命令排除故障已禁用允许远程桌面例外指定计算机是否可以接受基于远程桌面的连接请求已启用已启用允许 UPnP 框架例外指定计算机是否可以接收垃圾 UPnP 消息已禁用已禁用阻止通知禁用通知已禁用已禁用允许记录日志允许您记录通信并配置日志文件设置未配置未配置阻止对多播或广播请求的单播响应放弃针对多播或广播请求消息而收到的单播数据包已启用已启用定义端口例外按照 TCP 和 UDP 指定例外通信已禁用已禁用允许本地端口例外允许端口例外的本地配置已禁用已禁用启用端口的例外启用端口例外在“域配置文件”

33、或“标准配置文件”设置区域中，双击“Windows 防火墙：定义端口例外”。图 7 Windows 防火墙：定义端口例外属性单击“已启用”，然后单击“显示”。 图 8 显示内容单击“添加”。图 9 添加项目使用以下语法，键入您要阻止或启用的端口信息：port:transport:scope:status:name 此处的 port 是端口号码，transport 是 TCP 或 UDP，scope 是 *（用于所有系统）或允许访问端口的计算机列表，status 是已启用或已禁用，name 是用作此条目标签的文本字符串。在使用范围时，不支持主机名称、域名系统 (DNS) 名称或 DNS 后缀。

34、对于 IPv4 地址范围，您可以使用点分隔子网掩码或前缀长度来指定范围。 在使用点分隔子网掩码时，您可以将范围指定为 IPv4 网络 ID（例如 /），或者通过使用范围内的某个 IPv4 地址（例如 31/）来指定。 在使用网络前缀长度时，您可以将范围指定为 IPv4 网络 ID（例如 /24），或者通过使用范围内的某个 IPv4 地址（例如 31/24）来指定。有关 TCP/IP 地址和子网的详细信息，请参阅下面的资源：Microsoft 帮助和支持网站 /fwlink/?linkid=36370 上的 Microsoft 知识库文章 164015注：如果来源列表中的条目之间存在任何空格或其

35、它任何无效字符，则范围将被忽略，而设置也将表现为已被禁用。 保存更改之前，请双击您的范围语法。此实例使用名为 WebTest 的端口例外，并为所有连接启用 TCP 端口 80。单击“确定”以关闭“添加项目”。图 10 显示内容单击“确定”以关闭“显示内容”。单击“关闭”以关闭“Windows 防火墙：定义端口例外属性”。注：如果已选定“不允许例外”，则会忽略任何端口例外。启用程序的例外启用程序例外在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：定义程序例外”。图 11 Windows 防火墙：定义程序例外属性单击“已启用”，然后单击“显示”。图 12 显示内容单击“

36、添加”。图 13 添加项目使用以下语法，键入您要阻止或启用的程序信息：path:scope:status:name 此处的 path 是程序路径和文件名，scope 是 *（用于所有系统）或允许访问程序的计算机列表，status 是已启用或已禁用，name 是用作此条目标签的文本字符串。此实例将为所有连接启用 Windows Messenger。有关 TCP/IP 地址和子网的详细信息，请参阅下面的资源：Microsoft 帮助和支持网站 /fwlink/?linkid=36370 上的 Microsoft 知识库文章 164015单击“确定”以关闭“添加项目”。图 14 显示内容单击“确定”

37、以关闭“显示内容”。单击“关闭”以关闭“Windows 防火墙：定义程序例外属性”。配置基本 ICMP 选项有关 ICMP 的信息，请参阅下面的资源：Microsoft Windows XP 网站 /fwlink/?linkid=35499 上的“Internet Control Message Protocol (ICMP)”配置基本 ICMP 选项在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：允许 ICMP 例外”。单击“已启用”。图 15 Windows 防火墙：允许 ICMP 例外属性选择要启用的适当 ICMP 例外。 此实例选择允许入站回显请求。单击“确

38、定”以关闭“Windows 防火墙：允许 ICMP 例外属性”。记录丢弃的数据包和成功的连接记录丢弃的数据包和成功的连接在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：允许记录日志”。图 16 Windows 防火墙：允许记录日志属性单击“已启用”，选择“记录被丢弃的数据包”和“记录成功的连接”，键入日志文件路径和名称，然后单击“确定”。注：保存日志文件的位置必须得到保护，以防止删除或篡改日志。关闭组策略编辑器。如果提示保存控制台设置，请单击“否”。使用 GPUpdate 应用配置GPUpdate 实用工具将刷新基于活动目录的组策略设置，包括安全设置。 配置组策略之

39、后，您可以等待标准刷新周期将设置应用于客户计算机。 默认情况下的刷新周期为 90 分钟，动态偏差为 + 或 - 30 分钟。要在标准周期之间刷新组策略，请使用 GPUpdate 实用工具。验证 Windows 防火墙设置是否已应用注：使用组策略来配置 Windows 防火墙时，设置可能不允许本地管理员更改某些方面的配置。 在用户的本地计算机上，Windows 防火墙对话框中的某些选项卡和选项将无法使用。验证 Windows 防火墙设置是否已应用在“安全中心”的“管理安全设置”下，单击“Windows 防火墙”。单击“常规”、“例外”和“高级”选项卡，然后验证是否已将需要的配置应用于计算机上的

40、Windows 防火墙，然后单击“确定”以关闭 Windows 防火墙。注：如果配置设置未应用，您必须排除组策略应用程序的故障。 要排除组策略应用程序的故障，请参阅下面的资源：Microsoft 下载中心网站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Internet Explorer 安全设置对于 Windows XP SP2，您可以为计算机以及带新组策略设置的用户配置管理所有 Internet Explorer 安全设置。Windows XP SP2 使用策略设置的两个主要

41、区域：安全功能URL 操作安全功能策略设置允许您管理可能会影响 Internet Explorer 安全性的特定方案。 在大多数情况下，您需要防止特定的行为，因此必须确保已启用安全功能。 例如，恶意代码可能会在本地计算机区域而不是 Internet 区域中运行，从而尝试提升自己的权限。 为了帮助防止此类攻击，您可以使用“保护域提升”策略设置。 对于每种安全功能策略设置，您可以通过以下方法指定用于控制安全功能行为的策略设置：Internet Explorer 过程定义的过程列表所有过程，无论它们是从哪里启动统一资源定位器 (URL) 操作是指浏览器可以采取的操作，而这些操作可能会导致本地计算机出

42、现安全风险，例如尝试运行 Java applet 或 ActiveX 控制。 URL 操作与注册表中的安全设置相对应，而这些设置确定了针对 URL 所在安全区域中的功能所采取的操作。 URL 操作设置包括启用、禁用、提示和其它适用的设置。要对 Internet Explorer 中的 URL 操作进行安全管理，您可以使用“Internet 控制面板”下的新安全页组策略设置。 通过使用组策略来控制 URL 操作的安全性，您可以为组织内的所有用户和计算机创建标准 Internet Explorer 配置。要提供安全性，您可以使用安全区域模板策略设置为所有 URL 区域启用策略。 对于每种 URL

43、操作模板策略设置，您可以指定以下一个安全级别：低。 此级别通常用于包含用户完全信任的网站的 URL 安全区域。 这是“受信任的站点”区域的默认安全级别。中低。 此级别可用于包含似乎不会导致损害计算机或数据的网站的 URL 安全区域。 这是 Intranet 区域的默认安全级别。中。 此级别可用于包含既不是可信又不是不可信的网站的 URL 安全区域。 这是 Internet 区域的默认安全级别。高。 此级别用于包含可能会导致损坏用户计算机或数据的网站的 URL 安全区域。 这是“受限制的站点”区域的默认安全级别。有关安全功能控制的详细信息，请参阅以下内容： Microsoft TechNet 网

44、站 /fwlink/?linkid=35487 上的“Microsoft Windows XP Service Pack 2 中的功能变更”执行此任务的要求凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开“组策略对象”。工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置 Internet Explorer 安全设置配置 Internet Explorer 设置在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。在“文件”菜单上，单击“添加/删除管理单

45、元”。 在“独立”选项卡上，单击“添加”。 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 在“选择组策略对象”对话框中，单击“浏览”。选择您要配置的组策略对象，单击“确定”，然后单击“完成”以退出组策略向导。单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。在控制台树中打开“计算机配置”、“管理模板”、“Windows 组件”、“Internet Explorer”，然后打开“安全功能”。 图 18 Internet Explorer 组策略安全设置使用表 3 中的信息，配置 Internet

46、Explorer 安全设置。 表 3 Internet Explorer 安全功能设置设置描述默认配置企业环境的推荐配置二进制行为安全限制策略控制是防止还是允许二进制行为安全限制设置未配置在 #package#behavior notation 中，将组织的任何已认可行为添加到管理员认可的行为列表中MK 协议安全限制通过防止 MK 协议来减小受攻击面未配置为所有过程启用本地计算机区域锁定安全帮助减轻使用本地计算机区域以载入恶意 HTML 代码的攻击未配置为所有过程启用一致性 Mime 处理确定 Internet Explorer 是否要求 Web 服务器提供的所有文件类型信息都保持一致未配置为

47、所有过程启用Mime 探查安全功能确定 Internet Explorer MIME 窥探是否防止将一种类型的文件提示为更危险的文件类型未配置为所有过程启用对象缓存保护定义在用户浏览相同的域或新域时，是否可以访问对对象的引用未配置为所有过程启用脚本化 Window 安全限制限制弹出式窗口并禁止脚本显示窗口；在这些窗口中，标准和状态栏将不会显示给用户，或者会使其它标题和状态栏变得模糊未配置为所有过程启用保护域提升帮助保护本地计算机安全区域未配置为所有过程启用信息栏在安装的文件或代码受到限制时，管理是否为 Internet Explorer 过程显示信息栏未配置为所有过程启用限制 ActiveX

48、安装允许您阻止 Internet Explorer 过程的 ActiveX 控件安装提示未配置为所有过程启用限制文件下载允许您阻止并非由用户发出的文件下载提示未配置为所有过程启用加载项管理允许您确保加载项列表策略设置未列出的任何 Internet Explorer 加载项会被拒绝未配置为所有加载项启用，除非在加载项列表中特别允许网络协议锁定为 Internet、intranet、可信站点、受限站点和本地计算机安全区域指定受限制的协议列表未配置为每个安全区域启用特定协议展开“Internet 控制面板”图 19 Internet 控制面板设置启用每项设置以防止用户获得所列出 Internet E

49、xplorer 配置页面的访问权限。 要执行此操作，请双击每项设置，单击“已启用”，然后单击“确定”。展开“安全页”。图 20 Internet 控制面板安全页设置有两种方法可以配置安全区域；您可以使用模板，或者按照区域选择每项设置。以下之一：使用表 4 中的信息，以便使用区域模板来配置每个安全区域。 双击每个模板选项，然后单击“已启用”。使用表 5 中的信息，单独配置每个安全区域表 4 按照安全区域进行 Internet 控制面板设置设置推荐的配置推荐的级别Internet 区域模板已启用中Intranet 区域模板已启用中低受信任的站点区域模板已启用低受限制的站点区域模板已启用高本地计算机

50、区域模板已启用低锁定的本地计算机区域模板已启用高表 5 按照安全区域进行 Internet 控制面板设置设置描述默认配置下载已签名的 ActiveX 控件通过包含控件的 HTML 页面的 URL 区域，管理签名 ActiveX 控件的下载。未配置下载未签名的 ActiveX 控件通过包含控件的 HTML 页面的 URL 区域，管理未签名 ActiveX 控件的下载。未配置对没有标记为安全的 ActiveX 控件进行初始化和脚本运行通过区域中的 HTML 页面，管理 ActiveX 控件和插件的执行。未配置运行 ActiveX 控件和插件针对 URL 安全区域中的页面，确定是替换还是执行 Act

51、iveX 控件对象安全性。 只有在区域中的页面上可能产生交互的所有 ActiveX 控件和脚本可以确信不会破坏安全性时，才应该替换对象安全性。 这是 URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY 和 URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY 的综合。未配置允许活动脚本确定是否运行 URL 安全区域中的页面上的脚本代码。未配置Java 小程序脚本确定如果小程序的属性、方法和事件受脚本影响时，是否允许 URL 安全区域中的 HTML 页面上的脚本代码使用 Java 小程序。未配置对标记为可安全执行脚本的 ActiveX 控件执

52、行脚本确定是否可以将脚本用于安全的 ActiveX 控件。未配置通过域访问数据资源确定是否允许资源通过域访问数据源。未配置允许通过脚本进行粘贴操作确定脚本是否可以执行粘贴操作。未配置提交非加密表单数据确定是否允许 URL 安全区域中页面上的 HTML 表单或提交到区域中服务器上的表单。 URLACTION_HTML_SUBMIT_FORMS_FROM 和 URLACTION_HTML_SUBMIT_FORMS_TO 标志的综合。未配置允许字体下载确定是否允许 HTML 字体下载。未配置持续使用用户数据确定是否启用持续使用用户数据。未配置跨域浏览子框架确定是否允许子框架在不同域中导航。未配置使用

53、 GPUpdate 应用配置GPUpdate 实用工具将刷新基于活动目录的组策略设置，包括安全设置。 配置组策略之后，您可以等待标准刷新周期将设置应用于客户计算机。 默认情况下的刷新周期为 90 分钟，动态偏差为 + 或 - 30 分钟。要在标准周期之间刷新组策略，请使用 GPUpdate 实用工具。验证 Internet Explorer 安全设置是否已应用注：使用组策略来配置 Internet Explorer 时，设置可能不允许本地管理员更改某些方面的配置。 在用户的本地计算机上，对话框中的某些选项卡和选项将无法使用。验证 Internet Explorer 设置是否已应用在“安全中心”

54、的“管理安全设置”下，单击“Internet 选项”。单击“安全”、“隐私”和“高级”选项卡，然后验证是否已将需要的配置应用于计算机上的 Internet Explorer，然后单击“确定”以关闭“Internet 属性”。注：如果配置设置未应用，您必须排除组策略应用程序的故障。 要排除组策略应用程序的故障，请参阅下面的资源：Microsoft 下载中心网站 /fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003”配置 Internet 通信管理设置Windows XP SP2 提供了新的组策略设

55、置，主要设计用于控制 Windows XP SP2 中的组件与 Internet 进行通信的方式。 组策略设置允许您管理以下功能：联机订购图片打印使用联机存储空间发布到 Web在 Windows XP SP2 中，用户可以单击“Windows 资源管理器”中的任务以联机订购图片打印（“联机打印向导”）、注册获得提供联机存储空间的服务（“添加网上邻居向导”）或发布可以在浏览器中查看的文件（“Web 发布向导”），还可以执行其它任务。 任务或向导将从两个来源获得这些服务提供商的名称和 URL：一个本地存储的列表（在注册表中）和一个存储在 Microsoft 网站上的列表。 默认情况下，除了显示注册

56、表中列出的提供商外，Windows 还会显示 Microsoft Web 站点列表中的提供商。您可以使用以下组策略设置来控制这些向导和任务的工作方式，并控制这些组件与 Internet 进行通信的方式：关闭文件和文件夹的“发布到 Web”任务。 此策略设置将指定需要发布项目到 Web 的任务是否可以通过 Windows 文件夹中的“文件和文件夹任务”来使用。 任务包括将此文件发布到 Web、将此文件夹发布到 Web 以及将相关项目发布到 Web。 关闭“ Web 发布”和“联机订购向导”的 Internet 下载。 此策略设置将指定 Windows 是否应该为Web 发布向导”、“添加网上邻居

57、向导”和“联机打印向导”下载提供商的列表。 默认情况下，除了显示注册表中指定的提供商外，Windows 还会显示从 Windows 网站中下载的提供商。关闭“订购照片”图片任务。 此策略设置将指定“联机订购照片”任务是否可以通过 Windows 文件夹中的“图片任务”来使用。 此设置将禁用“联机照片订购向导”。这些策略设置可用于用户和计算机配置。有关如何控制使用“添加网上邻居向导”和“Web 发布向导”的更多信息，请参阅下面的资源：Microsoft TechNet 网站 /fwlink/?LinkId=35489 上的“Using Windows XP Professional with S

58、ervice Pack 2 in a Managed Environment: Controlling Communication with the Internet”执行此任务的要求凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开“组策略对象”。工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置 Internet 通信管理设置在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。在“文件”菜单上，单击“添加/删除管理单元”。 在“独立”选项卡上，单击

59、“添加”。 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 在“选择组策略对象”对话框中，单击“浏览”。选择您要配置的组策略对象，单击“确定”，然后单击“完成”以退出组策略向导。单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。在控制台树中打开“计算机配置”、“管理模板”、“系统”，然后打开“Internet 通信管理”。图 22 Internet 通信管理设置将“限制 Internet 通信”设置配置为“已禁用”以禁用 Internet 通信设置下的所有设置，或者配置为“已启用”以启用 Inte

60、rnet 通信设置下的所有设置。要单独配置每项设置，请展开“Internet 通信设置”，然后按照表 6 配置设置。表 6 推荐的 Internet 通信设置设置描述推荐设置关闭文件和文件夹的“发布到 Web”任务指定是 Windows 文件夹中的“文件和文件夹任务”是否包含“将这个文件发布到 Web”、“将这个文件夹发布到 Web”和“将选择的项目发布到 Web”任务已启用关闭“Web 发布”和“联机订购向导”的 Internet 下载控制 Windows 是否应该为 Web 发布和联机订购向导下载提供商的列表已启用关闭 Windows Messenger 客户体验改善活动指定 Window