管理模板
本模塊詳細討論了使用管理模板來配置其他安全設置並將其應用於 MicrosoftWindowsXP Professional 的過程。管理模板 (。adm) 文件用於配置 Windows XP 注冊表中的一些設置,這些設置控制許多服務、應用程序和操作系統組件的行為。
Windows XP Service Pack 1 附帶的五個管理模板包括 600 多個設置,其中有用於 Windows XP Professional 的 100 多個新設置。Microsoft Windows Server 2003管理模板中的幾個設置不適用於 Windows XP.有關可用於 Windows XP 的所有管理模板設置的完整列表,請參閱本模塊結尾處“其他信息”內容中引用的“策略設置”Excel 工作簿。下表列出了 .adm 文件,並概括了受其影響的應用程序和服務。
表 4.1:管理模板文件
注意:您必須手動配置組策略對象 (GPO) 中的管理模板設置,才能將它們應用於您所在環境中的計算機和用戶。
管理模板中的設置分為以下兩大組:
存儲在 HKEY_Local_Machine 注冊表配置單元中的計算機配置設置。
存儲在 HKEY_Current_User 注冊表配置單元中的用戶配置設置。
與模塊 3“Windows XP 客戶端安全設置”類似,本指南定義的企業客戶端環境和高安全級環境都有相應的設置建議。
本模塊第一部分討論的計算機配置設置適用於本指南定義的兩種環境。本模塊後面討論的用戶配置設置也適用於這兩種環境。
注意:用戶設置通過鏈接 GPO 應用於包含用戶的 OU.有關此 OU 的其他詳細信息,請參閱模塊 2“配置 Active Directory 域基礎結構”。
在組策略對象編輯器中,一些設置在計算機配置和用戶配置下都是可用的。如果將某個設置應用於登錄到某台計算機的用戶,但已經通過組策略將相同的計算機配置設置應用於該計算機,則計算機配置設置優先於用戶配置設置。
Microsoft Office XP 的其他管理模板可以從 Microsoft Office XP Resource Kit 獲得。如果 Windows XP Professional 中存在要通過組策略應用的其他設置,則您可以開發自己的自定義模板。有關開發自定義管理模板的詳細信息,請參閱本模塊結尾處“其他信息”中列出的白皮書。
本模塊未涉及 Microsoft 提供的管理模板的所有可能設置;所討論的管理模板的許多設置都是不針對安全性的用戶界面 (UI) 設置。請根據所在組織的安全性目標,決定本指南中哪些設置配置適用於您的環境。
計算機配置設置
以下各節討論了組策略對象編輯器中“計算機配置”中建議的設置。請在以下位置配置這些設置:
計算機配置\管理模板
請通過鏈接至 OU(其中包含所在環境中的計算機帳戶)的 GPO 來設置這些屬性。然後將便攜式計算機設置包括在鏈接到便攜式計算機 OU 的 GPO 中,並將台式計算機設置包括在鏈接到台式計算機 OU 的 GPO 中。
Windows 組件
以下 Microsoft Windows組件的指導並未提供:應用程序兼容性、Windows 安裝程序和 Windows Media Player?。
NetMeeting
Microsoft NetMeeting允許用戶通過組織中的網絡召開虛擬會議。請使用組策略對象編輯器在位於以下位置的管理模板中配置與 NetMeeting 相關的計算機設置:
計算機配置\管理模板\Windows 組件\NetMeeting
禁用遠程桌面共享
表 4.2:設置
“禁用遠程桌面共享”設置禁用 NetMeeting 的遠程桌面共享功能。啟用此設置可防止用戶設置 NetMeeting 或在其計算機上通過網絡遠程使用 NetMeeting 發送信息。如果將可隨時通過網絡發送信息的計算機的控制權授予用戶,則會產生安全風險。
因此,“禁用遠程桌面共享”設置在企業客戶端環境中設置為“未配置”。但是,此設置在高安全級環境中配置為“啟用”,以防止用戶使用 NetMeeting 遠程共享桌面。
Internet Explorer
Microsoft Internet Explorer 組策略可幫助您強制執行對 Windows XP 工作站的安全要求,並防止通過浏覽器交換不想要的內容。使用以下標准可以保護環境中工作站的 Internet Explorer:
確保僅在直接響應用戶操作時才發出 Internet 請求。
確保發送到特定網站的信息僅到達這些站點,除非允許特定的用戶操作將信息傳輸到其他目的地。
確保清楚地識別到服務器/站點的受信任通道以及擁有每個通道上的服務器/站點的人員。
確保與 Internet Explorer 一起運行的任何腳本或程序在受限制環境中執行。通過受信任通道傳送的程序可能被設置為在受限制環境之外運行。
使用組策略對象編輯器在位於以下位置的管理模板中配置 Internet Explorer 計算機設置:
計算機配置\管理模板\Windows 組件\Internet Explorer
注意:安全區域的設置無法通過組策略進行設置。可以使用 Internet Explorer Administration Kit (IEAK) 配置這些設置。有關獲得 IEAK 的詳細信息,請參考本模塊“其他信息”部分。
表 4.3:Internet Explorer 計算機設置
禁用 Internet Explorer 組件的自動安裝
表 4.4:設置
“禁用 Internet Explorer 組件的自動安裝”設置可防止 Internet Explorer 自動安裝組件。啟用此設置可防止 Internet Explorer 在用戶浏覽到需要使用某個組件才能正常顯示的網站時下載該組件。
如果將“禁用 Internet Explorer 組件的自動安裝”設置配置為“禁用”或“未配置”,會導致浏覽器在用戶每次訪問需要某些組件的網站時提示用戶下載並安裝這些組件。啟用此設置是為了幫助管理員控制用戶可以在您環境中的客戶端上安裝哪些組件。
因此,Microsoft 建議在本指南所定義的兩種環境中,將“禁用 Internet Explorer 組件的自動安裝”設置配置為“啟用”。
注意:在啟用此設置之前,Microsoft 建議您建立一種替代策略,以便通過軟件更新服務或類似服務來更新 Internet Explorer.
禁用定期檢查 Internet Explorer 軟件更新
表 4.5:設置
“禁用定期檢查 Internet Explorer 軟件更新”設置可防止 Internet Explorer 頻繁檢查新的浏覽器更新是否可用。啟用此策略可防止 Internet Explorer 確定新的浏覽器更新是否可用然後通知用戶。如果將“禁用定期檢查 Internet Explorer 軟件更新”設置配置為“禁用”或“未配置”,會導致 Internet Explorer 在默認情況下每隔“30 天”檢查一次浏覽器更新,然後在新的浏覽器更新可用時通知用戶。使用此設置後,在浏覽器的新更新或新版本可用時將不通知用戶,從而幫助管理員維護 Internet Explorer 的版本控制。
因此,Microsoft 建議在本指南所定義的兩種環境中,將“禁用定期檢查 Internet Explorer 軟件更新”設置配置為“啟用”。
注意:在啟用此策略之前,Microsoft 建議您為組織中的管理員建立替代策略,以確保他們在您環境中的客戶端上定期接受 Internet Explorer 的更新。
禁用程序啟動時的軟件更新外殼通知
表 4.6:設置
“禁用程序啟動時的軟件更新外殼通知”設置指定了使用 Microsoft 軟件分發頻道的程序在它們安裝新組件時不向用戶發出通知。軟件分發頻道是一種基於開放式軟件分發 (。osd) 技術動態更新用戶計算機軟件的方式。
如果啟用此策略,則在使用軟件分發頻道更新程序時,用戶將不會收到通知。如果將“禁用程序啟動時的軟件更新外殼通知”設置配置為“啟用”或“未配置”,用戶便可以收到程序更新通知。啟用此設置還允許管理員使用軟件分發頻道來更新您環境中工作站上的程序,而無須用戶干預。
因此,Microsoft 建議在本指南所定義的兩種環境中,將“禁用程序啟動時的軟件更新外殼通知”設置配置為“啟用”。
根據計算機設置代理服務器(不是根據用戶)
表 4.7:設置
“根據計算機設置代理服務器(不是根據用戶)”設置用於確保同一計算機的所有用戶的代理設置都是相同的。啟用此設置可防止由用戶設置特定於用戶的代理設置,並要求他們使用為該計算機的所有用戶創建的區域。區域是具有相同安全級別的一組網站。
如果將“根據計算機設置代理服務器(不是根據用戶)”設置配置為“禁用”或“未配置”,則允許同一計算機的用戶建立各自的代理設置。啟用此設置可確保同一計算機的所有用戶的代理設置都是相同的,並禁止用戶避開在代理服務器上配置的 Internet 安全策略。
因此,Microsoft 建議將本指南所定義的兩種環境中的台式計算機客戶端的“根據計算機設置代理服務器(不是根據用戶)”設置配置為“啟用”,將便攜式計算機客戶端的此設置配置為“禁用”,因為移動用戶在旅行時可能需要更改其代理設置。
安全區域: 禁止用戶添加或刪除站點
表 4.8:設置
“安全區域: 禁止用戶添加/刪除站點”設置可防止用戶向安全區域添加站點或從中刪除站點。安全區域是具有相同安全級別的一組網站。啟用此策略會導致安全區域的站點管理設置不起作用。
要查看安全區域的站點管理設置,請執行以下操作:
1.在“Internet 選項”對話框中,單擊“安全”選項卡。
2.單擊“站點”按鈕。
如果將“安全區域: 禁止用戶添加/刪除站點”設置配置為“禁用”或“未配置”,則允許用戶從“受信任的站點”和“受限制的站點”區域中刪除網站以及改變“本地 Intranet”區域的設置。啟用此設置會創建一個策略,該策略將使用戶無法更改管理員建立的安全區域站點管理設置。
因此,Microsoft 建議在本指南所定義的兩種環境中將“安全區域: 禁止用戶添加/更改站點”設置配置為“啟用”。
注意:如果啟用“禁用安全頁”設置(位於 \用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板中),則會從界面中刪除“安全”選項卡,並導致此設置優先於“安全區域: 禁止用戶添加或刪除站點”設置。
安全區域: 禁止用戶更改策略
表 4.9:設置
“安全區域: 禁止用戶更改策略”設置可防止用戶更改安全區域設置。安全區域是具有相同安全級別的一組網站。啟用此設置會禁用“Internet 選項”對話框中“安全”選項卡上的“自定義級別”按鈕和安全級別滑塊。如果將“安全區域: 禁止用戶更改策略”設置配置為“禁用”或“未配置”,則允許用戶更改安全區域設置。啟用此設置會創建一個策略,該策略將使用戶無法更改管理員建立的安全區域設置。
因此,Microsoft 建議在本指南所定義的兩種環境中將“安全區域: 禁止用戶更改策略”設置配置為“啟用”。
注意:如果啟用“禁用安全頁”設置(位於 \用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板中),將從“控制面板”內的“Internet Explorer”中刪除“安全”選項卡,並導致此設置優先於“安全區域: 禁止用戶更改策略”設置。
安全區域: 僅使用計算機設置
表 4.10:設置
“安全區域: 僅使用計算機設置”設置將安全區域信息應用於同一計算機的所有用戶。安全區域是具有相同安全級別的一組網站。啟用此設置允許將一個用戶對安全區域進行的更改應用於同一計算機的所有用戶。如果將“安全區域: 僅使用計算機設置”配置為“禁用”或“未配置”,則允許同一計算機的用戶建立各自的安全區域設置。將此設置配置為“啟用”可確保將安全區域設置統一應用於同一計算機的所有用戶。
因此,Microsoft 建議在本指南所定義的兩種環境中將“安全區域: 僅使用計算機設置”設置配置為“啟用”。
任務計劃程序
請使用組策略對象編輯器在位於以下位置的管理模板中配置任務計劃程序的計算機設置:
計算機配置\管理模板\Windows 組件\任務計劃程序
表 4.11:任務計劃程序計算機設置
禁用“創建新任務”
表 4.12:設置
“禁用‘創建新任務’”設置可防止用戶使用任務計劃程序創建新任務。您可以安排任務在特定時間執行程序。將此設置配置為“啟用”將刪除用於啟動“新任務向導”的“添加計劃任務”選項。而且,啟用此設置會導致系統在用戶嘗試將程序或文檔移動、粘貼或拖動到“計劃任務”文件夾時不作響應。
因此,本指南建議在高安全級環境中將“禁用‘創建新任務’”設置配置為“啟用”。但是,Microsoft 建議在企業客戶端環境中將此設置配置為“未配置”。
禁用“刪除任務”
表 4.13:設置
“禁用‘刪除任務’”設置可防止用戶從“計劃任務”文件夾中刪除任務。如果將此設置配置為“啟用”,將從“計劃任務”文件夾的“編輯”菜單和右鍵單擊任務彈出的菜單中刪除“刪除”命令。它還會導致系統在用戶嘗試刪除或拖動“計劃任務”文件夾中的任務時不作響應。
因此,本指南建議在高安全級環境中將“禁用‘刪除任務’”設置配置為“啟用”。但是,Microsoft 建議在企業客戶端環境中將此設置配置為“未配置”。
注意:此設置不會禁止管理員使用 At.exe 命令來刪除任務。
終端服務\客戶端/服務器數據重定向
終端服務提供用於將客戶端資源重定向到通過終端服務訪問的服務器的選項。以下設置是特定於終端服務的。
使用組策略對象編輯器,在管理模板中終端服務下的以下位置,配置下面的用於客戶端/服務器數據重定向的計算機設置:
計算機配置\管理模板\Windows 組件\終端服務\客戶端/服務器數據重定向
表 4.14:終端服務\客戶端/服務器數據重定向
不允許驅動器重定向
表 4.15:設置
“不允許驅動器重定向”設置可禁止用戶將其客戶端上的本地驅動器共享給他們所訪問的終端服務器。映射驅動器出現在 Windows 資源管理器或“我的電腦”的會話文件夾樹中,格式如下:
\\TSClIEnt\<驅動器號>$
如果共享本地驅動器,將使入侵者有機會盜用存儲在本地驅動器上的數據。因此,本指南建議在高安全級環境中將“不允許驅動器重定向”設置配置為“啟用”。但是,Microsoft 建議在企業客戶端環境中將此設置配置為“未配置”。
