不處理舊的運行列表
表 4.46:設置
“不處理舊的運行列表”設置將導致運行列表(Windows XP 啟動時自動運行的程序列表)被忽略。
注意:要創建自定義運行列表,請通過組策略使用“啟動時運行這些應用程序”設置。
Windows XP 的自定義運行列表存儲在注冊表中的下列位置:
HKEY_LOCAL_MacHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run
啟用“不處理舊的運行列表”設置可阻止惡意用戶在每次 Windows XP 啟動時運行可能破壞計算機上數據或導致其他危害的程序。啟用此設置還可以阻止某些系統程序(如防病毒軟件以及軟件分發和監控軟件)運行。要確保 Enterprise 系統軟件在啟動時仍然運行,應通過組策略將“啟動時運行這些應用程序”設置配置為“啟用”。在決定對您的組織使用此設置這一策略之前,應評估此設置所保護的環境所受的威脅級別。
因此,“不處理舊的運行列表”設置在“企業客戶端”環境中配置為“未配置”,只在本指南定義的“高安全級”環境中配置為“啟用”。
不處理只運行一次列表
表 4.47:設置
企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機未配置已啟用
“不處理只運行一次列表”設置使僅運行一次的列表(Windows XP 在啟動時自動運行的程序列表)被忽略。此設置與“不處理舊的運行列表”設置的區別在於,此列表中的程序僅在客戶端下次重新啟動時運行一次。有時,在客戶端重新啟動後,設置和安裝程序會添加到此列表中以完成安裝。
啟用此設置還可防止攻擊者使用僅運行一次的列表啟動 Rogue 應用程序,這是一種常見的攻擊方法。惡意用戶可以利用僅運行一次的列表來安裝可能破壞 Windows XP 客戶端安全性的程序。
注意:自定義的只運行一次列表存儲在注冊表中的下列位置:HKEY_LOCAL_MacHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.
啟用“不處理只運行一次列表”設置可使環境中的用戶受到最低的功能損失,尤其在通過組策略應用此設置之前,且已為客戶端配置了組織的全部標准軟件的情況下。
因此,“不處理只運行一次列表”設置在“企業客戶端”環境中配置為“未配置”,在本指南定義的“高安全級”環境中則配置為“啟用”。
系統\組策略
請使用組策略對象編輯器在位於以下位置的管理模板中配置“組策略”計算機設置:
計算機配置\管理模板\系統\組策略
表 4.48:系統\組策略計算機安全設置
Internet Explorer 維護策略處理
表 4.49:設置
“Internet Explorer 維護”策略處理設置用於決定何時更新 Internet Explorer 維護策略。此設置會影響使用組策略的“Internet Explorer 維護”組件的所有策略,如位於“Windows 設置\Internet Explorer 維護”中的策略。
此設置優先於“Internet Explorer 維護”策略程序在安裝時所設置的自定義設置。禁用或不配置此設置對系統沒有影響。如果啟用此設置,您將獲得下列選項:
允許通過慢速網絡連接進行處理。
此選項將更新策略,即使更新是通過慢速網絡連接(如電話線)傳送的。通過慢速連接傳送的更新會導致明顯的延遲。
不要在定期的後台處理期間采用。
此選項阻止當計算機正在被使用時系統在後台更新受影響的策略。後台更新會中斷用戶使用、導致程序停止或異常行為,在極少見的情況下還會破壞數據。
在組策略對象沒有改變的情況下依舊進行處理。
此選項將更新並重新應用設置配置,即使它們未發生變化。許多設置規則規定,只有在規則發生變化時才進行更新。但是,有時您可能希望更新未變化的設置,或者將某個設置級別重新應用於用戶已更改的設置。
啟用此設置會使其他設置更改及時應用於您的工作站。如果您發現了一個需要迅速處理的安全漏洞,那麼此選項尤其有用。
因此,在本指南定義的兩種環境中,應將“Internet Explorer 維護策略處理”設置配置為“啟用”。
啟用此設置後,應清除“允許通過慢速網絡連接進行處理”復選框,然後選擇下列選項:
周期性後台處理期間不要應用
即使尚未更改組策略對象也進行處理
注冊表策略處理
表 4.50:設置
“注冊表策略處理”設置決定了何時更新注冊表策略。此設置影響“管理模板”文件夾中的所有策略,以及在注冊表中存儲值的其他任何策略。如果啟用此設置,您將獲得下列選項:
周期性後台處理期間不要應用
此選項阻止當計算機正在被使用時系統在後台更新受影響的策略。後台更新會中斷用戶使用、導致程序停止或異常行為,在極少見的情況下還會破壞數據。
即使尚未更改組策略對象也進行處理
此選項更新並重新應用策略,即便策略未發生變化也是如此。許多策略實現規定,只有在策略發生變化時才對其進行更新。此設置將覆蓋用戶所做的更改,以使設置符合您定義的策略。
通過“管理模板”配置的某些設置將記錄在注冊表中用戶可訪問的區域。啟用此設置將覆蓋用戶對這些設置所進行的更改。因此,在本指南定義的兩種環境中,“注冊表策略處理”設置配置為“啟用”。
啟用“注冊表策略處理”設置後,請選擇下面的兩個選項:
周期性後台處理期間不要應用
即使尚未更改組策略對象也進行處理
系統\遠程協助
請使用組策略對象編輯器在位於以下位置的管理模板中配置“遠程協助”計算機設置:
計算機配置\管理模板\系統\遠程協助
表 4.51:系統\遠程協助計算機設置
提供遠程協助
表 4.52:設置
“提供遠程協助”設置決定了支持人員或 IT“專家”管理員是否可以在用戶未首先通過電子郵件或 Instant Messenger 等渠道明確請求協助時,對您環境中的計算機提供遠程協助。
注意:專家無法在未通知用戶的情況下連接到計算機,也不能在未經用戶許可的情況下控制計算機。當專家嘗試連接時,用戶仍然可以選擇拒絕連接(僅授予專家查看用戶工作站的權利)。將“提供遠程協助”設置配置為“啟用”之後,用戶必須明確單擊“是”按鈕才能允許專家遠程控制工作站。
如果啟用此設置,您將獲得下列選項:
只允許幫助者查看此計算機
允許幫助者遠程控制此計算機
配置此設置時,還可以指定提供遠程協助的用戶或用戶組(稱為“幫助者”)列表。
配置幫助者列表:
1.在“提供遠程協助”設置配置窗口中,單擊“顯示”。
此時將打開一個新的窗口,您可以在其中輸入幫助者名稱。
2.使用下面的某一種格式將每個用戶或組添加到“幫助者”列表中:
<Domain Name>\<User Name>
<Domain Name>\<User Name>
如果您禁用或者不配置“提供遠程協助”設置,用戶或組將無法為您環境中的計算機主動提供遠程協助。
因此,在本指南定義的“企業客戶端”環境中,應將“提供遠程協助”設置配置為“未配置”。但是,在“高安全級”環境中,為了避免任何人通過網絡訪問 Windows XP 客戶端,此設置配置為“禁用”。
請求遠程協助
表 4.53:設置
“請求遠程協助”設置決定了是否可以從您環境中的 Windows XP 計算機請求遠程協助。如果啟用此設置,用戶可以請求 IT“專家”管理員對其工作站進行遠程協助。
注意:專家無法在未通知用戶的情況下連接到計算機,也不能在未經用戶許可的情況下控制計算機。當專家嘗試連接時,用戶仍然可以選擇拒絕連接(僅授予專家查看用戶工作站的權利)。用戶必須明確地單擊“是”按鈕才能允許專家遠程控制工作站。
啟用此設置後,下列選項(這些選項允許遠程控制用戶計算機)可用:
允許幫助者遠程控制此計算機
只允許幫助者查看此計算機
此外,可以使用下列選項來配置用戶幫助請求保持有效的時間:
最長票證時間(值):
最長票證時間(單位):小時、分鐘或天
當票證(幫助請求)到期時,用戶必須發送另一個請求,然後專家才能連接到計算機。
如果禁用“請求遠程協助”設置,用戶將無法發送幫助請求,因此專家也無法連接到其計算機以響應請求。
未配置此設置時,用戶可以通過控制面板配置主動請求的遠程協助。默認情況下,控制面板啟用下列設置:“請求的遠程協助”、“好友支持”和“遠程控制”。“最大票證時間”的值設置為“30 天”。
禁用此設置可阻止任何人通過網絡訪問 Windows XP 客戶端。因此,“請求遠程協助”設置在“企業客戶端”環境中配置為“未配置”,在本指南定義的“高安全級”環境中則配置為“禁用”。
系統\錯誤報告
這些設置用於控制如何報告操作系統和應用程序錯誤。發生錯誤時,默認情況下通過彈出式對話框通知用戶,詢問用戶是否要將錯誤報告發送到 Microsoft.Microsoft 制定了嚴格的策略以保護在這些報告中收到的數據,但是,數據以明文的形式傳送,從而引發了潛在的安全風險。
Microsoft 提供了“公司錯誤報告”工具,使公司可以在本地收集報告,而不必通過 Internet 將其發送到 Microsoft.Microsoft 推薦在“高安全級”環境中使用“公司錯誤報告”,以防止有關您環境的任何信息通過 Internet 傳送。有關此工具的其他信息包括在本模塊末尾的“其他信息”部分。
請使用組策略對象編輯器在位於以下位置的管理模板中配置“錯誤報告”計算機設置:
計算機配置\管理模板\系統\錯誤報告
表 4.54:系統\錯誤報告計算機設置
顯示錯誤通知
表 4.55:設置
“顯示錯誤通知”設置用於控制是否將錯誤消息顯示在用戶的計算機屏幕上。啟用此設置可以在出錯時發送錯誤消息通知,並使用戶可以訪問有關錯誤的詳細信息。禁用此設置將不會為用戶顯示錯誤通知。出錯時,重要的一點是使用戶意識到問題的所在。禁用“顯示錯誤通知”設置則無法實現這一點。
因此,在本指南定義的兩種環境中,應將“顯示錯誤通知”設置配置為“啟用”。
報告錯誤
表 4.56:設置
“報告錯誤”設置控制是否報告錯誤。啟用“報告錯誤”設置將使用戶可以選擇是否在出錯時報告錯誤。錯誤既可以通過 Internet 報告給 Microsoft,也可以報告給本地的公司文件共享。如果啟用此設置,您還將獲得下列選項:
不顯示到任何 Microsoft 提供的“更多信息”網站的鏈接:
選擇此選項可確保不顯示指向 Microsoft 更多信息網站(包含有關錯誤消息的更多信息的網站)的鏈接。
不要收集額外文件:
選擇此選項可確保不收集額外文件,且不將其包含在錯誤報告中。
不收集額外的機器數據:
選擇此選項可確保有關出錯計算機的額外信息不包含在錯誤報告中。
強制應用程序錯誤的隊列模式:
選擇此選項可禁止用戶發送錯誤報告。在這種情況下,錯誤將放在隊列目錄中,並由登錄到計算機上的下一名管理員決定是否報告錯誤。
公司上載文件路徑:
選擇此選項可指定文件共享(上載錯誤報告的位置)的通用命名約定 (UNC) 路徑,並確保啟用“公司錯誤報告”工具。
替換“Microsoft”英文字的實例:
選擇此選項可用公司的名稱來自定義錯誤報告對話框。
禁用“報告錯誤”設置將使用戶無法報告錯誤。如果啟用“顯示錯誤通知”,用戶將收到錯誤通知,但無法報告錯誤。
啟用“報告錯誤”設置可以自定義組織的錯誤報告策略,並收集報告以便在本地進行分析。因此,在本指南定義的兩種環境中,應將此設置配置為“啟用”。
此外,在“高安全級”環境中,Microsoft 推薦選擇下列設置選項:
不要收集額外文件
不收集額外的機器數據
強制應用程序錯誤的隊列模式
此外,應選擇“公司上載文件路徑”選項,並包含安裝“公司錯誤報告”的服務器的路徑。應基於組織的需要確定應使用上述哪些設置選項。
用戶配置設置
本模塊余下的部分討論了組策略對象編輯器中“用戶配置”下的推薦設置。請使用組策略對象編輯器在管理模板中配置“用戶配置”設置:
用戶配置\管理模板
可以通過鏈接到含用戶帳戶的 OU 的 GPO 來應用這些設置。
注意:用戶配置設置應用於 Active Directory 域中有用戶登錄的任何客戶端;計算機配置設置則應用於 Active Directory 中由 GPO 管理的所有客戶端,而不管是哪個用戶登錄到客戶端。因此,此部分中的表僅包含針對本指南中定義的“企業客戶端”和“高安全級”環境的推薦設置,這些設置建議不針對便攜式或台式計算機。
Internet Explorer
請使用組策略對象編輯器在位於以下位置的管理模板中配置 Internet Explorer 用戶設置:
用戶配置\管理模板\Windows 組件\Internet Explorer
表 4.57:Internet Explorer 用戶設置
浏覽器菜單\禁用“將該程序保存到磁盤”選項
表 4.58:設置
“浏覽器菜單\禁用‘將該程序保存到磁盤’選項”設置用於阻止用戶將 Internet Explorer 下載的程序或文件保存到硬盤中。啟用此設置將阻止用戶在試圖下載程序時使用“將該程序保存到磁盤”命令將程序保存到磁盤中。程序文件將不會下載,並且會通知用戶命令不可用。此設置阻止用戶下載和在磁盤中保存可能有害的內容。
因此,在本指南定義的兩種環境中,應將“浏覽器菜單\禁用‘將該程序保存到磁盤’選項”設置配置為“啟用”。
