如何在活动目录环境下配置 Windows XP SP2 网络保护技术

1、.：.；如何在活动目录环境下配置 Windows XP SP2 网络维护技术目录简介 开场之前 在管理任务站和 Windows Small Business Server 2003 上添加修补程序 更新现有的组战略对象 配置平安中心设置 配置 Windows 防火墙设置 配置 Internet Explorer 平安设置 配置 Internet 通讯管理设置 配置 DCOM 访问设置 配置 RPC 设置 相关信息 简介组战略设置基于您的 Microsoft Active Directory 组织实施而运用，有助于经过各类用户和计算机内的规范配置设置来维护您的计算机环境。 用于 Microsof

2、t Windows XP Service Pack 2 (SP2) 的新组战略网络维护设置包括：Windows 防火墙。 配置这些战略设置以翻开或封锁防火墙、管理程序和端口例外并为特定方案定义例外，例如允许在目的计算机上进展远程管理。 Internet Explorer。 经过这些新的战略设置，您可以配置 Microsoft Internet Explorer 平安设置。 此外，经过战略设置，您还可以为不同的过程启用或禁用 Internet Explorer 平安功能。 Internet 通讯管理。 您可以配置这些设置以控制不同组件如何在 Windows XP SP2 上经过 Internet

3、 进展通讯，以便执行涉及到组织和 Internet 内的计算机之间信息交换的义务。DCOM 平安。 经过配置这些设置，可以控制分布式组件对象模型 (DCOM) 的平安设置。 DCOM 根底构造包括新的访问控制限制，有助于尽量减少网络攻击所带来的平安风险。 平安中心。 经过配置这些设置，可以集中管理 Windows 平安中心。 平安中心是 Windows XP SP2 中的新功能，允许您监视组织内的计算机以确保它们得到最新的平安更新，并在计算机遭遇平安风险时提供用户警报。远程过程调用 (RPC)。 您可以配置 RPC 战略设置以阻止对系统上的 RPC 接口的远程匿名访问，并防止对 RPC 终点映

4、射程序接口的匿名访问。本文档解释了如何部署网络维护组战略设置，以协助 维护 Windows XP SP2 客户计算机。 有关引荐设置的完好列表，请参阅下面的资源：Microsoft TechNet 网站 go.microsoft/fwlink/?linkid=35465 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2您可以在活动目录域中执行关于组战略对象 (GPO) 的义务。 其中一些义务可以经过域控制器来运转，但是通常都在包含活动目录管理工具的 Windows

5、 XP SP2 客户计算机上执行。 注： 有关如何部署 GPO 的更多信息，请参阅下面的资源： Microsoft Windows Server System 网站 go.microsoft/fwlink/?linkid=35498 上的“Designing a Managed Environment: Staging Group Policy Deployments要在活动目录环境下配置网络维护，请配置以下义务： 在管理任务站上添加修补程序更新现有的 GPO配置平安中心设置配置 Windows 防火墙设置配置 Internet Explorer 设置配置 Internet 通讯管理设置配置

6、DCOM 平安设置配置 RPC 设置重要： 安装操作系统时，运用默许出现的“开场菜单，便可获得本文档中的步骤阐明。 假设修正了“开场菜单，操作步骤会略有不同。有关平安相关术语的定义，请参阅下面的资源：Microsoft 网站 go.microsoft/fwlink/?LinkId=35468 上的“Microsoft Security Glossary开场之前在运用运转以下任何产品版本的域控制器的活动目录域中，Windows XP SP2 可以用作 Windows 域客户端：Microsoft Windows Server 2003Microsoft Windows Small Busines

7、s Server 2003 Microsoft Windows 2000 Server SP3 或更高版本 安装修补程序之前，请确保您已备份了计算机，包括注册表的备份。有关如何备份注册表的更多信息，请参阅下面的资源：Microsoft 协助 和支持网站 go.microsoft/fwlink/?linkid=36365 上的 Microsoft 知识库文章 322756在管理任务站和 Windows Small Business Server 2003 上添加修补程序假设您在运转较早版本操作系统或 Service Pack例如附带 SP1 的 Windows XP 或 Windows Serv

8、er 2003的计算机上管理组战略对象设置，那么必需安装修补程序 (KB842933)，以使战略设置正确地显示在“组战略对象编辑器中。假设您运用 Small Business Server 2003 (SBS 2003)，那么必需运用附加修补程序 (KB872769)，由于 SBS 2003 会默许封锁 Windows 防火墙。 修补程序可以处理此问题。注：列出的修补程序并不是 Windows 更新的一部分，您必需单独安装它们。 修补程序必需单独运用于一切受影响的系统。KB842933 适用于：Microsoft Windows Server 2003, Web Edition Microso

9、ft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Windows XP Professional SP1 Microsoft Windows Small Business Server 2003, Premium Edition Microsoft Windows Small Business Server 2003, Standa

10、rd Edition Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Server Microsoft Windows 2000 ProfessionalKB872769 适用于：Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows Small Business Server 2003, Premium Edition 注：要获得这些修补程序并了解更多信息，请参阅下面的资源： Microsoft 协助 和支持网站

11、 go.microsoft/fwlink/?linkid=35474 上的 Microsoft 知识库文章 842933Microsoft 协助 和支持网站 go.microsoft/fwlink/?linkid=35477 上的 Microsoft 知识库文章 872769执行此义务的要求凭据：您必需作为域管理员平安组或本地管理员平安组的成员登录到客户计算机。工具：按照知识库文章 842933 和 872769 中的解释，正确下载适用于您的操作系统的修补程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、

12、Windows XP SP1 或 Windows Server 2003 上添加修补程序 842933添加修补程序在 Windows 桌面上单击“开场，单击“运转，键入已下载修补程序的途径和文件名，然后单击“确定。在“欢迎运用 KB842933 安装导游页面上，单击“下一步。在“答应协议页面中，单击“我赞同，然后单击“下一步。在“完成 KB842933 安装导游页面上单击“完成，以便完成修补程序安装并重新启动计算机。为适用的一切系统效力器和管理任务站反复以上步骤。在 Windows Small Business Server 2003 上添加修补程序 872769添加修补程序在 Windows

13、 桌面上单击“开场，单击“运转，键入已下载 872769 修补程序的途径和文件名，然后单击“确定。在“欢迎运用 KB872769 安装导游页面上，单击“下一步。在“答应协议页面中，单击“我赞同，然后单击“下一步。“完成 KB872769 安装导游页面上单击“完成，以便完成修补程序安装并重新启动计算机。更新现有的组战略对象Windows XP SP2 将在管理模板中添加附加设置。 要配置这些新设置，每个 GPO 都必需运用在 Windows XP SP2 中找到的新管理模板进展更新。 除非更新组战略对象，否那么将不能运用与 Windows 防火墙相关的设置。 假设安装 Windows XP SP

14、2 的计算机上安装了组战略对象编辑器管理单元，那么可以运用 Microsoft 管理控制台 (MMC) 来更新 GPO。更新 GPO 之后，您可以针对本人运转 Windows XP SP2 的计算机来配置适当的网络维护设置。执行此义务的要求凭据：假设 Windows XP SP2 计算机是活动目录域客户端，那么必需作为域管理员或组战略 Creator/Owner 平安组的成员登录。工具：已安装组战略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。更新组战略对象更新组战略对象在 Windows XP SP2 桌面上单击“开场，单击“运转，键入 mmc，然后单击“确定。在“文件菜

15、单上，单击“添加/删除管理单元。 在“独立选项卡上，单击“添加。 在“可用的独立管理单元列表中单击“组战略对象编辑器，然后单击“添加。 在“选择组战略对象对话框中，单击“阅读。图 1 阅读组战略对象在“阅读组战略对象对话框中，选择您要运用新的 Windows 防火墙设置来更新的组战略对象。 单击“确定，然后单击“完成以封锁组战略导游。 此操作会将新的管理模板运用于选定的 GPO。在“添加独立管理单元对话框中，单击“封锁。在“添加/删除管理单元对话框中，单击“确定。封锁 MMC，单击“文件并退出，不保管对控制设置所作的更改。注：虽然您不保管控制台更改，以上过程也会未 Windows XP SP2

16、 的新管理模板导入到 GPO 中。 模板必需导入每个已定义的 GPO 中。 对要用于将组战略运用到安装 Windows XP SP2 的计算机的每个 GPO 反复这些步骤。注： 要为运用活动目录和 Windows XP SP1 的网络环境更新您的 GPO，Microsoft 建议您运用可免费下载的组战略管理控制台。 有关更多信息，请参阅下面的资源：Microsoft Windows Server System 网站 go.microsoft/fwlink/?linkID=35479 上的“Enterprise Management with the Group Policy Managemen

17、t Console配置平安中心设置平安中心是 Windows XP SP2 中的一项新效力，它提供的中央位置可用于更改平安设置、详细了解平安性，并确保用户的计算机具有 Microsoft 引荐的最新主要平安设置。 在 Windows 域环境中，您可以运用组战略来允许平安中心监视用户的计算机，从而有助于确保它们具有最新的平安更新，并在用户的计算机能够遭遇风险时通知他们。 安装中心效力将作为后台进程运转，并在用户的计算机上检查以下组件的形状： 防火墙。 平安中心将检查 Windows 防火墙是已翻开还是封锁，同时检查能否存在其它一些软件防火墙。 为检查其它防火墙，平安中心将查询特定 Windows

18、 管理规范 (WMI) 提供程序，它们已由参与的供应商提供。病毒维护。 平安中心将检查能否存在防病毒软件。 为检查能否存在防病毒软件，平安中心将查询由参与的供应商提供的特定 WMI 提供程序。 假设提供了信息，平安中心效力还将确定软件是不是最新版本以及能否翻开了实时扫描。 自动更新。 平安中心将检查并确保自动更新已设置为引荐的设置，该设置将为用户的计算机自动下载并安装重要更新。 假设自动更新已封锁或未设置为引荐的设置，平安中心将提供适当的建议。假设发现组件短少或不符合您的平安战略，平安中心将在工具栏的通知区域中显示红色图标或在登录时提供警告信息以向您发出警告。 此信息包含用于翻开平安中心用户界

19、面的链接，它提供了关于问题以及修复建议的信息。假设您运转的防火墙或防病毒软件包件未被平安中心检测到，那么可以将平安中心设置为绕过该组件的警告。对于 Windows 域中的计算机，您可以运用组战略设置来集中管理平安中心功能。 假设您启用“翻开平安中心仅限域 PC战略设置，平安中心将监视主要平安设置防火墙、防病毒软件和自动更新，并且在用户的计算机遭遇风险时通知他们。 在默许情况下，“翻开平安中心仅限域 PC战略设置将不会启用，这意味着它将在平安中心封锁时封锁，通知和平安中心形状部分都不会显示。 执行此义务的要求凭据：假设 Windows XP SP2 计算机是活动目录域客户端，那么必需作为域管理员

20、平安组成员登录，并翻开“组战略对象。工具：已安装组战略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置平安中心设置假设运用此设置，那么允许运转 Windows XP SP2 的计算机的用户运用平安中心来发布关于防火墙、防病毒软件包件和自动更新的警告。 配置平安中心设置在 Windows XP SP2 桌面上单击“开场，单击“运转，键入 mmc，然后单击“确定。在“文件菜单上，单击“添加/删除管理单元。 在“独立选项卡上，单击“添加。 在“可用的独立管理单元列表中找到并单击“组战略对象编辑器，然后单击“添加。 在“选择组战略对象对话框中，单击“阅读。从列表中选择您要配置的组

21、战略对象。 单击“确定，然后单击“完成以封锁组战略导游。单击“封锁以退出“添加独立管理单元对话框，然后单击“确定以退出“添加/删除管理单元对话框并前往管理控制台。在控制台树中翻开“计算机配置、“管理模板、“Windows 组件，然后翻开“平安中心。图 2 平安中心设置双击“启用平安中心仅域电脑，单击“已启用，然后单击“确定。 运用 GPUpdate 运用配置GPUpdate 适用工具将刷新基于活动目录的组战略设置，包括平安设置。 配置组战略之后，您可以等待规范刷新周期将设置运用于客户计算机。 默许情况下的刷新周期为 90 分钟，动态偏向为 + 或 - 30 分钟。要在规范周期之间刷新组战略，请

22、运用 GPUpdate 适用工具。验证平安中心设置能否已运用验证平安中心设置能否已运用在 Windows XP 桌面上单击“开场，然后单击“控制面板。在“选择一个类别下单击“平安中心。验证平安中心能否已启动。注：假设配置设置未运用，您必需排除组战略运用程序的缺点。 要排除组战略运用程序的缺点，请参阅下面的资源： Microsoft 下载中心网站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Windows 防火墙设置有三套 Windows 防火墙设置需求配置：

23、 允许经过验证的 IPSec 旁路。 此设置在组织运用 Internet 协议平安 (IPSec) 时运用，用于维护通讯量并启用 Windows 防火墙。域配置文件。 假设计算机衔接至某个网络，而该网络中包含的域控制器同样用于这些计算机所属的域，那么会运用这些设置。规范配置文件。 假设计算机未衔接至您的网络例如在您携带膝上型计算机时，那么会运用这些设置。假设您不配置规范配置文件设置，那么默许值将保管不变。 Microsoft 建议您同时配置域和规范配置文件设置，并且为两个配置文件都启用 Windows 防火墙。 独一的例外是您预备运用第三方主机防火墙产品。假设您预备运用第三方主机防火墙产品，那

24、么 Microsoft 建议您禁用 Windows 防火墙。 假设您决议在整个组织网络中禁用 Windows 防火墙，并且网络中混合包含运转未安装 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的计算机，那么应该配置这些组战略设置：“制止在 DNS 域网络上运用 Internet 衔接防火墙设置为“已启用“域配置文件 Windows 防火墙：维护一切网络衔接设置为“已禁用“规范配置文件 Windows 防火墙：维护一切网络衔接设置为“已禁用注：此规范配置文件设置将确保未运用 Windows 防火墙，而无论计算机能否衔接至您的

25、组织网络。 为确保 Windows 防火墙未在您的组织网络上运用，但是计算机未衔接至网络时运用，那么将此设置更改为“已启用。规范配置文件设置比域配置文件更受限制，由于规范配置文件设置不包括仅在受管理域环境中运用的运用程序和效力。在 GPO 中，域配置文件和规范配置文件都包含一样的 Windows 防火墙设置集。 Windows XP SP2 依托网络确定来运用正确的配置文件。 注：有关网络确定的更多信息，请参阅下面的资源：Microsoft TechNet 网站 go.microsoft/fwlink/?linkid=35480 上的“Network Determination Behavio

26、r for Network-Related Group Policy Settings本节引见了 GPO 中能够运用的 Windows 防火墙设置以及企业环境的引荐设置，并演示了如何启用四种类型的设置。执行此义务的要求凭据：假设 Windows XP SP2 计算机是活动目录域客户端，那么必需作为域管理员平安组成员登录，并翻开您在前面义务中个修正的“组战略对象。工具：已安装组战略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。注：要翻开 GPO，请运用已安装组战略对象编辑器管理单元的 MMC，或者运用“Active Directory 用户和计算机控制台。 要在 Window

27、s XP 客户计算机上运用“Active Directory 用户和计算机控制台，那么必需经过 Windows Server 2003 CD 运转 adminpak.msi运用组战略配置 Windows 防火墙设置运用组战略对象编辑器管理单元或“Active Directory 用户和计算机，在适当的 GPO 中修正 Windows 防火墙设置。 配置 Windows 防火墙设置之后，下一次刷新计算机配置组战略将下载新的 Windows 防火墙设置，并将它们运用于运转 Windows XP SP2 的计算机。 配置 Windows 防火墙设置在 Windows XP SP2 桌面上单击“开场，

28、单击“运转，键入 mmc，然后单击“确定。在“文件菜单上，单击“添加/删除管理单元。 在“独立选项卡上，单击“添加。 在“可用的独立管理单元列表中找到并单击“组战略对象编辑器，然后单击“添加。 在“选择组战略对象对话框中，单击“阅读。选择您要配置的组战略对象，单击“确定，然后单击“完成以退出组战略导游。单击“封锁以退出“添加独立管理单元对话框，然后单击“确定以退出“添加/删除管理单元对话框并前往管理控制台。在控制台树中翻开“计算机配置、“管理模板、“网络、“网络衔接，然后翻开“Windows 防火墙。 图 4 组战略中的 Windows 防火墙选项双击“Windows 防火墙：允许经过验证的

29、IPSec 旁路。图 5 允许经过验证的 IPSec 旁路表 1 概述了允许绕过已验证的 IPSec 选项。表 1 允许企业经过验证的 IPSec 旁路设置设置描画备注未配置此 GPO 不会更改 Windows 防火墙的当前配置已启用Windows 防火墙不会处置受 IPSec 维护的通讯，除非是战略中列出的用户或组。列出用户和组的语法运用 SDDL 规范。 有关更多信息，请参阅下面的资源： HYPERLINK go.microsoft/fwlink/?linkid=35503 t _blank MSDN 网站 go.microsoft/fwlink/?linkid=35503 上的“Secu

30、rity Descriptor Definition Language已禁用Windows 防火墙将处置受 IPSec 维护的通讯。运用表 1 中的信息，然后单击“已启用或“已禁用。注：假设您单击“已启用，那么可以创建一个用户或组列表，并允许他们向您的计算机发送受 IPSec 维护的通讯。单击“确定。 选择“域配置文件或“规范配置文件。图 6 组战略中的 Windows 防火墙设置表 2 概述了用于域和规范配置文件的 Windows 防火墙组战略引荐设置。表 2 用于企业的 Windows 防火墙引荐设置设置描画域配置文件规范配置文件维护一切网络衔接指定为一切网络衔接启用 Windows 防火

31、墙已启用已启用不允许例外指定放弃一切进入的渣滓通讯，包括例外通讯未配置已启用，除非您必需配置程序例外定义程序例外按照程序文件名定义例外通讯假设网络上的计算机运转附带 SP2 的 Windows XP，那么启用和配置由其运用的程序运用程序和效力假设网络上的计算机运转附带 SP2 的 Windows XP，那么启用和配置由其运用的程序运用程序和效力允许本地程序例外允许程序例外的本地配置已禁用，除非您需求本地管理员在本地配置程序例外已禁用允许远程管理例外允许运用工具进展远程配置禁用，除非您希望可以运用 MMC 管理单元远程管理您的计算机已禁用允许文件和打印共享机例外指定能否允许文件和打印机共享通讯已

32、禁用，除非运转 Windows XP SP2 的计算机共享本地资源已禁用允许 ICMP 例外指定允许的 ICMP 音讯类型禁用，除非您希望运用 ping 命令排除缺点已禁用允许远程桌面例外指定计算机能否可以接受基于远程桌面的衔接恳求已启用已启用允许 UPnP 框架例外指定计算机能否可以接纳渣滓 UPnP 音讯已禁用已禁用阻止通知禁用通知已禁用已禁用允许记录日志允许您记录通讯并配置日志文件设置未配置未配置阻止对多播或广播恳求的单播呼应放弃针对多播或广播恳求音讯而收到的单播数据包已启用已启用定义端口例外按照 TCP 和 UDP 指定例外通讯已禁用已禁用允许本地端口例外允许端口例外的本地配置已禁用已

33、禁用启用端口的例外启用端口例外在“域配置文件或“规范配置文件设置区域中，双击“Windows 防火墙：定义端口例外。图 7 Windows 防火墙：定义端口例外属性单击“已启用，然后单击“显示。 图 8 显示内容单击“添加。图 9 添加工程运用以下语法，键入您要阻止或启用的端口信息：port:transport:scope:status:name 此处的 port 是端口号码，transport 是 TCP 或 UDP，scope 是 *用于一切系统或允许访问端口的计算机列表，status 是已启用或已禁用，name 是用作此条目的签的文本字符串。在运用范围时，不支持主机称号、域名系统 (DN

34、S) 称号或 DNS 后缀。 对于 IPv4 地址范围，您可以运用点分隔子网掩码或前缀长度来指定范围。 在运用点分隔子网掩码时，您可以将范围指定为 IPv4 网络 ID例如 10.47.81.0/255.255.255.0，或者经过运用范围内的某个 IPv4 地址例如 10.47.81.231/255.255.255.0来指定。 在运用网络前缀长度时，您可以将范围指定为 IPv4 网络 ID例如 10.47.81.0/24，或者经过运用范围内的某个 IPv4 地址例如 10.47.81.231/24来指定。有关 TCP/IP 地址和子网的详细信息，请参阅下面的资源：Microsoft 协助 和

35、支持网站 go.microsoft/fwlink/?linkid=36370 上的 Microsoft 知识库文章 164015注：假设来源列表中的条目之间存在任何空格或其它任何无效字符，那么范围将被忽略，而设置也将表现为已被禁用。 保管更改之前，请双击您的范围语法。此实例运用名为 WebTest 的端口例外，并为一切衔接启用 TCP 端口 80。单击“确定以封锁“添加工程。图 10 显示内容单击“确定以封锁“显示内容。单击“封锁以封锁“Windows 防火墙：定义端口例外属性。注：假设已选定“不允许例外，那么会忽略任何端口例外。启用程序的例外启用程序例外在“域配置文件或“规范配置文件设置区域

36、中，双击“Windows 防火墙：定义程序例外。图 11 Windows 防火墙：定义程序例外属性单击“已启用，然后单击“显示。图 12 显示内容单击“添加。图 13 添加工程运用以下语法，键入您要阻止或启用的程序信息：path:scope:status:name 此处的 path 是程序途径和文件名，scope 是 *用于一切系统或允许访问程序的计算机列表，status 是已启用或已禁用，name 是用作此条目的签的文本字符串。此实例将为一切衔接启用 Windows Messenger。有关 TCP/IP 地址和子网的详细信息，请参阅下面的资源：Microsoft 协助 和支持网站 go.m

37、icrosoft/fwlink/?linkid=36370 上的 Microsoft 知识库文章 164015单击“确定以封锁“添加工程。图 14 显示内容单击“确定以封锁“显示内容。单击“封锁以封锁“Windows 防火墙：定义程序例外属性。配置根本 ICMP 选项有关 ICMP 的信息，请参阅下面的资源：Microsoft Windows XP 网站 go.microsoft/fwlink/?linkid=35499 上的“Internet Control Message Protocol (ICMP)配置根本 ICMP 选项在“域配置文件或“规范配置文件设置区域中，双击“Windows

38、防火墙：允许 ICMP 例外。单击“已启用。图 15 Windows 防火墙：允许 ICMP 例外属性选择要启用的适当 ICMP 例外。 此实例选择允许入站回显恳求。单击“确定以封锁“Windows 防火墙：允许 ICMP 例外属性。记录丢弃的数据包和胜利的衔接记录丢弃的数据包和胜利的衔接在“域配置文件或“规范配置文件设置区域中，双击“Windows 防火墙：允许记录日志。图 16 Windows 防火墙：允许记录日志属性单击“已启用，选择“记录被丢弃的数据包和“记录胜利的衔接，键入日志文件途径和称号，然后单击“确定。注：保管日志文件的位置必需得到维护，以防止删除或篡改日志。封锁组战略编辑器。

39、假设提示保管控制台设置，请单击“否。运用 GPUpdate 运用配置GPUpdate 适用工具将刷新基于活动目录的组战略设置，包括平安设置。 配置组战略之后，您可以等待规范刷新周期将设置运用于客户计算机。 默许情况下的刷新周期为 90 分钟，动态偏向为 + 或 - 30 分钟。要在规范周期之间刷新组战略，请运用 GPUpdate 适用工具。验证 Windows 防火墙设置能否已运用注：运用组战略来配置 Windows 防火墙时，设置能够不允许本地管理员更改某些方面的配置。 在用户的本地计算机上，Windows 防火墙对话框中的某些选项卡和选项将无法运用。验证 Windows 防火墙设置能否已运

40、用在“平安中心的“管理平安设置下，单击“Windows 防火墙。单击“常规、“例外和“高级选项卡，然后验证能否已将需求的配置运用于计算机上的 Windows 防火墙，然后单击“确定以封锁 Windows 防火墙。注：假设配置设置未运用，您必需排除组战略运用程序的缺点。 要排除组战略运用程序的缺点，请参阅下面的资源：Microsoft 下载中心网站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Internet Explorer 平安设置对于 Windows X

41、P SP2，您可以为计算机以及带新组战略设置的用户配置管理一切 Internet Explorer 平安设置。Windows XP SP2 运用战略设置的两个主要区域：平安功能URL 操作平安功能战略设置允许您管理能够会影响 Internet Explorer 平安性的特定方案。 在大多数情况下，您需求防止特定的行为，因此必需确保已启用平安功能。 例如，恶意代码能够会在本地计算机区域而不是 Internet 区域中运转，从而尝试提升本人的权限。 为了协助 防止此类攻击，您可以运用“维护域提升战略设置。 对于每种平安功能战略设置，您可以经过以下方法指定用于控制平安功能行为的战略设置：Intern

42、et Explorer 过程定义的过程列表一切过程，无论它们是从哪里启动一致资源定位器 (URL) 操作是指阅读器可以采取的操作，而这些操作能够会导致本地计算机出现平安风险，例如尝试运转 Java applet 或 ActiveX 控制。 URL 操作与注册表中的平安设置相对应，而这些设置确定了针对 URL 所在平安区域中的功能所采取的操作。 URL 操作设置包括启用、禁用、提示和其它适用的设置。要对 Internet Explorer 中的 URL 操作进展平安管理，您可以运用“Internet 控制面板下的新平安页组战略设置。 经过运用组战略来控制 URL 操作的平安性，您可以为组织内的一

43、切用户和计算机创建规范 Internet Explorer 配置。要提供平安性，您可以运用平安区域模板战略设置为一切 URL 区域启用战略。 对于每种 URL 操作模板战略设置，您可以指定以下一个平安级别：低。 此级别通常用于包含用户完全信任的网站的 URL 平安区域。 这是“受信任的站点区域的默许平安级别。中低。 此级别可用于包含似乎不会导致损害计算机或数据的网站的 URL 平安区域。 这是 Intranet 区域的默许平安级别。中。 此级别可用于包含既不是可信又不是不可信的网站的 URL 平安区域。 这是 Internet 区域的默许平安级别。高。 此级别用于包含能够会导致损坏用户计算机或

44、数据的网站的 URL 平安区域。 这是“受限制的站点区域的默许平安级别。有关平安功能控制的详细信息，请参阅以下内容： Microsoft TechNet 网站 go.microsoft/fwlink/?linkid=35487 上的“Microsoft Windows XP Service Pack 2 中的功能变卦执行此义务的要求凭据：假设 Windows XP SP2 计算机是活动目录域客户端，那么必需作为域管理员平安组成员登录，并翻开“组战略对象。工具：已安装组战略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。 配置 Internet Explorer 平安设置配置

45、Internet Explorer 设置在 Windows XP SP2 桌面上单击“开场，单击“运转，键入 mmc，然后单击“确定。在“文件菜单上，单击“添加/删除管理单元。 在“独立选项卡上，单击“添加。 在“可用的独立管理单元列表中找到并单击“组战略对象编辑器，然后单击“添加。 在“选择组战略对象对话框中，单击“阅读。选择您要配置的组战略对象，单击“确定，然后单击“完成以退出组战略导游。单击“封锁以退出“添加独立管理单元对话框，然后单击“确定以退出“添加/删除管理单元对话框并前往管理控制台。在控制台树中翻开“计算机配置、“管理模板、“Windows 组件、“Internet Explor

46、er，然后翻开“平安功能。 图 18 Internet Explorer 组战略平安设置运用表 3 中的信息，配置 Internet Explorer 平安设置。 表 3 Internet Explorer 平安功能设置设置描画默许配置企业环境的引荐配置二进制行为平安限制战略控制是防止还是允许二进制行为平安限制设置未配置在 #package#behavior notation 中，将组织的任何已认可行为添加到管理员认可的行为列表中MK 协议平安限制经过防止 MK 协议来减小受攻击面未配置为一切过程启用本地计算机区域锁定平安协助 减轻运用本地计算机区域以载入恶意 HTML 代码的攻击未配置为一切

47、过程启用一致性 Mime 处置确定 Internet Explorer 能否要求 Web 效力器提供的一切文件类型信息都坚持一致未配置为一切过程启用Mime 探查平安功能确定 Internet Explorer MIME 窥探能否防止将一种类型的文件提示为更危险的文件类型未配置为一切过程启用对象缓存维护定义在用户阅读一样的域或新域时，能否可以访问对对象的援用未配置为一切过程启用脚本化 Window 平安限制限制弹出式窗口并制止脚本显示窗口；在这些窗口中，规范和形状栏将不会显示给用户，或者会使其它标题和形状栏变得模糊未配置为一切过程启用维护域提升协助 维护本地计算机平安区域未配置为一切过程启用信

48、息栏在安装的文件或代码遭到限制时，管理能否为 Internet Explorer 过程显示信息栏未配置为一切过程启用限制 ActiveX 安装允许您阻止 Internet Explorer 过程的 ActiveX 控件安装提示未配置为一切过程启用限制文件下载允许您阻止并非由用户发出的文件下载提示未配置为一切过程启用加载项管理允许您确保加载项列表战略设置未列出的任何 Internet Explorer 加载项会被回绝未配置为一切加载项启用，除非在加载项列表中特别允许网络协议锁定为 Internet、intranet、可信站点、受限站点和本地计算机平安区域指定受限制的协议列表未配置为每个平安区域启

49、用特定协议展开“Internet 控制面板图 19 Internet 控制面板设置启用每项设置以防止用户获得所列出 Internet Explorer 配置页面的访问权限。 要执行此操作，请双击每项设置，单击“已启用，然后单击“确定。展开“平安页。图 20 Internet 控制面板平安页设置有两种方法可以配置平安区域；您可以运用模板，或者按照区域选择每项设置。以下之一：运用表 4 中的信息，以便运用区域模板来配置每个平安区域。 双击每个模板选项，然后单击“已启用。运用表 5 中的信息，单独配置每个平安区域表 4 按照平安区域进展 Internet 控制面板设置设置引荐的配置引荐的级别Inte

50、rnet 区域模板已启用中Intranet 区域模板已启用中低受信任的站点区域模板已启用低受限制的站点区域模板已启用高本地计算机区域模板已启用低锁定的本地计算机区域模板已启用高表 5 按照平安区域进展 Internet 控制面板设置设置描画默许配置下载已签名的 ActiveX 控件经过包含控件的 HTML 页面的 URL 区域，管理签名 ActiveX 控件的下载。未配置下载未签名的 ActiveX 控件经过包含控件的 HTML 页面的 URL 区域，管理未签名 ActiveX 控件的下载。未配置对没有标志为平安的 ActiveX 控件进展初始化和脚本运转经过区域中的 HTML 页面，管理 A

51、ctiveX 控件和插件的执行。未配置运转 ActiveX 控件和插件针对 URL 平安区域中的页面，确定是交换还是执行 ActiveX 控件对象平安性。 只需在区域中的页面上能够产生交互的一切 ActiveX 控件和脚本可以确信不会破坏平安性时，才应该交换对象平安性。 这是 URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY 和 URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY 的综合。未配置允许活动脚本确定能否运转 URL 平安区域中的页面上的脚本代码。未配置Java 小程序脚本确定假设小程序的属性、方法和事件受脚本影响时，能否允许

52、 URL 平安区域中的 HTML 页面上的脚本代码运用 Java 小程序。未配置对标志为可平安执行脚本的 ActiveX 控件执行脚本确定能否可以将脚本用于平安的 ActiveX 控件。未配置经过域访问数据资源确定能否允许资源经过域访问数据源。未配置允许经过脚本进展粘贴操作确定脚天性否可以执行粘贴操作。未配置提交非加密表单数据确定能否允许 URL 平安区域中页面上的 HTML 表单或提交到区域中效力器上的表单。 URLACTION_HTML_SUBMIT_FORMS_FROM 和 URLACTION_HTML_SUBMIT_FORMS_TO 标志的综合。未配置允许字体下载确定能否允许 HTML

53、 字体下载。未配置继续运用用户数据确定能否启用继续运用用户数据。未配置跨域阅读子框架确定能否允许子框架在不同域中导航。未配置运用 GPUpdate 运用配置GPUpdate 适用工具将刷新基于活动目录的组战略设置，包括平安设置。 配置组战略之后，您可以等待规范刷新周期将设置运用于客户计算机。 默许情况下的刷新周期为 90 分钟，动态偏向为 + 或 - 30 分钟。要在规范周期之间刷新组战略，请运用 GPUpdate 适用工具。验证 Internet Explorer 平安设置能否已运用注：运用组战略来配置 Internet Explorer 时，设置能够不允许本地管理员更改某些方面的配置。 在

54、用户的本地计算机上，对话框中的某些选项卡和选项将无法运用。验证 Internet Explorer 设置能否已运用在“平安中心的“管理平安设置下，单击“Internet 选项。单击“平安、“隐私和“高级选项卡，然后验证能否已将需求的配置运用于计算机上的 Internet Explorer，然后单击“确定以封锁“Internet 属性。注：假设配置设置未运用，您必需排除组战略运用程序的缺点。 要排除组战略运用程序的缺点，请参阅下面的资源：Microsoft 下载中心网站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Poli

55、cy in Windows Server 2003配置 Internet 通讯管理设置Windows XP SP2 提供了新的组战略设置，主要设计用于控制 Windows XP SP2 中的组件与 Internet 进展通讯的方式。 组战略设置允许您管理以下功能：联机订购图片打印运用联机存储空间发布到 Web在 Windows XP SP2 中，用户可以单击“Windows 资源管理器中的义务以联机订购图片打印“联机打印导游、注册获得提供联机存储空间的效力“添加网上邻居导游或发布可以在阅读器中查看的文件“Web 发布导游，还可以执行其它义务。 义务或导游将从两个来源获得这些效力提供商的称号和

56、URL：一个本地存储的列表在注册表中和一个存储在 Microsoft 网站上的列表。 默许情况下，除了显示注册表中列出的提供商外，Windows 还会显示 Microsoft Web 站点列表中的提供商。您可以运用以下组战略设置来控制这些导游和义务的任务方式，并控制这些组件与 Internet 进展通讯的方式：封锁文件和文件夹的“发布到 Web义务。 此战略设置将指定需求发布工程到 Web 的义务能否可以经过 Windows 文件夹中的“文件和文件夹义务来运用。 义务包括将此文件发布到 Web、将此文件夹发布到 Web 以及将相关工程发布到 Web。 封锁“ Web 发布和“联机订购导游的 I

57、nternet 下载。 此战略设置将指定 Windows 能否应该为Web 发布导游、“添加网上邻居导游和“联机打印导游下载提供商的列表。 默许情况下，除了显示注册表中指定的提供商外，Windows 还会显示从 Windows 网站中下载的提供商。封锁“订购照片图片义务。 此战略设置将指定“联机订购照片义务能否可以经过 Windows 文件夹中的“图片义务来运用。 此设置将禁用“联机照片订购导游。这些战略设置可用于用户和计算机配置。有关如何控制运用“添加网上邻居导游和“Web 发布导游的更多信息，请参阅下面的资源：Microsoft TechNet 网站 go.microsoft/fwlink

58、/?LinkId=35489 上的“Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet执行此义务的要求凭据：假设 Windows XP SP2 计算机是活动目录域客户端，那么必需作为域管理员平安组成员登录，并翻开“组战略对象。工具：已安装组战略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置 Internet 通讯管理设置在 Windows XP SP2 桌面上单击“开场，单击“运转，键

59、入 mmc，然后单击“确定。在“文件菜单上，单击“添加/删除管理单元。 在“独立选项卡上，单击“添加。 在“可用的独立管理单元列表中找到并单击“组战略对象编辑器，然后单击“添加。 在“选择组战略对象对话框中，单击“阅读。选择您要配置的组战略对象，单击“确定，然后单击“完成以退出组战略导游。单击“封锁以退出“添加独立管理单元对话框，然后单击“确定以退出“添加/删除管理单元对话框并前往管理控制台。在控制台树中翻开“计算机配置、“管理模板、“系统，然后翻开“Internet 通讯管理。图 22 Internet 通讯管理设置将“限制 Internet 通讯设置配置为“已禁用以禁用 Internet

60、通讯设置下的一切设置，或者配置为“已启用以启用 Internet 通讯设置下的一切设置。要单独配置每项设置，请展开“Internet 通讯设置，然后按照表 6 配置设置。表 6 引荐的 Internet 通讯设置设置描画引荐设置封锁文件和文件夹的“发布到 Web义务指定是 Windows 文件夹中的“文件和文件夹义务能否包含“将这个文件发布到 Web、“将这个文件夹发布到 Web和“将选择的工程发布到 Web义务已启用封锁“Web 发布和“联机订购导游的 Internet 下载控制 Windows 能否应该为 Web 发布和联机订购导游下载提供商的列表已启用封锁 Windows Messeng