終端服務\加密與安全性
使用組策略對象編輯器在位於以下位置的管理模板中配置下面的加密和安全性計算機設置:
計算機配置\管理模板\Windows 組件\終端服務\加密與安全性
表 4.16:終端服務\加密與安全性計算機設置
連接時總是提示客戶端提供密碼
表 4.17:設置
“連接時總是提示客戶端提供密碼”要求用戶輸入密碼以登錄計算機。如果將此設置配置為“啟用”,用戶將無法自動登錄到終端服務器,也不能通過在“遠程桌面連接”客戶端中提供密碼來遠程訪問桌面。如果啟用此設置,本地計算機管理員也無法將用戶計算機配置為允許自動發送密碼。
因此,本指南建議在高安全級環境中將“連接時總是提示客戶端提供密碼”設置配置為“啟用”。但是,Microsoft 建議在企業客戶端環境中將此設置配置為“未配置”。
注意:如果不配置此設置,本地計算機管理員可以使用終端服務配置工具允許或禁止自動發送密碼。
設置客戶端連接加密級別
表 4.18:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 高級 高級 高級 高級啟用“設置客戶端連接加密級別”設置將使終端服務對終端服務會話期間在客戶端和服務器之間發送的所有數據強制實施指定的加密級別。此設置的選項包括:
客戶端兼容
高級
低級
“客戶端兼容”級別將按客戶端支持的最大密鑰強度對客戶端和服務器之間發送的數據進行加密。如果終端服務器運行於包含混合或舊客戶端的環境中,請使用此級別。
此設置的“高級”選項使用強 128 位加密對客戶端和服務器之間傳輸的數據進行加密。如果終端服務器運行於僅包含 128 位客戶端(如 Windows XP Professional 客戶端)的環境中,請使用此級別。不支持此加密級別的客戶端將無法連接。
此設置的“低級”選項使用 56 位加密對從客戶端發送到服務器的數據進行加密。在設置了“低級”選項的情況下,系統不會對從服務器發送到客戶端的數據進行加密。
如果將此設置配置為“啟用”,加密級別將應用於服務器的所有連接。默認情況下,加密級別設置為“客戶端兼容”。對於本指南所定義的兩種環境,建議將加密級別提高到“高級”以強制實施 128 位加密。
Windows Messenger
Windows Messenger 用於將即時消息發送給計算機網絡中的其他用戶。消息可以包括文件和其他附件。
請使用組策略對象編輯器在位於以下位置的管理模板中配置 Windows Messenger 計算機設置:
計算機配置\管理模板\Windows 組件\Windows Messenger
表 4.19:Windows Messenger 計算機設置
UI 中的設置名稱 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 不允許運行 Windows Messenger 未配置 未配置 已啟用 已啟用不允許運行 Windows Messenger
表 4.20:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 未配置 未配置 已啟用 已啟用“不允許運行 Windows Messenger”設置可禁用 Windows Messenger.如果將此設置配置為“啟用”,可防止 Windows Messenger 運行。
因此,本指南建議在高安全級環境中將“不允許運行 Windows Messenger”設置配置為“啟用”。但是,Microsoft 建議在企業客戶端環境中將此設置配置為“未配置”。
注意:將此設置配置為“啟用”可禁止遠程協助使用 Windows Messenger,禁止用戶使用 MSNMessenger.
Windows Update
管理員可以使用 Windows Update 設置來管理如何在 Windows XP 工作站中應用修補程序和修復程序。更新可以從 Microsoft Windows Update 網站下載。或者,您可以建立一個 Intranet 網站,以類似方式分發修補程序和修復程序,並進行其他管理控制。Windows Update 管理模板 (WUAU.adm) 是 Windows XP Service Pack 1 新增的。
軟件更新服務 (SUS) 是戰略性技術保護計劃 (STPP) 的一個組件,該計劃建立在 Microsoft Windows Update 技術(所有用戶都可以從 Windows Update 網站下載它們)的成功使用之上。SUS 可管理和分發用於解決 Microsoft Windows操作系統已知安全漏洞和其他穩定性問題的 Windows 重要修補程序。
就在最近,系統管理員還必須定期檢查 Windows Update 網站或 Microsoft 安全性網站,進而確定是否有新的修補程序。然後,系統管理員必須手動下載這些修補程序並在其環境中測試,之後再手動分發修補程序或使用傳統軟件分發工具來實現它們。
SUS 可通過動態通知系統由 Intranet 服務器獲取 Windows 客戶端的重要更新信息,從而消除了這些手動步驟。客戶端不必訪問 Internet 即可使用此服務。此技術還提供了一種簡單的自動解決方案,用於將更新分發到您的 Windows 工作站和服務器。
軟件更新服務還提供了以下功能:
由管理員控制 Intranet 中的內容同步。
此同步服務是一個用來從 Windows Update 檢索最新關鍵更新的服務器端組件。將更新添加到 Windows Update 中時,運行 SUS 的服務器可根據管理員定義的計劃自動下載和存儲它們。
Intranet — 宿主的 Windows Update 服務器。
這種服務器簡單易用,可充當客戶端計算機的虛擬 Windows Update 服務器。它包含用於管理更新的同步服務和管理工具。它使用超文本傳輸協議 (HTTP) 協議來響應連接到它的客戶端計算機所發出的下載已批准更新的請求。此服務器也可以用來駐留從同步服務下載的關鍵更新,並指引客戶端計算機下載這些更新。
由管理員控制更新。
管理員可以在部署企業 Intranet 之前測試和批准來自公用 Windows Update 網站中的更新信息。部署將按管理員創建的計劃進行。如果多台服務器都在運行 SUS,管理員可控制哪些計算機能訪問運行該服務的特定服務器。管理員使用 Microsoft Active Directory目錄服務環境中的組策略,或通過注冊表項來啟用此級別的控制。
計算機(工作站或服務器)上的自動更新。
自動更新是一項 Windows 功能,您可以將其設置為自動檢查在 Windows Update 上發布的更新。SUS 使用此 Windows 功能將管理員批准的更新發布到 Intranet 上。
注意:如果您選擇通過其他頻道(如 Microsoft Systems Management Server)分發修補程序,本指南建議禁用“配置自動更新”設置。
下表匯總了可用的 Windows Update 設置。前三個設置是 Windows 更新正常工作的最低要求。本節中的第四個設置是可選的,這取決於您所在組織的要求。
請使用組策略對象編輯器在位於以下位置的管理模板中配置 Windows Update 計算機設置:
計算機配置\管理模板\Windows 組件\Windows Update
本節討論的設置並非分別針對具體的安全風險。它們與管理員首選項的關系更大。但是,配置 Windows Update 是維護環境安全所必需的,因為它可確保環境中的客戶端在安全修補程序有效時立即從 Microsoft 收到。
表 4.21:Windows Update 計算機安全設置
注意:Windows Update 依賴於幾種服務,其中包括遠程注冊表服務和後台智能傳輸服務。在模塊 3“Windows XP 客戶端安全設置”中,這些服務在高安全級環境中是禁用的。因此,如果禁用這些服務,則 Windows Update 在高安全級環境中將不起作用,而且僅在此環境中才有可能忽略以下四個設置建議。
配置自動更新
表 4.22:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 已啟用 已啟用 已啟用 已啟用“配置自動更新”設置指定您環境中的計算機是否將從 Windows Update 或 SUS 接收安全更新。
如果將此設置配置為“啟用”,則允許操作系統識別網絡連接何時可用,然後使用網絡連接在 Windows Update 網站或您指定的 Intranet 站點上搜索適用於您環境中客戶端的更新。
將此設置配置為“啟用”後,請選擇“配置自動更新屬性”對話框中的以下三個選項之一,以指定服務的工作方式:
2 —— 下載任何更新前提醒並在安裝前再次提醒。
當 Windows Update 服務發現適用於運行 Windows XP 的計算機的更新時,計算機狀態區域將出現一個圖標,其中顯示可下載更新的消息。單擊圖標或消息可以選擇要下載的特定更新。此後,Windows 將在後台下載更新。下載結束時,圖標再次出現在狀態區域中,並提醒用戶可以開始安裝更新。再次單擊圖標或消息可以選擇要安裝的更新。
3 —— 自動下載更新並在可以安裝更新時進行提醒(默認設置)。
Windows 可查找適用於您計算機的更新,然後在後台下載它們(此過程中用戶不會被提醒)。下載結束時,圖標出現在狀態區域中,並提醒用戶可以開始安裝更新。再次單擊圖標或消息可以選擇要安裝的更新。
4 —— 自動下載更新並根據下面指定的計劃安裝它們。
此選項允許您使用組策略中的選項指定計劃。如果未指定計劃,則所有安裝的默認計劃是每天凌晨 3 點。如果任何更新需要重新啟動才能完成安裝,則 Windows 將自動重新啟動受影響的計算機。(如果用戶在 Windows 需要重新啟動才能完成更新安裝時登錄到計算機,則系統會提醒用戶,並提供是否延遲重新啟動的選項。)
如果禁用此設置,要求您從 Windows Update 網站 (http://Windowsupdate.microsoft.com) 手動下載並安裝任何可用更新。
Microsoft 建議在本指南定義的兩種環境下將“配置自動更新”設置設置為“啟用”。在啟用此設置之後,從上面的列表中選擇適合於您環境的選項。
不為計劃的自動更新安裝重新啟動
表 4.23:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 已禁用 已禁用 已禁用 已禁用啟用“不為計劃的自動更新安裝重新啟動”設置會導致計算機等待登錄的用戶重新啟動它以完成計劃的安裝,而不是自動完成重新啟動。將此設置配置為“啟用”還可以防止“自動更新”在計劃安裝過程中自動重新啟動計算機。(如果用戶在“自動更新”要求必須重新啟動計算機來完成更新安裝的情況下登錄計算機,系統將提醒用戶,並提供是否延遲重新啟動的選項。)
請注意,重新啟動之前“自動更新”將不檢測將來的更新。如果將此設置配置為“禁用”或“未配置”,會使“自動更新”提醒用戶計算機將在 5 分鐘內自動重新啟動以完成安裝。
如果在您的環境中自動重新啟動客戶端有問題,請考慮啟用“不為計劃的自動更新安裝重新啟動”設置。如果您確實啟用了此設置,請將您的客戶端計劃為正常工作時間之後重新啟動,以確保完成安裝。
因此,本指南建議在此指南中定義的兩種環境下,將“不為計劃的自動更新安裝重新啟動”設置配置為“禁用”。
注意:此設置僅在將“自動更新”配置為執行計劃的更新安裝時才起作用。如果將“配置自動更新”設置配置為“禁用”,則它不起作用。通常需要重新啟動,才能完成更新安裝。
重新計劃自動更新計劃的安裝
表 4.24:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 已啟用 已啟用 已啟用 已啟用“重新計劃自動更新計劃的安裝”設置可確定從系統啟動到開始執行預先計劃的自動更新安裝程序之間的時間量。將此設置配置為“啟用”會導致以前計劃的安裝在下次啟動計算機時等待指定的分鐘數後再執行安裝。默認等待時間是“5 分鐘”。可用值范圍是 1 — 60 分鐘。如果將此設置配置為“禁用”或“未配置”,會導致在下一個定期計劃的安裝時間內執行以前計劃的安裝。
此設置與管理員首選項的相關性比它與安全性的相關性更大。使用此設置,可以決定在暫時降低用戶的工作效率以更新其系統之前,您將在用戶啟動其客戶端之後等待多長時間。
因此,Microsoft 建議在本指南定義的兩種環境下將“重新計劃自動更新計劃的安裝”設置設置為“啟用”。在啟用此設置後,您可以將默認等待時間更改為適合於您環境的時間。
注意:此設置僅在將“自動更新”配置為執行計劃的更新安裝時才起作用。如果禁用“配置自動更新”設置,則“重新計劃自動更新計劃的安裝”設置不起作用。啟用後兩個設置可確保在每次重新啟動計算機時將按計劃安裝以前未完成的安裝。
指定 intranet Microsoft 更新服務位置
表 4.25:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機 已啟用 已啟用 已啟用 已啟用“指定 intranet Microsoft 更新服務位置”設置用於指定一台 Intranet 服務器來駐留來自 Microsoft Update 網站的更新。此後,您可以使用此更新服務自動更新網絡上的計算機。此設置允許您指定網絡上的一台服務器,使其充當內部更新服務提供者角色。“自動更新”客戶端將與該 Intranet 宿主服務器聯系,以便在此服務中搜索適用於網絡上計算機的更新。
必須標識以下兩台服務器的名稱才能使用此設置:
內部服務器,“自動更新”客戶端將檢測和下載其上的更新。
內部統計服務器,已更新的工作站將向其上載統計信息。
注意:可以將同一服務器用作更新服務器和統計服務器。
如果將此設置配置為“啟用”,會導致“自動更新”客戶端在搜索和下載更新時將連接到指定的 Intranet Microsoft 更新服務,而不是 Windows Update.但是,這不會強制用戶穿過防火牆獲取更新,而且為您提供了在部署更新之前測試它們的機會。
如果組策略或用戶首選項沒有禁用“自動更新”,並且將此設置配置為“禁用”或“未配置”,將允許“自動更新”客戶端直接連接到 Internet 上的 Windows Update 站點。啟用此設置可防止客戶端直接連接到 Internet 以獲取 http://Windowsupdate.microsoft.com 上的更新。
因此,Microsoft 建議在本指南所定義的兩種環境中將“指定 intranet Microsoft 更新服務位置”設置配置為“啟用”。
注意:如果禁用“配置自動更新”設置,則啟用“指定 intranet Microsoft 更新服務位置”設置不起作用。
Microsoft Office XP
必須首先通過組策略對象編輯器應用管理模板,然後才能訪問 Microsoft Office XP 的管理模板設置。這些模板在 Office XP Resource Kit 中提供,也包含在本指南中。
下表包含所有 Office XP 管理模板文件。Office10.adm 模板文件包含表中列出的程序和功能的所有設置。本節將討論這些設置。其他模板文件包含 UI 設置。
必須將 Office10.adm 文件添加到組策略對象編輯器的“管理模板”中,然後才能配置本節提出的 Office XP 設置。有關將管理模板添加到組策略對象編輯器的詳細信息,請參閱本指南的模塊 2“配置 Active Directory 域架構”。
表 4.26:Microsoft Office XP 管理模板