1、.：.；如何在活動目錄環(huán)境下配置 Windows XP SP2 網(wǎng)絡維護技術目錄簡介 開場之前 在管理任務站和 Windows Small Business Server 2003 上添加修補程序 更新現(xiàn)有的組戰(zhàn)略對象 配置平安中心設置 配置 Windows 防火墻設置 配置 Internet Explorer 平安設置 配置 Internet 通訊管理設置 配置 DCOM 訪問設置 配置 RPC 設置 相關信息 簡介組戰(zhàn)略設置基于您的 Microsoft Active Directory 組織實施而運用，有助于經(jīng)過各類用戶和計算機內的規(guī)范配置設置來維護您的計算機環(huán)境。 用于 Microsof

2、t Windows XP Service Pack 2 (SP2) 的新組戰(zhàn)略網(wǎng)絡維護設置包括：Windows 防火墻。 配置這些戰(zhàn)略設置以翻開或封鎖防火墻、管理程序和端口例外并為特定方案定義例外，例如允許在目的計算機上進展遠程管理。 Internet Explorer。 經(jīng)過這些新的戰(zhàn)略設置，您可以配置 Microsoft Internet Explorer 平安設置。 此外，經(jīng)過戰(zhàn)略設置，您還可以為不同的過程啟用或禁用 Internet Explorer 平安功能。 Internet 通訊管理。 您可以配置這些設置以控制不同組件如何在 Windows XP SP2 上經(jīng)過 Internet

3、 進展通訊，以便執(zhí)行涉及到組織和 Internet 內的計算機之間信息交換的義務。DCOM 平安。 經(jīng)過配置這些設置，可以控制分布式組件對象模型 (DCOM) 的平安設置。 DCOM 根底構造包括新的訪問控制限制，有助于盡量減少網(wǎng)絡攻擊所帶來的平安風險。 平安中心。 經(jīng)過配置這些設置，可以集中管理 Windows 平安中心。 平安中心是 Windows XP SP2 中的新功能，允許您監(jiān)視組織內的計算機以確保它們得到最新的平安更新，并在計算機遭遇平安風險時提供用戶警報。遠程過程調用 (RPC)。 您可以配置 RPC 戰(zhàn)略設置以阻止對系統(tǒng)上的 RPC 接口的遠程匿名訪問，并防止對 RPC 終點映

4、射程序接口的匿名訪問。本文檔解釋了如何部署網(wǎng)絡維護組戰(zhàn)略設置，以協(xié)助 維護 Windows XP SP2 客戶計算機。 有關引薦設置的完好列表，請參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35465 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2您可以在活動目錄域中執(zhí)行關于組戰(zhàn)略對象 (GPO) 的義務。 其中一些義務可以經(jīng)過域控制器來運轉，但是通常都在包含活動目錄管理工具的 Windows

5、 XP SP2 客戶計算機上執(zhí)行。 注： 有關如何部署 GPO 的更多信息，請參閱下面的資源： Microsoft Windows Server System 網(wǎng)站 go.microsoft/fwlink/?linkid=35498 上的“Designing a Managed Environment: Staging Group Policy Deployments要在活動目錄環(huán)境下配置網(wǎng)絡維護，請配置以下義務： 在管理任務站上添加修補程序更新現(xiàn)有的 GPO配置平安中心設置配置 Windows 防火墻設置配置 Internet Explorer 設置配置 Internet 通訊管理設置配置

6、DCOM 平安設置配置 RPC 設置重要： 安裝操作系統(tǒng)時，運用默許出現(xiàn)的“開場菜單，便可獲得本文檔中的步驟闡明。 假設修正了“開場菜單，操作步驟會略有不同。有關平安相關術語的定義，請參閱下面的資源：Microsoft 網(wǎng)站 go.microsoft/fwlink/?LinkId=35468 上的“Microsoft Security Glossary開場之前在運用運轉以下任何產(chǎn)品版本的域控制器的活動目錄域中，Windows XP SP2 可以用作 Windows 域客戶端：Microsoft Windows Server 2003Microsoft Windows Small Busines

7、s Server 2003 Microsoft Windows 2000 Server SP3 或更高版本 安裝修補程序之前，請確保您已備份了計算機，包括注冊表的備份。有關如何備份注冊表的更多信息，請參閱下面的資源：Microsoft 協(xié)助 和支持網(wǎng)站 go.microsoft/fwlink/?linkid=36365 上的 Microsoft 知識庫文章 322756在管理任務站和 Windows Small Business Server 2003 上添加修補程序假設您在運轉較早版本操作系統(tǒng)或 Service Pack例如附帶 SP1 的 Windows XP 或 Windows Serv

8、er 2003的計算機上管理組戰(zhàn)略對象設置，那么必需安裝修補程序 (KB842933)，以使戰(zhàn)略設置正確地顯示在“組戰(zhàn)略對象編輯器中。假設您運用 Small Business Server 2003 (SBS 2003)，那么必需運用附加修補程序 (KB872769)，由于 SBS 2003 會默許封鎖 Windows 防火墻。 修補程序可以處理此問題。注：列出的修補程序并不是 Windows 更新的一部分，您必需單獨安裝它們。 修補程序必需單獨運用于一切受影響的系統(tǒng)。KB842933 適用于：Microsoft Windows Server 2003, Web Edition Microso

9、ft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Windows XP Professional SP1 Microsoft Windows Small Business Server 2003, Premium Edition Microsoft Windows Small Business Server 2003, Standa

10、rd Edition Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Server Microsoft Windows 2000 ProfessionalKB872769 適用于：Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows Small Business Server 2003, Premium Edition 注：要獲得這些修補程序并了解更多信息，請參閱下面的資源： Microsoft 協(xié)助 和支持網(wǎng)站

11、 go.microsoft/fwlink/?linkid=35474 上的 Microsoft 知識庫文章 842933Microsoft 協(xié)助 和支持網(wǎng)站 go.microsoft/fwlink/?linkid=35477 上的 Microsoft 知識庫文章 872769執(zhí)行此義務的要求憑據(jù)：您必需作為域管理員平安組或本地管理員平安組的成員登錄到客戶計算機。工具：按照知識庫文章 842933 和 872769 中的解釋，正確下載適用于您的操作系統(tǒng)的修補程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、

12、Windows XP SP1 或 Windows Server 2003 上添加修補程序 842933添加修補程序在 Windows 桌面上單擊“開場，單擊“運轉，鍵入已下載修補程序的途徑和文件名，然后單擊“確定。在“歡迎運用 KB842933 安裝導游頁面上，單擊“下一步。在“答應協(xié)議頁面中，單擊“我贊同，然后單擊“下一步。在“完成 KB842933 安裝導游頁面上單擊“完成，以便完成修補程序安裝并重新啟動計算機。為適用的一切系統(tǒng)效力器和管理任務站反復以上步驟。在 Windows Small Business Server 2003 上添加修補程序 872769添加修補程序在 Windows

13、 桌面上單擊“開場，單擊“運轉，鍵入已下載 872769 修補程序的途徑和文件名，然后單擊“確定。在“歡迎運用 KB872769 安裝導游頁面上，單擊“下一步。在“答應協(xié)議頁面中，單擊“我贊同，然后單擊“下一步?！巴瓿?KB872769 安裝導游頁面上單擊“完成，以便完成修補程序安裝并重新啟動計算機。更新現(xiàn)有的組戰(zhàn)略對象Windows XP SP2 將在管理模板中添加附加設置。 要配置這些新設置，每個 GPO 都必需運用在 Windows XP SP2 中找到的新管理模板進展更新。 除非更新組戰(zhàn)略對象，否那么將不能運用與 Windows 防火墻相關的設置。 假設安裝 Windows XP SP

14、2 的計算機上安裝了組戰(zhàn)略對象編輯器管理單元，那么可以運用 Microsoft 管理控制臺 (MMC) 來更新 GPO。更新 GPO 之后，您可以針對本人運轉 Windows XP SP2 的計算機來配置適當?shù)木W(wǎng)絡維護設置。執(zhí)行此義務的要求憑據(jù)：假設 Windows XP SP2 計算機是活動目錄域客戶端，那么必需作為域管理員或組戰(zhàn)略 Creator/Owner 平安組的成員登錄。工具：已安裝組戰(zhàn)略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。更新組戰(zhàn)略對象更新組戰(zhàn)略對象在 Windows XP SP2 桌面上單擊“開場，單擊“運轉，鍵入 mmc，然后單擊“確定。在“文件菜

15、單上，單擊“添加/刪除管理單元。 在“獨立選項卡上，單擊“添加。 在“可用的獨立管理單元列表中單擊“組戰(zhàn)略對象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對象對話框中，單擊“閱讀。圖 1 閱讀組戰(zhàn)略對象在“閱讀組戰(zhàn)略對象對話框中，選擇您要運用新的 Windows 防火墻設置來更新的組戰(zhàn)略對象。 單擊“確定，然后單擊“完成以封鎖組戰(zhàn)略導游。 此操作會將新的管理模板運用于選定的 GPO。在“添加獨立管理單元對話框中，單擊“封鎖。在“添加/刪除管理單元對話框中，單擊“確定。封鎖 MMC，單擊“文件并退出，不保管對控制設置所作的更改。注：雖然您不保管控制臺更改，以上過程也會未 Windows XP SP2

16、 的新管理模板導入到 GPO 中。 模板必需導入每個已定義的 GPO 中。 對要用于將組戰(zhàn)略運用到安裝 Windows XP SP2 的計算機的每個 GPO 反復這些步驟。注： 要為運用活動目錄和 Windows XP SP1 的網(wǎng)絡環(huán)境更新您的 GPO，Microsoft 建議您運用可免費下載的組戰(zhàn)略管理控制臺。 有關更多信息，請參閱下面的資源：Microsoft Windows Server System 網(wǎng)站 go.microsoft/fwlink/?linkID=35479 上的“Enterprise Management with the Group Policy Managemen

17、t Console配置平安中心設置平安中心是 Windows XP SP2 中的一項新效力，它提供的中央位置可用于更改平安設置、詳細了解平安性，并確保用戶的計算機具有 Microsoft 引薦的最新主要平安設置。 在 Windows 域環(huán)境中，您可以運用組戰(zhàn)略來允許平安中心監(jiān)視用戶的計算機，從而有助于確保它們具有最新的平安更新，并在用戶的計算機能夠遭遇風險時通知他們。 安裝中心效力將作為后臺進程運轉，并在用戶的計算機上檢查以下組件的形狀： 防火墻。 平安中心將檢查 Windows 防火墻是已翻開還是封鎖，同時檢查能否存在其它一些軟件防火墻。 為檢查其它防火墻，平安中心將查詢特定 Windows

18、 管理規(guī)范 (WMI) 提供程序，它們已由參與的供應商提供。病毒維護。 平安中心將檢查能否存在防病毒軟件。 為檢查能否存在防病毒軟件，平安中心將查詢由參與的供應商提供的特定 WMI 提供程序。 假設提供了信息，平安中心效力還將確定軟件是不是最新版本以及能否翻開了實時掃描。 自動更新。 平安中心將檢查并確保自動更新已設置為引薦的設置，該設置將為用戶的計算機自動下載并安裝重要更新。 假設自動更新已封鎖或未設置為引薦的設置，平安中心將提供適當?shù)慕ㄗh。假設發(fā)現(xiàn)組件短少或不符合您的平安戰(zhàn)略，平安中心將在工具欄的通知區(qū)域中顯示紅色圖標或在登錄時提供警告信息以向您發(fā)出警告。 此信息包含用于翻開平安中心用戶界

19、面的鏈接，它提供了關于問題以及修復建議的信息。假設您運轉的防火墻或防病毒軟件包件未被平安中心檢測到，那么可以將平安中心設置為繞過該組件的警告。對于 Windows 域中的計算機，您可以運用組戰(zhàn)略設置來集中管理平安中心功能。 假設您啟用“翻開平安中心僅限域 PC戰(zhàn)略設置，平安中心將監(jiān)視主要平安設置防火墻、防病毒軟件和自動更新，并且在用戶的計算機遭遇風險時通知他們。 在默許情況下，“翻開平安中心僅限域 PC戰(zhàn)略設置將不會啟用，這意味著它將在平安中心封鎖時封鎖，通知和平安中心形狀部分都不會顯示。 執(zhí)行此義務的要求憑據(jù)：假設 Windows XP SP2 計算機是活動目錄域客戶端，那么必需作為域管理員

20、平安組成員登錄，并翻開“組戰(zhàn)略對象。工具：已安裝組戰(zhàn)略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。配置平安中心設置假設運用此設置，那么允許運轉 Windows XP SP2 的計算機的用戶運用平安中心來發(fā)布關于防火墻、防病毒軟件包件和自動更新的警告。 配置平安中心設置在 Windows XP SP2 桌面上單擊“開場，單擊“運轉，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨立選項卡上，單擊“添加。 在“可用的獨立管理單元列表中找到并單擊“組戰(zhàn)略對象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對象對話框中，單擊“閱讀。從列表中選擇您要配置的組

21、戰(zhàn)略對象。 單擊“確定，然后單擊“完成以封鎖組戰(zhàn)略導游。單擊“封鎖以退出“添加獨立管理單元對話框，然后單擊“確定以退出“添加/刪除管理單元對話框并前往管理控制臺。在控制臺樹中翻開“計算機配置、“管理模板、“Windows 組件，然后翻開“平安中心。圖 2 平安中心設置雙擊“啟用平安中心僅域電腦，單擊“已啟用，然后單擊“確定。 運用 GPUpdate 運用配置GPUpdate 適用工具將刷新基于活動目錄的組戰(zhàn)略設置，包括平安設置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設置運用于客戶計算機。 默許情況下的刷新周期為 90 分鐘，動態(tài)偏向為 + 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請

22、運用 GPUpdate 適用工具。驗證平安中心設置能否已運用驗證平安中心設置能否已運用在 Windows XP 桌面上單擊“開場，然后單擊“控制面板。在“選擇一個類別下單擊“平安中心。驗證平安中心能否已啟動。注：假設配置設置未運用，您必需排除組戰(zhàn)略運用程序的缺點。 要排除組戰(zhàn)略運用程序的缺點，請參閱下面的資源： Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Windows 防火墻設置有三套 Windows 防火墻設置需求配置：

23、 允許經(jīng)過驗證的 IPSec 旁路。 此設置在組織運用 Internet 協(xié)議平安 (IPSec) 時運用，用于維護通訊量并啟用 Windows 防火墻。域配置文件。 假設計算機銜接至某個網(wǎng)絡，而該網(wǎng)絡中包含的域控制器同樣用于這些計算機所屬的域，那么會運用這些設置。規(guī)范配置文件。 假設計算機未銜接至您的網(wǎng)絡例如在您攜帶膝上型計算機時，那么會運用這些設置。假設您不配置規(guī)范配置文件設置，那么默許值將保管不變。 Microsoft 建議您同時配置域和規(guī)范配置文件設置，并且為兩個配置文件都啟用 Windows 防火墻。 獨一的例外是您預備運用第三方主機防火墻產(chǎn)品。假設您預備運用第三方主機防火墻產(chǎn)品，那

24、么 Microsoft 建議您禁用 Windows 防火墻。 假設您決議在整個組織網(wǎng)絡中禁用 Windows 防火墻，并且網(wǎng)絡中混合包含運轉未安裝 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的計算機，那么應該配置這些組戰(zhàn)略設置：“制止在 DNS 域網(wǎng)絡上運用 Internet 銜接防火墻設置為“已啟用“域配置文件 Windows 防火墻：維護一切網(wǎng)絡銜接設置為“已禁用“規(guī)范配置文件 Windows 防火墻：維護一切網(wǎng)絡銜接設置為“已禁用注：此規(guī)范配置文件設置將確保未運用 Windows 防火墻，而無論計算機能否銜接至您的

25、組織網(wǎng)絡。 為確保 Windows 防火墻未在您的組織網(wǎng)絡上運用，但是計算機未銜接至網(wǎng)絡時運用，那么將此設置更改為“已啟用。規(guī)范配置文件設置比域配置文件更受限制，由于規(guī)范配置文件設置不包括僅在受管理域環(huán)境中運用的運用程序和效力。在 GPO 中，域配置文件和規(guī)范配置文件都包含一樣的 Windows 防火墻設置集。 Windows XP SP2 依托網(wǎng)絡確定來運用正確的配置文件。 注：有關網(wǎng)絡確定的更多信息，請參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35480 上的“Network Determination Behavio

26、r for Network-Related Group Policy Settings本節(jié)引見了 GPO 中能夠運用的 Windows 防火墻設置以及企業(yè)環(huán)境的引薦設置，并演示了如何啟用四種類型的設置。執(zhí)行此義務的要求憑據(jù)：假設 Windows XP SP2 計算機是活動目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開您在前面義務中個修正的“組戰(zhàn)略對象。工具：已安裝組戰(zhàn)略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。注：要翻開 GPO，請運用已安裝組戰(zhàn)略對象編輯器管理單元的 MMC，或者運用“Active Directory 用戶和計算機控制臺。 要在 Window

27、s XP 客戶計算機上運用“Active Directory 用戶和計算機控制臺，那么必需經(jīng)過 Windows Server 2003 CD 運轉 adminpak.msi運用組戰(zhàn)略配置 Windows 防火墻設置運用組戰(zhàn)略對象編輯器管理單元或“Active Directory 用戶和計算機，在適當?shù)?GPO 中修正 Windows 防火墻設置。 配置 Windows 防火墻設置之后，下一次刷新計算機配置組戰(zhàn)略將下載新的 Windows 防火墻設置，并將它們運用于運轉 Windows XP SP2 的計算機。 配置 Windows 防火墻設置在 Windows XP SP2 桌面上單擊“開場，

28、單擊“運轉，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨立選項卡上，單擊“添加。 在“可用的獨立管理單元列表中找到并單擊“組戰(zhàn)略對象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對象對話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導游。單擊“封鎖以退出“添加獨立管理單元對話框，然后單擊“確定以退出“添加/刪除管理單元對話框并前往管理控制臺。在控制臺樹中翻開“計算機配置、“管理模板、“網(wǎng)絡、“網(wǎng)絡銜接，然后翻開“Windows 防火墻。 圖 4 組戰(zhàn)略中的 Windows 防火墻選項雙擊“Windows 防火墻：允許經(jīng)過驗證的

29、IPSec 旁路。圖 5 允許經(jīng)過驗證的 IPSec 旁路表 1 概述了允許繞過已驗證的 IPSec 選項。表 1 允許企業(yè)經(jīng)過驗證的 IPSec 旁路設置設置描畫備注未配置此 GPO 不會更改 Windows 防火墻的當前配置已啟用Windows 防火墻不會處置受 IPSec 維護的通訊，除非是戰(zhàn)略中列出的用戶或組。列出用戶和組的語法運用 SDDL 規(guī)范。 有關更多信息，請參閱下面的資源： HYPERLINK go.microsoft/fwlink/?linkid=35503 t _blank MSDN 網(wǎng)站 go.microsoft/fwlink/?linkid=35503 上的“Secu

30、rity Descriptor Definition Language已禁用Windows 防火墻將處置受 IPSec 維護的通訊。運用表 1 中的信息，然后單擊“已啟用或“已禁用。注：假設您單擊“已啟用，那么可以創(chuàng)建一個用戶或組列表，并允許他們向您的計算機發(fā)送受 IPSec 維護的通訊。單擊“確定。 選擇“域配置文件或“規(guī)范配置文件。圖 6 組戰(zhàn)略中的 Windows 防火墻設置表 2 概述了用于域和規(guī)范配置文件的 Windows 防火墻組戰(zhàn)略引薦設置。表 2 用于企業(yè)的 Windows 防火墻引薦設置設置描畫域配置文件規(guī)范配置文件維護一切網(wǎng)絡銜接指定為一切網(wǎng)絡銜接啟用 Windows 防火

31、墻已啟用已啟用不允許例外指定放棄一切進入的渣滓通訊，包括例外通訊未配置已啟用，除非您必需配置程序例外定義程序例外按照程序文件名定義例外通訊假設網(wǎng)絡上的計算機運轉附帶 SP2 的 Windows XP，那么啟用和配置由其運用的程序運用程序和效力假設網(wǎng)絡上的計算機運轉附帶 SP2 的 Windows XP，那么啟用和配置由其運用的程序運用程序和效力允許本地程序例外允許程序例外的本地配置已禁用，除非您需求本地管理員在本地配置程序例外已禁用允許遠程管理例外允許運用工具進展遠程配置禁用，除非您希望可以運用 MMC 管理單元遠程管理您的計算機已禁用允許文件和打印共享機例外指定能否允許文件和打印機共享通訊已

32、禁用，除非運轉 Windows XP SP2 的計算機共享本地資源已禁用允許 ICMP 例外指定允許的 ICMP 音訊類型禁用，除非您希望運用 ping 命令排除缺點已禁用允許遠程桌面例外指定計算機能否可以接受基于遠程桌面的銜接懇求已啟用已啟用允許 UPnP 框架例外指定計算機能否可以接納渣滓 UPnP 音訊已禁用已禁用阻止通知禁用通知已禁用已禁用允許記錄日志允許您記錄通訊并配置日志文件設置未配置未配置阻止對多播或廣播懇求的單播呼應放棄針對多播或廣播懇求音訊而收到的單播數(shù)據(jù)包已啟用已啟用定義端口例外按照 TCP 和 UDP 指定例外通訊已禁用已禁用允許本地端口例外允許端口例外的本地配置已禁用已

33、禁用啟用端口的例外啟用端口例外在“域配置文件或“規(guī)范配置文件設置區(qū)域中，雙擊“Windows 防火墻：定義端口例外。圖 7 Windows 防火墻：定義端口例外屬性單擊“已啟用，然后單擊“顯示。 圖 8 顯示內容單擊“添加。圖 9 添加工程運用以下語法，鍵入您要阻止或啟用的端口信息：port:transport:scope:status:name 此處的 port 是端口號碼，transport 是 TCP 或 UDP，scope 是 *用于一切系統(tǒng)或允許訪問端口的計算機列表，status 是已啟用或已禁用，name 是用作此條目的簽的文本字符串。在運用范圍時，不支持主機稱號、域名系統(tǒng) (DN

34、S) 稱號或 DNS 后綴。 對于 IPv4 地址范圍，您可以運用點分隔子網(wǎng)掩碼或前綴長度來指定范圍。 在運用點分隔子網(wǎng)掩碼時，您可以將范圍指定為 IPv4 網(wǎng)絡 ID例如 10.47.81.0/255.255.255.0，或者經(jīng)過運用范圍內的某個 IPv4 地址例如 10.47.81.231/255.255.255.0來指定。 在運用網(wǎng)絡前綴長度時，您可以將范圍指定為 IPv4 網(wǎng)絡 ID例如 10.47.81.0/24，或者經(jīng)過運用范圍內的某個 IPv4 地址例如 10.47.81.231/24來指定。有關 TCP/IP 地址和子網(wǎng)的詳細信息，請參閱下面的資源：Microsoft 協(xié)助 和

35、支持網(wǎng)站 go.microsoft/fwlink/?linkid=36370 上的 Microsoft 知識庫文章 164015注：假設來源列表中的條目之間存在任何空格或其它任何無效字符，那么范圍將被忽略，而設置也將表現(xiàn)為已被禁用。 保管更改之前，請雙擊您的范圍語法。此實例運用名為 WebTest 的端口例外，并為一切銜接啟用 TCP 端口 80。單擊“確定以封鎖“添加工程。圖 10 顯示內容單擊“確定以封鎖“顯示內容。單擊“封鎖以封鎖“Windows 防火墻：定義端口例外屬性。注：假設已選定“不允許例外，那么會忽略任何端口例外。啟用程序的例外啟用程序例外在“域配置文件或“規(guī)范配置文件設置區(qū)域

36、中，雙擊“Windows 防火墻：定義程序例外。圖 11 Windows 防火墻：定義程序例外屬性單擊“已啟用，然后單擊“顯示。圖 12 顯示內容單擊“添加。圖 13 添加工程運用以下語法，鍵入您要阻止或啟用的程序信息：path:scope:status:name 此處的 path 是程序途徑和文件名，scope 是 *用于一切系統(tǒng)或允許訪問程序的計算機列表，status 是已啟用或已禁用，name 是用作此條目的簽的文本字符串。此實例將為一切銜接啟用 Windows Messenger。有關 TCP/IP 地址和子網(wǎng)的詳細信息，請參閱下面的資源：Microsoft 協(xié)助 和支持網(wǎng)站 go.m

37、icrosoft/fwlink/?linkid=36370 上的 Microsoft 知識庫文章 164015單擊“確定以封鎖“添加工程。圖 14 顯示內容單擊“確定以封鎖“顯示內容。單擊“封鎖以封鎖“Windows 防火墻：定義程序例外屬性。配置根本 ICMP 選項有關 ICMP 的信息，請參閱下面的資源：Microsoft Windows XP 網(wǎng)站 go.microsoft/fwlink/?linkid=35499 上的“Internet Control Message Protocol (ICMP)配置根本 ICMP 選項在“域配置文件或“規(guī)范配置文件設置區(qū)域中，雙擊“Windows

38、防火墻：允許 ICMP 例外。單擊“已啟用。圖 15 Windows 防火墻：允許 ICMP 例外屬性選擇要啟用的適當 ICMP 例外。 此實例選擇允許入站回顯懇求。單擊“確定以封鎖“Windows 防火墻：允許 ICMP 例外屬性。記錄丟棄的數(shù)據(jù)包和勝利的銜接記錄丟棄的數(shù)據(jù)包和勝利的銜接在“域配置文件或“規(guī)范配置文件設置區(qū)域中，雙擊“Windows 防火墻：允許記錄日志。圖 16 Windows 防火墻：允許記錄日志屬性單擊“已啟用，選擇“記錄被丟棄的數(shù)據(jù)包和“記錄勝利的銜接，鍵入日志文件途徑和稱號，然后單擊“確定。注：保管日志文件的位置必需得到維護，以防止刪除或篡改日志。封鎖組戰(zhàn)略編輯器。

39、假設提示保管控制臺設置，請單擊“否。運用 GPUpdate 運用配置GPUpdate 適用工具將刷新基于活動目錄的組戰(zhàn)略設置，包括平安設置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設置運用于客戶計算機。 默許情況下的刷新周期為 90 分鐘，動態(tài)偏向為 + 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請運用 GPUpdate 適用工具。驗證 Windows 防火墻設置能否已運用注：運用組戰(zhàn)略來配置 Windows 防火墻時，設置能夠不允許本地管理員更改某些方面的配置。 在用戶的本地計算機上，Windows 防火墻對話框中的某些選項卡和選項將無法運用。驗證 Windows 防火墻設置能否已運

40、用在“平安中心的“管理平安設置下，單擊“Windows 防火墻。單擊“常規(guī)、“例外和“高級選項卡，然后驗證能否已將需求的配置運用于計算機上的 Windows 防火墻，然后單擊“確定以封鎖 Windows 防火墻。注：假設配置設置未運用，您必需排除組戰(zhàn)略運用程序的缺點。 要排除組戰(zhàn)略運用程序的缺點，請參閱下面的資源：Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Internet Explorer 平安設置對于 Windows X

41、P SP2，您可以為計算機以及帶新組戰(zhàn)略設置的用戶配置管理一切 Internet Explorer 平安設置。Windows XP SP2 運用戰(zhàn)略設置的兩個主要區(qū)域：平安功能URL 操作平安功能戰(zhàn)略設置允許您管理能夠會影響 Internet Explorer 平安性的特定方案。 在大多數(shù)情況下，您需求防止特定的行為，因此必需確保已啟用平安功能。 例如，惡意代碼能夠會在本地計算機區(qū)域而不是 Internet 區(qū)域中運轉，從而嘗試提升本人的權限。 為了協(xié)助 防止此類攻擊，您可以運用“維護域提升戰(zhàn)略設置。 對于每種平安功能戰(zhàn)略設置，您可以經(jīng)過以下方法指定用于控制平安功能行為的戰(zhàn)略設置：Intern

42、et Explorer 過程定義的過程列表一切過程，無論它們是從哪里啟動一致資源定位器 (URL) 操作是指閱讀器可以采取的操作，而這些操作能夠會導致本地計算機出現(xiàn)平安風險，例如嘗試運轉 Java applet 或 ActiveX 控制。 URL 操作與注冊表中的平安設置相對應，而這些設置確定了針對 URL 所在平安區(qū)域中的功能所采取的操作。 URL 操作設置包括啟用、禁用、提示和其它適用的設置。要對 Internet Explorer 中的 URL 操作進展平安管理，您可以運用“Internet 控制面板下的新平安頁組戰(zhàn)略設置。 經(jīng)過運用組戰(zhàn)略來控制 URL 操作的平安性，您可以為組織內的一

43、切用戶和計算機創(chuàng)建規(guī)范 Internet Explorer 配置。要提供平安性，您可以運用平安區(qū)域模板戰(zhàn)略設置為一切 URL 區(qū)域啟用戰(zhàn)略。 對于每種 URL 操作模板戰(zhàn)略設置，您可以指定以下一個平安級別：低。 此級別通常用于包含用戶完全信任的網(wǎng)站的 URL 平安區(qū)域。 這是“受信任的站點區(qū)域的默許平安級別。中低。 此級別可用于包含似乎不會導致?lián)p害計算機或數(shù)據(jù)的網(wǎng)站的 URL 平安區(qū)域。 這是 Intranet 區(qū)域的默許平安級別。中。 此級別可用于包含既不是可信又不是不可信的網(wǎng)站的 URL 平安區(qū)域。 這是 Internet 區(qū)域的默許平安級別。高。 此級別用于包含能夠會導致?lián)p壞用戶計算機或

44、數(shù)據(jù)的網(wǎng)站的 URL 平安區(qū)域。 這是“受限制的站點區(qū)域的默許平安級別。有關平安功能控制的詳細信息，請參閱以下內容： Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35487 上的“Microsoft Windows XP Service Pack 2 中的功能變卦執(zhí)行此義務的要求憑據(jù)：假設 Windows XP SP2 計算機是活動目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開“組戰(zhàn)略對象。工具：已安裝組戰(zhàn)略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。 配置 Internet Explorer 平安設置配置

45、Internet Explorer 設置在 Windows XP SP2 桌面上單擊“開場，單擊“運轉，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨立選項卡上，單擊“添加。 在“可用的獨立管理單元列表中找到并單擊“組戰(zhàn)略對象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對象對話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導游。單擊“封鎖以退出“添加獨立管理單元對話框，然后單擊“確定以退出“添加/刪除管理單元對話框并前往管理控制臺。在控制臺樹中翻開“計算機配置、“管理模板、“Windows 組件、“Internet Explor

46、er，然后翻開“平安功能。 圖 18 Internet Explorer 組戰(zhàn)略平安設置運用表 3 中的信息，配置 Internet Explorer 平安設置。 表 3 Internet Explorer 平安功能設置設置描畫默許配置企業(yè)環(huán)境的引薦配置二進制行為平安限制戰(zhàn)略控制是防止還是允許二進制行為平安限制設置未配置在 #package#behavior notation 中，將組織的任何已認可行為添加到管理員認可的行為列表中MK 協(xié)議平安限制經(jīng)過防止 MK 協(xié)議來減小受攻擊面未配置為一切過程啟用本地計算機區(qū)域鎖定平安協(xié)助 減輕運用本地計算機區(qū)域以載入惡意 HTML 代碼的攻擊未配置為一切

47、過程啟用一致性 Mime 處置確定 Internet Explorer 能否要求 Web 效力器提供的一切文件類型信息都堅持一致未配置為一切過程啟用Mime 探查平安功能確定 Internet Explorer MIME 窺探能否防止將一種類型的文件提示為更危險的文件類型未配置為一切過程啟用對象緩存維護定義在用戶閱讀一樣的域或新域時，能否可以訪問對對象的援用未配置為一切過程啟用腳本化 Window 平安限制限制彈出式窗口并制止腳本顯示窗口；在這些窗口中，規(guī)范和形狀欄將不會顯示給用戶，或者會使其它標題和形狀欄變得模糊未配置為一切過程啟用維護域提升協(xié)助 維護本地計算機平安區(qū)域未配置為一切過程啟用信

48、息欄在安裝的文件或代碼遭到限制時，管理能否為 Internet Explorer 過程顯示信息欄未配置為一切過程啟用限制 ActiveX 安裝允許您阻止 Internet Explorer 過程的 ActiveX 控件安裝提示未配置為一切過程啟用限制文件下載允許您阻止并非由用戶發(fā)出的文件下載提示未配置為一切過程啟用加載項管理允許您確保加載項列表戰(zhàn)略設置未列出的任何 Internet Explorer 加載項會被回絕未配置為一切加載項啟用，除非在加載項列表中特別允許網(wǎng)絡協(xié)議鎖定為 Internet、intranet、可信站點、受限站點和本地計算機平安區(qū)域指定受限制的協(xié)議列表未配置為每個平安區(qū)域啟

49、用特定協(xié)議展開“Internet 控制面板圖 19 Internet 控制面板設置啟用每項設置以防止用戶獲得所列出 Internet Explorer 配置頁面的訪問權限。 要執(zhí)行此操作，請雙擊每項設置，單擊“已啟用，然后單擊“確定。展開“平安頁。圖 20 Internet 控制面板平安頁設置有兩種方法可以配置平安區(qū)域；您可以運用模板，或者按照區(qū)域選擇每項設置。以下之一：運用表 4 中的信息，以便運用區(qū)域模板來配置每個平安區(qū)域。 雙擊每個模板選項，然后單擊“已啟用。運用表 5 中的信息，單獨配置每個平安區(qū)域表 4 按照平安區(qū)域進展 Internet 控制面板設置設置引薦的配置引薦的級別Inte

50、rnet 區(qū)域模板已啟用中Intranet 區(qū)域模板已啟用中低受信任的站點區(qū)域模板已啟用低受限制的站點區(qū)域模板已啟用高本地計算機區(qū)域模板已啟用低鎖定的本地計算機區(qū)域模板已啟用高表 5 按照平安區(qū)域進展 Internet 控制面板設置設置描畫默許配置下載已簽名的 ActiveX 控件經(jīng)過包含控件的 HTML 頁面的 URL 區(qū)域，管理簽名 ActiveX 控件的下載。未配置下載未簽名的 ActiveX 控件經(jīng)過包含控件的 HTML 頁面的 URL 區(qū)域，管理未簽名 ActiveX 控件的下載。未配置對沒有標志為平安的 ActiveX 控件進展初始化和腳本運轉經(jīng)過區(qū)域中的 HTML 頁面，管理 A

51、ctiveX 控件和插件的執(zhí)行。未配置運轉 ActiveX 控件和插件針對 URL 平安區(qū)域中的頁面，確定是交換還是執(zhí)行 ActiveX 控件對象平安性。 只需在區(qū)域中的頁面上能夠產(chǎn)生交互的一切 ActiveX 控件和腳本可以確信不會破壞平安性時，才應該交換對象平安性。 這是 URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY 和 URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY 的綜合。未配置允許活動腳本確定能否運轉 URL 平安區(qū)域中的頁面上的腳本代碼。未配置Java 小程序腳本確定假設小程序的屬性、方法和事件受腳本影響時，能否允許

52、 URL 平安區(qū)域中的 HTML 頁面上的腳本代碼運用 Java 小程序。未配置對標志為可平安執(zhí)行腳本的 ActiveX 控件執(zhí)行腳本確定能否可以將腳本用于平安的 ActiveX 控件。未配置經(jīng)過域訪問數(shù)據(jù)資源確定能否允許資源經(jīng)過域訪問數(shù)據(jù)源。未配置允許經(jīng)過腳本進展粘貼操作確定腳天性否可以執(zhí)行粘貼操作。未配置提交非加密表單數(shù)據(jù)確定能否允許 URL 平安區(qū)域中頁面上的 HTML 表單或提交到區(qū)域中效力器上的表單。 URLACTION_HTML_SUBMIT_FORMS_FROM 和 URLACTION_HTML_SUBMIT_FORMS_TO 標志的綜合。未配置允許字體下載確定能否允許 HTML

53、 字體下載。未配置繼續(xù)運用用戶數(shù)據(jù)確定能否啟用繼續(xù)運用用戶數(shù)據(jù)。未配置跨域閱讀子框架確定能否允許子框架在不同域中導航。未配置運用 GPUpdate 運用配置GPUpdate 適用工具將刷新基于活動目錄的組戰(zhàn)略設置，包括平安設置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設置運用于客戶計算機。 默許情況下的刷新周期為 90 分鐘，動態(tài)偏向為 + 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請運用 GPUpdate 適用工具。驗證 Internet Explorer 平安設置能否已運用注：運用組戰(zhàn)略來配置 Internet Explorer 時，設置能夠不允許本地管理員更改某些方面的配置。 在

54、用戶的本地計算機上，對話框中的某些選項卡和選項將無法運用。驗證 Internet Explorer 設置能否已運用在“平安中心的“管理平安設置下，單擊“Internet 選項。單擊“平安、“隱私和“高級選項卡，然后驗證能否已將需求的配置運用于計算機上的 Internet Explorer，然后單擊“確定以封鎖“Internet 屬性。注：假設配置設置未運用，您必需排除組戰(zhàn)略運用程序的缺點。 要排除組戰(zhàn)略運用程序的缺點，請參閱下面的資源：Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Poli

55、cy in Windows Server 2003配置 Internet 通訊管理設置Windows XP SP2 提供了新的組戰(zhàn)略設置，主要設計用于控制 Windows XP SP2 中的組件與 Internet 進展通訊的方式。 組戰(zhàn)略設置允許您管理以下功能：聯(lián)機訂購圖片打印運用聯(lián)機存儲空間發(fā)布到 Web在 Windows XP SP2 中，用戶可以單擊“Windows 資源管理器中的義務以聯(lián)機訂購圖片打印“聯(lián)機打印導游、注冊獲得提供聯(lián)機存儲空間的效力“添加網(wǎng)上鄰居導游或發(fā)布可以在閱讀器中查看的文件“Web 發(fā)布導游，還可以執(zhí)行其它義務。 義務或導游將從兩個來源獲得這些效力提供商的稱號和

56、URL：一個本地存儲的列表在注冊表中和一個存儲在 Microsoft 網(wǎng)站上的列表。 默許情況下，除了顯示注冊表中列出的提供商外，Windows 還會顯示 Microsoft Web 站點列表中的提供商。您可以運用以下組戰(zhàn)略設置來控制這些導游和義務的任務方式，并控制這些組件與 Internet 進展通訊的方式：封鎖文件和文件夾的“發(fā)布到 Web義務。 此戰(zhàn)略設置將指定需求發(fā)布工程到 Web 的義務能否可以經(jīng)過 Windows 文件夾中的“文件和文件夾義務來運用。 義務包括將此文件發(fā)布到 Web、將此文件夾發(fā)布到 Web 以及將相關工程發(fā)布到 Web。 封鎖“ Web 發(fā)布和“聯(lián)機訂購導游的 I

57、nternet 下載。 此戰(zhàn)略設置將指定 Windows 能否應該為Web 發(fā)布導游、“添加網(wǎng)上鄰居導游和“聯(lián)機打印導游下載提供商的列表。 默許情況下，除了顯示注冊表中指定的提供商外，Windows 還會顯示從 Windows 網(wǎng)站中下載的提供商。封鎖“訂購照片圖片義務。 此戰(zhàn)略設置將指定“聯(lián)機訂購照片義務能否可以經(jīng)過 Windows 文件夾中的“圖片義務來運用。 此設置將禁用“聯(lián)機照片訂購導游。這些戰(zhàn)略設置可用于用戶和計算機配置。有關如何控制運用“添加網(wǎng)上鄰居導游和“Web 發(fā)布導游的更多信息，請參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink

58、/?LinkId=35489 上的“Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet執(zhí)行此義務的要求憑據(jù)：假設 Windows XP SP2 計算機是活動目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開“組戰(zhàn)略對象。工具：已安裝組戰(zhàn)略對象編輯器管理單元的 Microsoft 管理控制臺 (MMC)。配置 Internet 通訊管理設置在 Windows XP SP2 桌面上單擊“開場，單擊“運轉，鍵

59、入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨立選項卡上，單擊“添加。 在“可用的獨立管理單元列表中找到并單擊“組戰(zhàn)略對象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對象對話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導游。單擊“封鎖以退出“添加獨立管理單元對話框，然后單擊“確定以退出“添加/刪除管理單元對話框并前往管理控制臺。在控制臺樹中翻開“計算機配置、“管理模板、“系統(tǒng)，然后翻開“Internet 通訊管理。圖 22 Internet 通訊管理設置將“限制 Internet 通訊設置配置為“已禁用以禁用 Internet

60、通訊設置下的一切設置，或者配置為“已啟用以啟用 Internet 通訊設置下的一切設置。要單獨配置每項設置，請展開“Internet 通訊設置，然后按照表 6 配置設置。表 6 引薦的 Internet 通訊設置設置描畫引薦設置封鎖文件和文件夾的“發(fā)布到 Web義務指定是 Windows 文件夾中的“文件和文件夾義務能否包含“將這個文件發(fā)布到 Web、“將這個文件夾發(fā)布到 Web和“將選擇的工程發(fā)布到 Web義務已啟用封鎖“Web 發(fā)布和“聯(lián)機訂購導游的 Internet 下載控制 Windows 能否應該為 Web 發(fā)布和聯(lián)機訂購導游下載提供商的列表已啟用封鎖 Windows Messeng