Internet 控制面板\禁用高級頁
表 4.59:設置
“Internet 控制面板\禁用高級頁”設置與其他設置一起生效,以阻止用戶更改通過組策略配置的設置。啟用此選項會將“高級”選項卡從 Internet Explorer 的 UI 中刪除。
因此,在本指南定義的兩種環境中,應將“Internet 控制面板\禁用高級頁”設置配置為“啟用”。
Internet 控制面板\禁用安全頁
表 4.60:設置
企業客戶端 高安全級 已啟用 已啟用“Internet 控制面板\禁用安全頁”設置與其他設置一起生效,以阻止用戶更改通過組策略配置的設置。此設置將“安全”選項卡從“Internet 選項”對話框中刪除。啟用此策略將使用戶無法查看和更改安全區域的設置,如腳本、下載和用戶身份驗證。Microsoft 推薦啟用此設置,以阻止用戶更改將削弱 Internet Explorer 中其他安全設置的作用的設置。
因此,在本指南定義的兩種環境中,應將“Internet 控制面板\禁用安全頁”設置配置為“啟用”。
脫機頁\禁用添加頻道
表 4.61:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用添加頻道”設置阻止用戶在 Internet Explorer 中添加頻道。頻道是運行 Internet Explorer 的工作站上按照頻道提供商指定的計劃自動更新的網站。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用添加頻道”設置配置為“啟用”。
脫機頁\禁用添加脫機頁計劃
表 4.62:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用添加脫機頁計劃”設置用於阻止用戶指定可以下載以供脫機查看的網頁。當用戶使網頁可脫機查看時,則可在計算機未連接 Internet 時查看內容。
啟用此策略可阻止用戶添加新的脫機內容下載計劃,並使“添加收藏夾”對話框中的“允許脫機使用”復選框變灰。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用添加脫機頁計劃”設置配置為“啟用”。
脫機頁\禁用所有已計劃的脫機頁
表 4.63:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用所有已計劃的脫機頁”設置用於禁用現有的網頁下載(供脫機查看)計劃。啟用此策略將清除“網頁”屬性對話框的“計劃”選項卡中的計劃復選框,以阻止用戶選中這些復選框。要顯示此選項卡,用戶需單擊“工具”菜單、“同步”,再選擇網頁,然後單擊“屬性”按鈕和“計劃”選項卡。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用所有已計劃的脫機頁”設置配置為“啟用”。
脫機頁\完全禁用頻道用戶界面
表 4.64:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\完全禁用頻道用戶界面”設置阻止用戶查看頻道欄界面。頻道是計算機上按照頻道提供商指定的計劃自動更新的網站。
啟用此設置將阻止用戶訪問頻道欄界面,並阻止用戶選中“顯示屬性”對話框的“Web”選項卡上的“Internet Explorer 頻道欄”復選框。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\完全禁用頻道用戶界面”設置配置為“啟用”。
脫機頁\禁用下載站點預訂內容
表 4.65:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用下載站點預訂內容”設置阻止用戶從網站下載預訂內容。啟用此設置雖然起到阻止作用,但是,當用戶返回以前訪問的頁面以確定是否有內容已更新時,仍然會發生網頁內容的同步。
這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用下載站點預訂內容”設置配置為“啟用”。
脫機頁\禁用編輯和創建計劃組
表 4.66:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用編輯和創建計劃組”設置用於阻止用戶添加、編輯或刪除用戶預訂的網頁和網頁組脫機查看計劃。預訂組是收藏夾網頁以及鏈接到它的網頁。啟用此策略將使網頁“屬性”對話框的“計劃”選項卡中的“添加”、“刪除”和“編輯”按鈕變灰。
要顯示此選項卡,用戶需在 Internet Explorer 中的主菜單上,單擊“工具”、“同步”,再選擇網頁,單擊“屬性”按鈕,然後單擊“計劃”選項卡。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用編輯和創建計劃組”設置配置為“啟用”。
脫機頁\禁用編輯脫機頁計劃
表 4.67:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用編輯脫機頁計劃”設置用於阻止用戶編輯現有的網頁下載(供脫機查看)計劃。啟用此策略將阻止用戶顯示已設置為脫機查看的頁面的計劃屬性。
此時,當用戶在 Internet Explorer 中的主菜單上,單擊“工具”、“同步”,再選擇網頁,然後單擊“屬性”按鈕時,將不會顯示屬性。用戶不會收到指出命令不可用的警報。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用編輯脫機頁計劃”設置配置為“啟用”。
脫機頁\禁用脫機頁記數
表 4.68:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用脫機頁記數”設置用於阻止頻道提供商記錄其頻道頁面被脫機工作的用戶查看的頻率。這是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用脫機頁記數”設置配置為“啟用”。
脫機頁\禁用刪除頻道
表 4.69:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用刪除頻道”設置用於阻止用戶在 Internet Explorer 中禁用頻道同步。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用刪除頻道”設置配置為“啟用”。
脫機頁\禁用刪除脫機頁計劃
表 4.70:設置
企業客戶端 高安全級 已啟用 已啟用“脫機頁\禁用刪除脫機頁計劃”設置用於阻止用戶清除網頁的預配置設置,以下載供脫機查看的網頁。啟用此設置可保護預配置的網頁設置。該設置是阻止 Internet Explorer 自動下載內容的幾個設置之一。最佳做法是,僅允許計算機在用戶直接從該計算機發出請求時從 Internet 下載頁面。
因此,在本指南定義的兩種環境中,應將“脫機頁\禁用刪除脫機頁計劃”設置配置為“啟用”。
配置 Outlook Express
表 4.71:設置
企業客戶端 高安全級 已啟用 已啟用“配置 Outlook Express”設置允許管理員授予或拒絕 Microsoft OutlookExpress 用戶保存或打開可能包含病毒的附件的能力。選擇此設置的阻止附件選項將阻止用戶打開或保存可能包含病毒的電子郵件附件。用戶無法禁用“配置 Outlook Express”設置以使其無法阻塞附件。要強制采用此設置,請單擊“啟用”,然後選擇“阻塞可能包含病毒的附件”。
因此,在本指南定義的兩種環境中,應將“配置 Outlook Express”設置配置為“啟用”,並設置為“阻塞可能包含病毒的附件”。
禁用更改高級頁設置
表 4.72:設置
企業客戶端 高安全級 已啟用 已啟用“禁用更改高級頁設置”設置用於阻止用戶更改 Internet Explorer 的“Internet 選項”對話框中“高級”選項卡上的設置。啟用此設置將阻止用戶更改浏覽器中與安全、多媒體和打印有關的高級設置。用戶無法在“Internet 選項”對話框的“高級”選項卡上選中或清空這些選項的復選框。此設置還能阻止用戶更改通過組策略配置的設置。
因此,在本指南定義的兩種環境中,應將“禁用更改高級頁設置”設置配置為“啟用”。
注意:如果要配置“禁用高級頁”設置(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”),您無需配置此設置,因為啟用“禁用高級頁”設置會將“高級”選項卡從“Internet 選項”對話框中刪除。
禁用更改自動配置的設置
表 4.73:設置
企業客戶端 高安全級 已啟用 已啟用“禁用更改自動配置的設置”設置阻止用戶更改自動配置的設置。管理員使用自動配置來定期更新浏覽器設置。啟用此設置將使 Internet Explorer 中的自動配置設置變灰。這些設置位於“局域網設置”對話框的“自動配置”區域中。此設置還會阻止用戶更改通過組策略配置的設置。
查看“局域網設置”對話框:
打開“Internet 選項”對話框,然後單擊“連接”選項卡。
單擊“局域網設置”按鈕查看設置。
因此,在本指南定義的兩種環境中,應將“禁用更改自動配置的設置”設置配置為“啟用”。
注意:如果在控制面板中配置“禁用連接頁”設置(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”),會將“連接”選項卡從 Internet Explorer 中刪除,從而導致此設置優先於“禁用更改自動配置的設置”。如果啟用了前一設置,後一設置將被忽略。
禁用更改證書設置
表 4.74:設置
企業客戶端 高安全級 已啟用 已啟用“禁用更改證書設置”設置阻止用戶更改 Internet Explorer 中的證書設置。證書用於驗證軟件發行者的身份。啟用此設置會使“Internet 選項”對話框的“內容”選項卡的“證書”區域中的這些設置變灰。此設置用於阻止用戶更改通過組策略配置的設置。
因此,在本指南定義的兩種環境中,應將“禁用更改證書設置”設置配置為“啟用”。
注意:當此設置啟用時,用戶仍然可以通過雙擊軟件發布證書 (。spc) 文件來運行證書管理器導入向導。此向導允許用戶導入並配置尚未在 Internet Explorer 中配置的軟件發布者的證書。
注意:如果在控制面板中配置“禁用內容頁”設置(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”),會將“內容”選項卡從 Internet Explorer 中刪除,從而導致此設置優先於“禁用更改證書設置”。如果啟用了前一設置,後一設置將被忽略。
禁用更改連接設置
表 4.75:設置
企業客戶端 高安全級 已啟用 已啟用“禁用更改連接設置”設置用於阻止用戶更改撥號設置。啟用此策略將使“Internet 選項”對話框中的“連接”選項卡上的“設置”按鈕變灰。此設置用於阻止用戶更改通過組策略配置的設置。對於出差途中需要更改連接設置的便攜式計算機用戶,您可能要禁用此設置。
因此,在本指南定義的兩種環境中,應將“禁用更改連接設置”設置配置為“啟用”。
注意:如果配置了“禁用連接頁”設置(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”),將不需要配置此設置,因為它將“連接”選項卡從界面中刪除。
禁用更改代理服務器設置
表 4.76:設置
企業客戶端 高安全級 已啟用 已啟用“禁用更改代理服務器設置”設置用於阻止用戶更改代理服務器設置。啟用此設置將使代理服務器設置變灰。這些設置位於“局域網設置”對話框(當用戶單擊“Internet 選項”對話框中的“連接”選項卡,然後單擊“局域網設置”按鈕時出現)的“代理服務器”區域中。此設置用於阻止用戶更改通過組策略配置的設置。對於出差途中需要更改連接設置的便攜式計算機用戶,您可能要禁用此設置。
因此,在本指南定義的兩種環境中,應將“禁用更改代理服務器設置”設置配置為“啟用”。
注意:如果配置了“禁用連接頁”設置(位於“\用戶配置\管理模板\Windows 組件\Internet Explorer\Internet 控制面板”),將不需要配置此設置,因為它將“連接”選項卡從界面中刪除。
禁用 Internet 連接向導
表 4.77:設置
企業客戶端 高安全級 已啟用 已啟用“禁用 Internet 連接向導”設置用於阻止用戶運行 Internet 連接向導。啟用此策略將使“Internet 選項”對話框中的“連接”選項卡上的“設置”按鈕變灰。此設置用於阻止用戶更改通過組策略配置的設置。對於出差途中需要更改連接設置的便攜式計算機用戶,您可能要禁用此設置。
啟用此設置將阻止用戶通過以下兩種方法運行此向導:單擊桌面上的“連接到 Internet”圖標;或者,單擊“開始”,指向“所有程序”,然後依次單擊“附件”、“通訊”和“Internet 連接向導”。
因此,在本指南定義的兩種環境中,應將“禁用 Internet 連接設置”設置配置為“啟用”。
禁止自動完成功能保存密碼
表 4.78:設置
企業客戶端 高安全級 已啟用 已啟用“禁止自動完成功能保存密碼”設置用於在網頁上的表單中禁用用戶名和密碼的自動完成功能,並阻止用戶提示保存密碼。啟用此設置將使“表單上的用戶名和密碼”和“提示我保存密碼”復選框變灰,並阻止用戶在本地保存密碼。要顯示這些復選框,用戶可以打開“Internet 選項”對話框,單擊“內容”選項卡,然後單擊“自動完成”按鈕。
因此,在本指南定義的兩種環境中,應將“禁止自動完成功能保存密碼”設置配置為“啟用”。
Windows 資源管理器
Windows 資源管理器用於在運行 Windows XP Professional 的客戶端上導航文件系統。
請使用組策略對象編輯器在位於以下位置的管理模板中配置“Windows 資源管理器”用戶設置:
用戶配置\管理模板\Windows 組件\Windows 資源管理器
表 4.79:Windows 資源管理器用戶設置
刪除 CD 燒錄功能
表 4.80:設置
企業客戶端 高安全級 未配置 已啟用“刪除 CD 燒錄功能”設置將刪除 Windows XP 中可用於 Windows 資源管理器的內置 CD 燒錄功能。Windows XP 允許您在具有連接到計算機的讀/寫 CD 驅動器時,制作和修改可重寫 CD.此功能可用於將硬盤中的大量數據復制到 CD 中。然後可以將 CD 從計算機中取下。
因此,在本指南定義的“企業客戶端”環境中,應將“刪除 CD 燒錄功能”設置配置為“未配置”。但是,此設置在“高安全級”環境中配置為“啟用”。
注意:此設置無法阻止第三方應用程序使用 CD 燒錄機制作或修改 CD.本指南推薦使用軟件限制策略來阻止第三方應用程序制作或修改 CD.有關詳細信息,請參閱模塊 6“Windows XP 客戶端的軟件限制策略”。
阻止用戶燒錄 CD 的另一方法是,將 CD 燒錄機從您環境中的客戶端上取下,代之以只讀 CD 驅動器,或者將其一起取下。
刪除安全選項卡
表 4.81:設置
企業客戶端 高安全級 未配置 已啟用“刪除安全選項卡”設置將禁用 Windows 資源管理器中文件和文件夾屬性對話框中的“安全”選項卡。啟用此設置將阻止用戶在打開所有文件系統對象(包括文件夾、文件、快捷方式和驅動器)的“屬性”對話框後,訪問“安全”選項卡。這將阻止用戶更改“安全”選項卡下的設置,或在訪問屬性對話框後查看用戶列表。
因此,在本指南定義的“企業客戶端”環境中,應將“刪除安全選項卡”設置配置為“未配置”。但是,此設置在“高安全級”環境中配置為“啟用”。
系統
請使用組策略對象編輯器在位於以下位置的管理模板中配置“系統”用戶設置:
用戶配置\管理模板\系統
表 4.82:系統用戶設置
UI 中的設置名稱 企業客戶端 高安全級 阻止訪問注冊表編輯工具 未配置 已啟用“阻止訪問注冊表編輯工具”設置禁用 Windows 注冊表編輯器 Regedit.exe 和 Regedt32.exe.啟用此設置將導致當用戶試圖啟動注冊表編輯器時出現一條消息,通知他們不能使用上述任何編輯器。此設置可阻止用戶或入侵者使用這些工具訪問注冊表,但無法阻止其訪問注冊表本身。
因此,在本指南定義的“企業客戶端”環境中,應將“阻止訪問注冊表編輯工具”設置配置為“未配置”。但是,此設置在“高安全級”環境中配置為“啟用”。
系統\電源管理
請使用組策略對象編輯器在位於以下位置的管理模板中配置“系統\電源管理”用戶設置:
用戶配置\管理模板\系統\電源管理
表 4.84:系統\電源管理用戶設置
UI 中的設置名稱 企業客戶端 高安全級 阻止訪問注冊表編輯工具 未配置 已啟用從休眠/掛起恢復時提示輸入密碼
表 4.85:設置
企業客戶端 高安全級 未配置 已啟用企業客戶端 高安全級已啟用
“從休眠/掛起恢復時提示輸入密碼”設置控制您環境中的客戶端在從休眠/掛起狀態恢復時是否被鎖定。啟用此設置將使客戶端在從休眠/掛起狀態恢復運行時被鎖定。用戶必須輸入其密碼才能解除客戶端鎖定。禁用或不配置此設置會導致嚴重的安全缺口,因為任何人都可以訪問恢復運行後的客戶端。
因此,Microsoft 推薦在本指南定義的兩種環境中,將“從休眠/掛起恢復時提示輸入密碼”設置配置為“啟用”。