如何在活动目录环境下配置 Windows XP SP2 网络保护技术.docx

资源描述

《如何在活动目录环境下配置 Windows XP SP2 网络保护技术.docx》由会员分享，可在线阅读，更多相关《如何在活动目录环境下配置 Windows XP SP2 网络保护技术.docx（32页珍藏版）》请在三一办公上搜索。

1、如何在活动目录环境下配置 Windows XP SP2 网络保护技术目录l 简介 l 开始之前 l 在管理工作站和 Windows Small Business Server 2003 上添加修补程序 l 更新现有的组策略对象 l 配置安全中心设置 l 配置 Windows 防火墙设置 l 配置 Internet Explorer 安全设置 l 配置 Internet 通信管理设置 l 配置 DCOM 访问设置 l 配置 RPC 设置 l 相关信息简介组策略设置基于您的 Microsoft Active Directory 组织实施而应用，有助于通过各类用户和计算机内的标准配置设置来保护您的

2、计算机环境。用于 Microsoft Windows XP Service Pack 2 (SP2) 的新组策略网络保护设置包括：l Windows 防火墙。配置这些策略设置以打开或关闭防火墙、管理程序和端口例外并为特定方案定义例外，例如允许在目标计算机上进行远程管理。 l Internet Explorer。通过这些新的策略设置，您可以配置 Microsoft Internet Explorer 安全设置。此外，通过策略设置，您还可以为不同的过程启用或禁用 Internet Explorer 安全功能。 l Internet 通信管理。您可以配置这些设置以控制不同组件如何在 Win

3、dows XP SP2 上通过 Internet 进行通信，以便执行涉及到组织和 Internet 内的计算机之间信息交换的任务。l DCOM 安全。通过配置这些设置，可以控制分布式组件对象模型 (DCOM) 的安全设置。 DCOM 基础结构包括新的访问控制限制，有助于尽量减少网络攻击所带来的安全风险。 l 安全中心。通过配置这些设置，可以集中管理 Windows 安全中心。安全中心是 Windows XP SP2 中的新功能，允许您监视组织内的计算机以确保它们得到最新的安全更新，并在计算机遭遇安全风险时提供用户警报。l 远程过程调用 (RPC)。您可以配置 RPC 策略设置以阻止对系

4、统上的 RPC 接口的远程匿名访问，并防止对 RPC 终点映射程序接口的匿名访问。本文档解释了如何部署网络保护组策略设置，以帮助保护 Windows XP SP2 客户计算机。有关推荐设置的完整列表，请参阅下面的资源：l Microsoft TechNet 网站上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2”您可以在活动目录域中执行关于组策略对象 (GPO) 的任务。其中一些任务可以通过域控制器来运行，但是通常都在包含活动目录管理工具的 Windows X

5、P SP2 客户计算机上执行。注：有关如何部署 GPO 的更多信息，请参阅下面的资源： l Microsoft Windows Server System 网站上的“Designing a Managed Environment: Staging Group Policy Deployments”要在活动目录环境下配置网络保护，请配置以下任务： l 在管理工作站上添加修补程序l 更新现有的 GPOl 配置安全中心设置l 配置 Windows 防火墙设置l 配置 Internet Explorer 设置l 配置 Internet 通信管理设置l 配置 DCOM 安全设置l 配置 RPC 设

6、置重要：安装操作系统时，使用默认出现的“开始”菜单，便可获得本文档中的步骤说明。如果修改了“开始”菜单，操作步骤会略有不同。有关安全相关术语的定义，请参阅下面的资源：l Microsoft 网站上的“Microsoft Security Glossary”开始之前在使用运行以下任何产品版本的域控制器的活动目录域中，Windows XP SP2 可以用作 Windows 域客户端：l Microsoft Windows Server 2003l Microsoft Windows Small Business Server 2003 l Microsoft Windows 2000 Ser

7、ver SP3 或更高版本安装修补程序之前，请确保您已备份了计算机，包括注册表的备份。有关如何备份注册表的更多信息，请参阅下面的资源：l Microsoft 帮助和支持网站上的 Microsoft 知识库文章 322756在管理工作站和 Windows Small Business Server 2003 上添加修补程序如果您在运行较早版本操作系统或 Service Pack（例如附带 SP1 的 Windows XP 或 Windows Server 2003）的计算机上管理组策略对象设置，则必须安装修补程序 (KB842933)，以使策略设置正确地显示在“组策略对象编辑器”中。如果您使

8、用 Small Business Server 2003 (SBS 2003)，则必须应用附加修补程序 (KB872769)，因为 SBS 2003 会默认关闭 Windows 防火墙。修补程序可以解决此问题。注：列出的修补程序并不是 Windows 更新的一部分，您必须单独安装它们。修补程序必须单独应用于所有受影响的系统。KB842933 适用于：l Microsoft Windows Server 2003, Web Edition l Microsoft Windows Server 2003, Standard Edition l Microsoft Windows Server

9、2003, Enterprise Edition l Microsoft Windows Server 2003, 64-Bit Enterprise Edition l Microsoft Windows XP Professional SP1 l Microsoft Windows Small Business Server 2003, Premium Edition l Microsoft Windows Small Business Server 2003, Standard Edition l Microsoft Windows 2000 Advanced Server l Micr

10、osoft Windows 2000 Server l Microsoft Windows 2000 ProfessionalKB872769 适用于：l Microsoft Windows Small Business Server 2003, Standard Edition l Microsoft Windows Small Business Server 2003, Premium Edition 注：要获得这些修补程序并了解更多信息，请参阅下面的资源： l Microsoft 帮助和支持网站上的 Microsoft 知识库文章 842933l Microsoft 帮助和支持网站上

11、的 Microsoft 知识库文章 872769执行此任务的要求l 凭据：您必须作为域管理员安全组或本地管理员安全组的成员登录到客户计算机。l 工具：按照知识库文章 842933 和 872769 中的解释，正确下载适用于您的操作系统的修补程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、Windows XP SP1 或 Windows Server 2003 上添加修补程序 842933添加修补程序1. 在 Windows 桌面上单击“开始”，单击“运行”，键入已下载修补程序的路径和文件名，然后单击“确

12、定”。2. 在“欢迎使用 KB842933 安装向导”页面上，单击“下一步”。3. 在“许可协议”页面中，单击“我同意”，然后单击“下一步”。4. 在“完成 KB842933 安装向导”页面上单击“完成”，以便完成修补程序安装并重新启动计算机。5. 为适用的所有系统（服务器和管理工作站）重复以上步骤。在 Windows Small Business Server 2003 上添加修补程序 872769添加修补程序1. 在 Windows 桌面上单击“开始”，单击“运行”，键入已下载 872769 修补程序的路径和文件名，然后单击“确定”。2. 在“欢迎使用 KB872769 安装向导”页面上，

13、单击“下一步”。3. 在“许可协议”页面中，单击“我同意”，然后单击“下一步”。4. “完成 KB872769 安装向导”页面上单击“完成”，以便完成修补程序安装并重新启动计算机。更新现有的组策略对象Windows XP SP2 将在管理模板中添加附加设置。要配置这些新设置，每个 GPO 都必须使用在 Windows XP SP2 中找到的新管理模板进行更新。除非更新组策略对象，否则将不能使用与 Windows 防火墙相关的设置。如果安装 Windows XP SP2 的计算机上安装了组策略对象编辑器管理单元，则可以使用 Microsoft 管理控制台 (MMC) 来更新 GPO。更新

14、GPO 之后，您可以针对自己运行 Windows XP SP2 的计算机来配置适当的网络保护设置。执行此任务的要求l 凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员或组策略 Creator/Owner 安全组的成员登录。l 工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。更新组策略对象更新组策略对象1. 在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。2. 在“文件”菜单上，单击“添加/删除管理单元”。 3. 在“独立”选项卡上，单击“添加”。 4. 在“可用的独立管

15、理单元”列表中单击“组策略对象编辑器”，然后单击“添加”。 5. 在“选择组策略对象”对话框中，单击“浏览”。图 1 浏览组策略对象6. 在“浏览组策略对象”对话框中，选择您要使用新的 Windows 防火墙设置来更新的组策略对象。 7. 单击“确定”，然后单击“完成”以关闭组策略向导。此操作会将新的管理模板应用于选定的 GPO。8. 在“添加独立管理单元”对话框中，单击“关闭”。9. 在“添加/删除管理单元”对话框中，单击“确定”。10. 关闭 MMC，单击“文件”并退出，不保存对控制设置所作的更改。注：尽管您不保存控制台更改，以上过程也会将来自 Windows XP SP2 的新管理模板

16、导入到 GPO 中。模板必须导入每个已定义的 GPO 中。 11. 对要用于将组策略应用到安装 Windows XP SP2 的计算机的每个 GPO 重复这些步骤。注：要为使用活动目录和 Windows XP SP1 的网络环境更新您的 GPO，Microsoft 建议您使用可免费下载的组策略管理控制台。有关更多信息，请参阅下面的资源：l Microsoft Windows Server System 网站上的“Enterprise Management with the Group Policy Management Console”配置安全中心设置安全中心是 Windows XP

17、SP2 中的一项新服务，它提供的中央位置可用于更改安全设置、详细了解安全性，并确保用户的计算机具有 Microsoft 推荐的最新主要安全设置。在 Windows 域环境中，您可以使用组策略来允许安全中心监视用户的计算机，从而有助于确保它们具有最新的安全更新，并在用户的计算机可能遭遇风险时通知他们。安装中心服务将作为后台进程运行，并在用户的计算机上检查以下组件的状态： l 防火墙。安全中心将检查 Windows 防火墙是已打开还是关闭，同时检查是否存在其它一些软件防火墙。为检查其它防火墙，安全中心将查询特定 Windows 管理规范 (WMI) 提供程序，它们已由参与的供应商提供。l

18、病毒保护。安全中心将检查是否存在防病毒软件。为检查是否存在防病毒软件，安全中心将查询由参与的供应商提供的特定 WMI 提供程序。如果提供了信息，安全中心服务还将确定软件是不是最新版本以及是否打开了实时扫描。 l 自动更新。安全中心将检查并确保自动更新已设置为推荐的设置，该设置将为用户的计算机自动下载并安装重要更新。如果自动更新已关闭或未设置为推荐的设置，安全中心将提供适当的建议。如果发现组件缺少或不符合您的安全策略，安全中心将在工具栏的通知区域中显示红色图标或在登录时提供警告信息以向您发出警告。此信息包含用于打开安全中心用户界面的链接，它提供了关于问题以及修复建议的信息。如果您运行

19、的防火墙或防病毒软件包件未被安全中心检测到，则可以将安全中心设置为绕过该组件的警告。对于 Windows 域中的计算机，您可以使用组策略设置来集中管理安全中心功能。如果您启用“打开安全中心（仅限域 PC）”策略设置，安全中心将监视主要安全设置（防火墙、防病毒软件和自动更新），并且在用户的计算机遭遇风险时通知他们。在默认情况下，“打开安全中心（仅限域 PC）”策略设置将不会启用，这意味着它将在安全中心关闭时关闭，通知和安全中心状态部分都不会显示。执行此任务的要求l 凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开“组策略对象”。l

20、工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置安全中心设置如果使用此设置，则允许运行 Windows XP SP2 的计算机的用户使用安全中心来发布关于防火墙、防病毒软件包件和自动更新的警告。配置安全中心设置1. 在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。2. 在“文件”菜单上，单击“添加/删除管理单元”。 3. 在“独立”选项卡上，单击“添加”。 4. 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 5. 在“选择组策略对象”对话框中，单击“浏览”。6.

21、从列表中选择您要配置的组策略对象。单击“确定”，然后单击“完成”以关闭组策略向导。7. 单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。8. 在控制台树中打开“计算机配置”、“管理模板”、“Windows 组件”，然后打开“安全中心”。图 2 安全中心设置9. 双击“启用安全中心（仅域电脑）”，单击“已启用”，然后单击“确定”。使用 GPUpdate 应用配置GPUpdate 实用工具将刷新基于活动目录的组策略设置，包括安全设置。配置组策略之后，您可以等待标准刷新周期将设置应用于客户计算机。默认情况下的刷新周期为 90

22、分钟，动态偏差为 + 或 - 30 分钟。要在标准周期之间刷新组策略，请使用 GPUpdate 实用工具。验证安全中心设置是否已应用验证安全中心设置是否已应用1. 在 Windows XP 桌面上单击“开始”，然后单击“控制面板”。2. 在“选择一个类别”下单击“安全中心”。3. 验证安全中心是否已启动。注：如果配置设置未应用，您必须排除组策略应用程序的故障。要排除组策略应用程序的故障，请参阅下面的资源： l Microsoft 下载中心网站上的“Troubleshooting Group Policy in Windows Server 2003”配置 Windows 防火墙设置有三套

23、Windows 防火墙设置需要配置： l 允许通过验证的 IPSec 旁路。此设置在组织使用 Internet 协议安全 (IPSec) 时使用，用于保护通信量并启用 Windows 防火墙。l 域配置文件。如果计算机连接至某个网络，而该网络中包含的域控制器同样用于这些计算机所属的域，则会使用这些设置。l 标准配置文件。如果计算机未连接至您的网络（例如在您携带膝上型计算机时），则会使用这些设置。如果您不配置标准配置文件设置，则默认值将保留不变。 Microsoft 建议您同时配置域和标准配置文件设置，并且为两个配置文件都启用 Windows 防火墙。唯一的例外是您准备使用第三方主机防火

24、墙产品。如果您准备使用第三方主机防火墙产品，则 Microsoft 建议您禁用 Windows 防火墙。如果您决定在整个组织网络中禁用 Windows 防火墙，并且网络中混合包含运行未安装 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的计算机，则应该配置这些组策略设置：l “禁止在 DNS 域网络上使用 Internet 连接防火墙”设置为“已启用”l “域配置文件 Windows 防火墙：保护所有网络连接”设置为“已禁用”l “标准配置文件 Windows 防火墙：保护所有网络连接”设置为“已禁用”注：此标准配置文件设

25、置将确保未使用 Windows 防火墙，而无论计算机是否连接至您的组织网络。为确保 Windows 防火墙未在您的组织网络上使用，但是计算机未连接至网络时使用，则将此设置更改为“已启用”。标准配置文件设置比域配置文件更受限制，因为标准配置文件设置不包括仅在受管理域环境中使用的应用程序和服务。在 GPO 中，域配置文件和标准配置文件都包含相同的 Windows 防火墙设置集。 Windows XP SP2 依靠网络确定来应用正确的配置文件。注：有关网络确定的更多信息，请参阅下面的资源：l Microsoft TechNet 网站上的“Network Determination Behavi

26、or for Network-Related Group Policy Settings”本节介绍了 GPO 中可能使用的 Windows 防火墙设置以及企业环境的推荐设置，并演示了如何启用四种类型的设置。执行此任务的要求l 凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开您在前面任务中个修改的“组策略对象”。l 工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。注：要打开 GPO，请使用已安装组策略对象编辑器管理单元的 MMC，或者使用“Active Directory 用户和计算机”控制台。要在

27、 Windows XP 客户计算机上使用“Active Directory 用户和计算机”控制台，则必须通过 Windows Server 2003 CD 运行 adminpak.msi使用组策略配置 Windows 防火墙设置使用组策略对象编辑器管理单元或“Active Directory 用户和计算机”，在适当的 GPO 中修改 Windows 防火墙设置。配置 Windows 防火墙设置之后，下一次刷新计算机配置组策略将下载新的 Windows 防火墙设置，并将它们应用于运行 Windows XP SP2 的计算机。配置 Windows 防火墙设置1. 在 Windows XP SP

28、2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。2. 在“文件”菜单上，单击“添加/删除管理单元”。 3. 在“独立”选项卡上，单击“添加”。 4. 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 5. 在“选择组策略对象”对话框中，单击“浏览”。6. 选择您要配置的组策略对象，单击“确定”，然后单击“完成”以退出组策略向导。7. 单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。8. 在控制台树中打开“计算机配置”、“管理模板”、“网络”、“网络连接”，然后打开“Windo

29、ws 防火墙”。图 4 组策略中的 Windows 防火墙选项9. 双击“Windows 防火墙：允许通过验证的 IPSec 旁路”。图 5 允许通过验证的 IPSec 旁路表 1 概述了允许绕过已验证的 IPSec 选项。表 1 允许企业通过验证的 IPSec 旁路设置设置描述备注未配置此 GPO 不会更改 Windows 防火墙的当前配置已启用Windows 防火墙不会处理受 IPSec 保护的通信，除非是来自策略中列出的用户或组。列出用户和组的语法使用 SDDL 标准。有关更多信息，请参阅下面的资源：MSDN 网站上的“Security Descriptor Definition

30、Language”已禁用Windows 防火墙将处理受 IPSec 保护的通信。10. 使用表 1 中的信息，然后单击“已启用”或“已禁用”。注：如果您单击“已启用”，则可以创建一个用户或组列表，并允许他们向您的计算机发送受 IPSec 保护的通信。11. 单击“确定”。 12. 选择“域配置文件”或“标准配置文件”。图 6 组策略中的 Windows 防火墙设置表 2 概述了用于域和标准配置文件的 Windows 防火墙组策略推荐设置。表 2 用于企业的 Windows 防火墙推荐设置设置描述域配置文件标准配置文件保护所有网络连接指定为所有网络连接启用 Windows 防火墙已启用已启用不允

31、许例外指定放弃所有进入的垃圾通信，包括例外通信未配置已启用，除非您必须配置程序例外定义程序例外按照程序文件名定义例外通信如果网络上的计算机运行附带 SP2 的 Windows XP，则启用和配置由其使用的程序（应用程序和服务）如果网络上的计算机运行附带 SP2 的 Windows XP，则启用和配置由其使用的程序（应用程序和服务）允许本地程序例外允许程序例外的本地配置已禁用，除非您需要本地管理员在本地配置程序例外已禁用允许远程管理例外允许使用工具进行远程配置禁用，除非您希望能够使用 MMC 管理单元远程管理您的计算机已禁用允许文件和打印共享机例外指定是否允许文件和打印机共享通信已禁用，除非运行

32、 Windows XP SP2 的计算机共享本地资源已禁用允许 ICMP 例外指定允许的 ICMP 消息类型禁用，除非您希望使用 ping 命令排除故障已禁用允许远程桌面例外指定计算机是否可以接受基于远程桌面的连接请求已启用已启用允许 UPnP 框架例外指定计算机是否可以接收垃圾 UPnP 消息已禁用已禁用阻止通知禁用通知已禁用已禁用允许记录日志允许您记录通信并配置日志文件设置未配置未配置阻止对多播或广播请求的单播响应放弃针对多播或广播请求消息而收到的单播数据包已启用已启用定义端口例外按照 TCP 和 UDP 指定例外通信已禁用已禁用允许本地端口例外允许端口例外的本地配置已禁用已禁用启用端口的

33、例外启用端口例外1. 在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：定义端口例外”。图 7 Windows 防火墙：定义端口例外属性2. 单击“已启用”，然后单击“显示”。图 8 显示内容3. 单击“添加”。图 9 添加项目4. 使用以下语法，键入您要阻止或启用的端口信息：port:transport:scope:status:name 此处的 port 是端口号码，transport 是 TCP 或 UDP，scope 是 *（用于所有系统）或允许访问端口的计算机列表，status 是已启用或已禁用，name 是用作此条目标签的文本字符串。在使用范围时，不支持

34、主机名称、域名系统 (DNS) 名称或 DNS 后缀。对于 IPv4 地址范围，您可以使用点分隔子网掩码或前缀长度来指定范围。在使用点分隔子网掩码时，您可以将范围指定为 IPv4 网络 ID（例如 10.47.81.0/255.255.255.0），或者通过使用范围内的某个 IPv4 地址（例如 10.47.81.231/255.255.255.0）来指定。在使用网络前缀长度时，您可以将范围指定为 IPv4 网络 ID（例如 10.47.81.0/24），或者通过使用范围内的某个 IPv4 地址（例如 10.47.81.231/24）来指定。有关 TCP/IP 地址和子网的详细信息，请参

35、阅下面的资源：Microsoft 帮助和支持网站上的 Microsoft 知识库文章 164015注：如果来源列表中的条目之间存在任何空格或其它任何无效字符，则范围将被忽略，而设置也将表现为已被禁用。保存更改之前，请双击您的范围语法。此实例使用名为 WebTest 的端口例外，并为所有连接启用 TCP 端口 80。5. 单击“确定”以关闭“添加项目”。图 10 显示内容6. 单击“确定”以关闭“显示内容”。7. 单击“关闭”以关闭“Windows 防火墙：定义端口例外属性”。注：如果已选定“不允许例外”，则会忽略任何端口例外。启用程序的例外启用程序例外1. 在“域配置文件”或“标准配置文件

36、”设置区域中，双击“Windows 防火墙：定义程序例外”。图 11 Windows 防火墙：定义程序例外属性2. 单击“已启用”，然后单击“显示”。图 12 显示内容3. 单击“添加”。图 13 添加项目4. 使用以下语法，键入您要阻止或启用的程序信息：path:scope:status:name 此处的 path 是程序路径和文件名，scope 是 *（用于所有系统）或允许访问程序的计算机列表，status 是已启用或已禁用，name 是用作此条目标签的文本字符串。此实例将为所有连接启用 Windows Messenger。有关 TCP/IP 地址和子网的详细信息，请参阅下面的资源：Mic

37、rosoft 帮助和支持网站上的 Microsoft 知识库文章 1640155. 单击“确定”以关闭“添加项目”。图 14 显示内容6. 单击“确定”以关闭“显示内容”。7. 单击“关闭”以关闭“Windows 防火墙：定义程序例外属性”。配置基本 ICMP 选项有关 ICMP 的信息，请参阅下面的资源：l Microsoft Windows XP 网站上的“Internet Control Message Protocol (ICMP)”配置基本 ICMP 选项1. 在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：允许 ICMP 例外”。2. 单击“已启用”

38、。图 15 Windows 防火墙：允许 ICMP 例外属性3. 选择要启用的适当 ICMP 例外。此实例选择允许入站回显请求。4. 单击“确定”以关闭“Windows 防火墙：允许 ICMP 例外属性”。记录丢弃的数据包和成功的连接记录丢弃的数据包和成功的连接1. 在“域配置文件”或“标准配置文件”设置区域中，双击“Windows 防火墙：允许记录日志”。图 16 Windows 防火墙：允许记录日志属性2. 单击“已启用”，选择“记录被丢弃的数据包”和“记录成功的连接”，键入日志文件路径和名称，然后单击“确定”。注：保存日志文件的位置必须得到保护，以防止删除或篡改日志。3. 关闭组策略编

39、辑器。4. 如果提示保存控制台设置，请单击“否”。使用 GPUpdate 应用配置GPUpdate 实用工具将刷新基于活动目录的组策略设置，包括安全设置。配置组策略之后，您可以等待标准刷新周期将设置应用于客户计算机。默认情况下的刷新周期为 90 分钟，动态偏差为 + 或 - 30 分钟。要在标准周期之间刷新组策略，请使用 GPUpdate 实用工具。验证 Windows 防火墙设置是否已应用注：使用组策略来配置 Windows 防火墙时，设置可能不允许本地管理员更改某些方面的配置。在用户的本地计算机上，Windows 防火墙对话框中的某些选项卡和选项将无法使用。验证 Windows 防火

40、墙设置是否已应用1. 在“安全中心”的“管理安全设置”下，单击“Windows 防火墙”。2. 单击“常规”、“例外”和“高级”选项卡，然后验证是否已将需要的配置应用于计算机上的 Windows 防火墙，然后单击“确定”以关闭 Windows 防火墙。注：如果配置设置未应用，您必须排除组策略应用程序的故障。要排除组策略应用程序的故障，请参阅下面的资源：l Microsoft 下载中心网站上的“Troubleshooting Group Policy in Windows Server 2003”配置 Internet Explorer 安全设置对于 Windows XP SP2，您可以为计

41、算机以及带新组策略设置的用户配置管理所有 Internet Explorer 安全设置。Windows XP SP2 使用策略设置的两个主要区域：l 安全功能l URL 操作安全功能策略设置允许您管理可能会影响 Internet Explorer 安全性的特定方案。在大多数情况下，您需要防止特定的行为，因此必须确保已启用安全功能。例如，恶意代码可能会在本地计算机区域而不是 Internet 区域中运行，从而尝试提升自己的权限。为了帮助防止此类攻击，您可以使用“保护域提升”策略设置。对于每种安全功能策略设置，您可以通过以下方法指定用于控制安全功能行为的策略设置：l Internet Ex

42、plorer 过程l 定义的过程列表l 所有过程，无论它们是从哪里启动统一资源定位器 (URL) 操作是指浏览器可以采取的操作，而这些操作可能会导致本地计算机出现安全风险，例如尝试运行 Java applet 或 ActiveX 控制。 URL 操作与注册表中的安全设置相对应，而这些设置确定了针对 URL 所在安全区域中的功能所采取的操作。 URL 操作设置包括启用、禁用、提示和其它适用的设置。要对 Internet Explorer 中的 URL 操作进行安全管理，您可以使用“Internet 控制面板”下的新安全页组策略设置。通过使用组策略来控制 URL 操作的安全性，您可以为组织内的所

43、有用户和计算机创建标准 Internet Explorer 配置。要提供安全性，您可以使用安全区域模板策略设置为所有 URL 区域启用策略。对于每种 URL 操作模板策略设置，您可以指定以下一个安全级别：l 低。此级别通常用于包含用户完全信任的网站的 URL 安全区域。这是“受信任的站点”区域的默认安全级别。l 中低。此级别可用于包含似乎不会导致损害计算机或数据的网站的 URL 安全区域。这是 Intranet 区域的默认安全级别。l 中。此级别可用于包含既不是可信又不是不可信的网站的 URL 安全区域。这是 Internet 区域的默认安全级别。l 高。此级别用于包含可能会导

44、致损坏用户计算机或数据的网站的 URL 安全区域。这是“受限制的站点”区域的默认安全级别。有关安全功能控制的详细信息，请参阅以下内容： l Microsoft TechNet 网站上的“Microsoft Windows XP Service Pack 2 中的功能变更”执行此任务的要求l 凭据：如果 Windows XP SP2 计算机是活动目录域客户端，则必须作为域管理员安全组成员登录，并打开“组策略对象”。l 工具：已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。配置 Internet Explorer 安全设置配置 Internet Explorer

45、设置1. 在 Windows XP SP2 桌面上单击“开始”，单击“运行”，键入 mmc，然后单击“确定”。2. 在“文件”菜单上，单击“添加/删除管理单元”。 3. 在“独立”选项卡上，单击“添加”。 4. 在“可用的独立管理单元”列表中找到并单击“组策略对象编辑器”，然后单击“添加”。 5. 在“选择组策略对象”对话框中，单击“浏览”。6. 选择您要配置的组策略对象，单击“确定”，然后单击“完成”以退出组策略向导。7. 单击“关闭”以退出“添加独立管理单元”对话框，然后单击“确定”以退出“添加/删除管理单元”对话框并返回管理控制台。8. 在控制台树中打开“计算机配置”、“管理模板”、“Windows 组件”、“Inte

展开阅读全文