Internet 控制面板禁用高级页
表 4.59:设置
企业客户端
高安全级
已启用
已启用
“Internet 控制面板禁用高级页”设置与其他设置一起生效,以阻止用户更改通过组策略配置的设置。启用此选项会将“高级”选项卡从 Internet Explorer 的 UI 中删除。
因此,在本指南定义的两种环境中,应将“Internet 控制面板禁用高级页”设置配置为“启用”。
Internet 控制面板禁用安全页
表 4.60:设置
企业客户端
高安全级
已启用
已启用
“Internet 控制面板禁用安全页”设置与其他设置一起生效,以阻止用户更改通过组策略配置的设置。此设置将“安全”选项卡从“Internet 选项”对话框中删除。启用此策略将使用户无法查看和更改安全区域的设置,如脚本、下载和用户身份验证。Microsoft 推荐启用此设置,以阻止用户更改将削弱 Internet Explorer 中其他安全设置的作用的设置。
因此,在本指南定义的两种环境中,应将“Internet 控制面板禁用安全页”设置配置为“启用”。
脱机页禁用添加频道
表 4.61:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用添加频道”设置阻止用户在 Internet Explorer 中添加频道。频道是运行 Internet Explorer 的工作站上按照频道提供商指定的计划自动更新的网站。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用添加频道”设置配置为“启用”。
脱机页禁用添加脱机页计划
表 4.62:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用添加脱机页计划”设置用于阻止用户指定可以下载以供脱机查看的网页。当用户使网页可脱机查看时,则可在计算机未连接 Internet 时查看内容。
启用此策略可阻止用户添加新的脱机内容下载计划,并使“添加收藏夹”对话框中的“允许脱机使用”复选框变灰。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用添加脱机页计划”设置配置为“启用”。
脱机页禁用所有已计划的脱机页
表 4.63:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用所有已计划的脱机页”设置用于禁用现有的网页下载(供脱机查看)计划。启用此策略将清除“网页”属性对话框的“计划”选项卡中的计划复选框,以阻止用户选中这些复选框。要显示此选项卡,用户需单击“工具”菜单、“同步”,再选择网页,然后单击“属性”按钮和“计划”选项卡。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用所有已计划的脱机页”设置配置为“启用”。
脱机页完全禁用频道用户界面
表 4.64:设置
企业客户端
高安全级
已启用
已启用
“脱机页完全禁用频道用户界面”设置阻止用户查看频道栏界面。频道是计算机上按照频道提供商指定的计划自动更新的网站。
启用此设置将阻止用户访问频道栏界面,并阻止用户选中“显示属性”对话框的“Web”选项卡上的“Internet Explorer 频道栏”复选框。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页完全禁用频道用户界面”设置配置为“启用”。
脱机页禁用下载站点预订内容
表 4.65:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用下载站点预订内容”设置阻止用户从网站下载预订内容。启用此设置虽然起到阻止作用,但是,当用户返回以前访问的页面以确定是否有内容已更新时,仍然会发生网页内容的同步。
这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用下载站点预订内容”设置配置为“启用”。
脱机页禁用编辑和创建计划组
表 4.66:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用编辑和创建计划组”设置用于阻止用户添加、编辑或删除用户预订的网页和网页组脱机查看计划。预订组是收藏夹网页以及链接到它的网页。启用此策略将使网页“属性”对话框的“计划”选项卡中的“添加”、“删除”和“编辑”按钮变灰。
要显示此选项卡,用户需在 Internet Explorer 中的主菜单上,单击“工具”、“同步”,再选择网页,单击“属性”按钮,然后单击“计划”选项卡。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用编辑和创建计划组”设置配置为“启用”。
脱机页禁用编辑脱机页计划
表 4.67:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用编辑脱机页计划”设置用于阻止用户编辑现有的网页下载(供脱机查看)计划。启用此策略将阻止用户显示已设置为脱机查看的页面的计划属性。
此时,当用户在 Internet Explorer 中的主菜单上,单击“工具”、“同步”,再选择网页,然后单击“属性”按钮时,将不会显示属性。用户不会收到指出命令不可用的警报。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用编辑脱机页计划”设置配置为“启用”。
脱机页禁用脱机页记数
表 4.68:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用脱机页记数”设置用于阻止频道提供商记录其频道页面被脱机工作的用户查看的频率。这是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用脱机页记数”设置配置为“启用”。
脱机页禁用删除频道
表 4.69:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用删除频道”设置用于阻止用户在 Internet Explorer 中禁用频道同步。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用删除频道”设置配置为“启用”。
脱机页禁用删除脱机页计划
表 4.70:设置
企业客户端
高安全级
已启用
已启用
“脱机页禁用删除脱机页计划”设置用于阻止用户清除网页的预配置设置,以下载供脱机查看的网页。启用此设置可保护预配置的网页设置。该设置是阻止 Internet Explorer 自动下载内容的几个设置之一。最佳做法是,仅允许计算机在用户直接从该计算机发出请求时从 Internet 下载页面。
因此,在本指南定义的两种环境中,应将“脱机页禁用删除脱机页计划”设置配置为“启用”。
配置 Outlook Express
表 4.71:设置
企业客户端
高安全级
已启用
已启用
“配置 Outlook Express”设置允许管理员授予或拒绝 Microsoft OutlookExpress 用户保存或打开可能包含病毒的附件的能力。选择此设置的阻止附件选项将阻止用户打开或保存可能包含病毒的电子邮件附件。用户无法禁用“配置 Outlook Express”设置以使其无法阻塞附件。要强制采用此设置,请单击“启用”,然后选择“阻塞可能包含病毒的附件”。
因此,在本指南定义的两种环境中,应将“配置 Outlook Express”设置配置为“启用”,并设置为“阻塞可能包含病毒的附件”。
禁用更改高级页设置
表 4.72:设置
企业客户端
高安全级
已启用
已启用
“禁用更改高级页设置”设置用于阻止用户更改 Internet Explorer 的“Internet 选项”对话框中“高级”选项卡上的设置。启用此设置将阻止用户更改浏览器中与安全、多媒体和打印有关的高级设置。用户无法在“Internet 选项”对话框的“高级”选项卡上选中或清空这些选项的复选框。此设置还能阻止用户更改通过组策略配置的设置。
因此,在本指南定义的两种环境中,应将“禁用更改高级页设置”设置配置为“启用”。
注意:如果要配置“禁用高级页”设置(位于“用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板”),您无需配置此设置,因为启用“禁用高级页”设置会将“高级”选项卡从“Internet 选项”对话框中删除。
禁用更改自动配置的设置
表 4.73:设置
企业客户端
高安全级
已启用
已启用
“禁用更改自动配置的设置”设置阻止用户更改自动配置的设置。管理员使用自动配置来定期更新浏览器设置。启用此设置将使 Internet Explorer 中的自动配置设置变灰。这些设置位于“局域网设置”对话框的“自动配置”区域中。此设置还会阻止用户更改通过组策略配置的设置。
查看“局域网设置”对话框:
打开“Internet 选项”对话框,然后单击“连接”选项卡。
单击“局域网设置”按钮查看设置。
因此,在本指南定义的两种环境中,应将“禁用更改自动配置的设置”设置配置为“启用”。
注意:如果在控制面板中配置“禁用连接页”设置(位于“用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板”),会将“连接”选项卡从 Internet Explorer 中删除,从而导致此设置优先于“禁用更改自动配置的设置”。如果启用了前一设置,后一设置将被忽略。
禁用更改证书设置
表 4.74:设置
企业客户端
高安全级
已启用
已启用
“禁用更改证书设置”设置阻止用户更改 Internet Explorer 中的证书设置。证书用于验证软件发行者的身份。启用此设置会使“Internet 选项”对话框的“内容”选项卡的“证书”区域中的这些设置变灰。此设置用于阻止用户更改通过组策略配置的设置。
因此,在本指南定义的两种环境中,应将“禁用更改证书设置”设置配置为“启用”。
注意:当此设置启用时,用户仍然可以通过双击软件发布证书 (。spc) 文件来运行证书管理器导入向导。此向导允许用户导入并配置尚未在 Internet Explorer 中配置的软件发布者的证书。
注意:如果在控制面板中配置“禁用内容页”设置(位于“用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板”),会将“内容”选项卡从 Internet Explorer 中删除,从而导致此设置优先于“禁用更改证书设置”。如果启用了前一设置,后一设置将被忽略。
禁用更改连接设置
表 4.75:设置
企业客户端
高安全级
已启用
已启用
“禁用更改连接设置”设置用于阻止用户更改拨号设置。启用此策略将使“Internet 选项”对话框中的“连接”选项卡上的“设置”按钮变灰。此设置用于阻止用户更改通过组策略配置的设置。对于出差途中需要更改连接设置的便携式计算机用户,您可能要禁用此设置。
因此,在本指南定义的两种环境中,应将“禁用更改连接设置”设置配置为“启用”。
注意:如果配置了“禁用连接页”设置(位于“用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板”),将不需要配置此设置,因为它将“连接”选项卡从界面中删除。
禁用更改代理服务器设置
表 4.76:设置
企业客户端
高安全级
已启用
已启用
“禁用更改代理服务器设置”设置用于阻止用户更改代理服务器设置。启用此设置将使代理服务器设置变灰。这些设置位于“局域网设置”对话框(当用户单击“Internet 选项”对话框中的“连接”选项卡,然后单击“局域网设置”按钮时出现)的“代理服务器”区域中。此设置用于阻止用户更改通过组策略配置的设置。对于出差途中需要更改连接设置的便携式计算机用户,您可能要禁用此设置。
因此,在本指南定义的两种环境中,应将“禁用更改代理服务器设置”设置配置为“启用”。
注意:如果配置了“禁用连接页”设置(位于“用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板”),将不需要配置此设置,因为它将“连接”选项卡从界面中删除。
禁用 Internet 连接向导
表 4.77:设置
企业客户端
高安全级
已启用
已启用
“禁用 Internet 连接向导”设置用于阻止用户运行 Internet 连接向导。启用此策略将使“Internet 选项”对话框中的“连接”选项卡上的“设置”按钮变灰。此设置用于阻止用户更改通过组策略配置的设置。对于出差途中需要更改连接设置的便携式计算机用户,您可能要禁用此设置。
启用此设置将阻止用户通过以下两种方法运行此向导:单击桌面上的“连接到 Internet”图标;或者,单击“开始”,指向“所有程序”,然后依次单击“附件”、“通讯”和“Internet 连接向导”。
因此,在本指南定义的两种环境中,应将“禁用 Internet 连接设置”设置配置为“启用”。
禁止自动完成功能保存密码
表 4.78:设置
企业客户端
高安全级
已启用
已启用
“禁止自动完成功能保存密码”设置用于在网页上的表单中禁用用户名和密码的自动完成功能,并阻止用户提示保存密码。启用此设置将使“表单上的用户名和密码”和“提示我保存密码”复选框变灰,并阻止用户在本地保存密码。要显示这些复选框,用户可以打开“Internet 选项”对话框,单击“内容”选项卡,然后单击“自动完成”按钮。
因此,在本指南定义的两种环境中,应将“禁止自动完成功能保存密码”设置配置为“启用”。
Windows 资源管理器
Windows 资源管理器用于在运行 Windows XP Professional 的客户端上导航文件系统。
请使用组策略对象编辑器在位于以下位置的管理模板中配置“Windows 资源管理器”用户设置:
用户配置管理模板Windows 组件Windows 资源管理器
表 4.79:Windows 资源管理器用户设置
UI 中的设置名称
企业客户端
高安全级
删除 CD 烧录功能
未配置
已启用
删除安全选项卡
未配置
未配置
删除 CD 烧录功能
表 4.80:设置
企业客户端
高安全级
未配置
已启用
“删除 CD 烧录功能”设置将删除 Windows XP 中可用于 Windows 资源管理器的内置 CD 烧录功能。Windows XP 允许您在具有连接到计算机的读/写 CD 驱动器时,制作和修改可重写 CD.此功能可用于将硬盘中的大量数据复制到 CD 中。然后可以将 CD 从计算机中取下。
因此,在本指南定义的“企业客户端”环境中,应将“删除 CD 烧录功能”设置配置为“未配置”。但是,此设置在“高安全级”环境中配置为“启用”。
注意:此设置无法阻止第三方应用程序使用 CD 烧录机制作或修改 CD.本指南推荐使用软件限制策略来阻止第三方应用程序制作或修改 CD.有关详细信息,请参阅模块 6“Windows XP 客户端的软件限制策略”。
阻止用户烧录 CD 的另一方法是,将 CD 烧录机从您环境中的客户端上取下,代之以只读 CD 驱动器,或者将其一起取下。
删除安全选项卡
表 4.81:设置
企业客户端
高安全级
未配置
已启用
“删除安全选项卡”设置将禁用 Windows 资源管理器中文件和文件夹属性对话框中的“安全”选项卡。启用此设置将阻止用户在打开所有文件系统对象(包括文件夹、文件、快捷方式和驱动器)的“属性”对话框后,访问“安全”选项卡。这将阻止用户更改“安全”选项卡下的设置,或在访问属性对话框后查看用户列表。
因此,在本指南定义的“企业客户端”环境中,应将“删除安全选项卡”设置配置为“未配置”。但是,此设置在“高安全级”环境中配置为“启用”。
系统
请使用组策略对象编辑器在位于以下位置的管理模板中配置“系统”用户设置:
用户配置管理模板系统
表 4.82:系统用户设置
UI 中的设置名称
企业客户端
高安全级
阻止访问注册表编辑工具
未配置
已启用
阻止访问注册表编辑工具表 4.83:设置
企业客户端
高安全级
未配置
已启用
“阻止访问注册表编辑工具”设置禁用 Windows 注册表编辑器 Regedit.exe 和 Regedt32.exe.启用此设置将导致当用户试图启动注册表编辑器时出现一条消息,通知他们不能使用上述任何编辑器。此设置可阻止用户或入侵者使用这些工具访问注册表,但无法阻止其访问注册表本身。
因此,在本指南定义的“企业客户端”环境中,应将“阻止访问注册表编辑工具”设置配置为“未配置”。但是,此设置在“高安全级”环境中配置为“启用”。
系统电源管理
请使用组策略对象编辑器在位于以下位置的管理模板中配置“系统电源管理”用户设置:
用户配置管理模板系统电源管理
表 4.84:系统电源管理用户设置
UI 中的设置名称
企业客户端
高安全级
阻止访问注册表编辑工具
未配置
已启用
从休眠/挂起恢复时提示输入密码
表 4.85:设置
企业客户端
高安全级
未配置
已启用
企业客户端 高安全级已启用
“从休眠/挂起恢复时提示输入密码”设置控制您环境中的客户端在从休眠/挂起状态恢复时是否被锁定。启用此设置将使客户端在从休眠/挂起状态恢复运行时被锁定。用户必须输入其密码才能解除客户端锁定。禁用或不配置此设置会导致严重的安全缺口,因为任何人都可以访问恢复运行后的客户端。
因此,Microsoft 推荐在本指南定义的两种环境中,将“从休眠/挂起恢复时提示输入密码”设置配置为“启用”。
