不处理旧的运行列表
表 4.46:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“不处理旧的运行列表”设置将导致运行列表(Windows XP 启动时自动运行的程序列表)被忽略。
注意:要创建自定义运行列表,请通过组策略使用“启动时运行这些应用程序”设置。
Windows XP 的自定义运行列表存储在注册表中的下列位置:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion WindowsRun
启用“不处理旧的运行列表”设置可阻止恶意用户在每次 Windows XP 启动时运行可能破坏计算机上数据或导致其他危害的程序。启用此设置还可以阻止某些系统程序(如防病毒软件以及软件分发和监控软件)运行。要确保 Enterprise 系统软件在启动时仍然运行,应通过组策略将“启动时运行这些应用程序”设置配置为“启用”。在决定对您的组织使用此设置这一策略之前,应评估此设置所保护的环境所受的威胁级别。
因此,“不处理旧的运行列表”设置在“企业客户端”环境中配置为“未配置”,只在本指南定义的“高安全级”环境中配置为“启用”。
不处理只运行一次列表
表 4.47:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机未配置已启用
“不处理只运行一次列表”设置使仅运行一次的列表(Windows XP 在启动时自动运行的程序列表)被忽略。此设置与“不处理旧的运行列表”设置的区别在于,此列表中的程序仅在客户端下次重新启动时运行一次。有时,在客户端重新启动后,设置和安装程序会添加到此列表中以完成安装。
启用此设置还可防止攻击者使用仅运行一次的列表启动 Rogue 应用程序,这是一种常见的攻击方法。恶意用户可以利用仅运行一次的列表来安装可能破坏 Windows XP 客户端安全性的程序。
注意:自定义的只运行一次列表存储在注册表中的下列位置:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce.
启用“不处理只运行一次列表”设置可使环境中的用户受到最低的功能损失,尤其在通过组策略应用此设置之前,且已为客户端配置了组织的全部标准软件的情况下。
因此,“不处理只运行一次列表”设置在“企业客户端”环境中配置为“未配置”,在本指南定义的“高安全级”环境中则配置为“启用”。
系统组策略
请使用组策略对象编辑器在位于以下位置的管理模板中配置“组策略”计算机设置:
计算机配置管理模板系统组策略
表 4.48:系统组策略计算机安全设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
Internet Explorer 维护策略处理
已启用
已启用
已启用
已启用
注册表策略处理
已启用
已启用
已启用
已启用
Internet Explorer 维护策略处理
表 4.49:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“Internet Explorer 维护”策略处理设置用于决定何时更新 Internet Explorer 维护策略。此设置会影响使用组策略的“Internet Explorer 维护”组件的所有策略,如位于“Windows 设置Internet Explorer 维护”中的策略。
此设置优先于“Internet Explorer 维护”策略程序在安装时所设置的自定义设置。禁用或不配置此设置对系统没有影响。如果启用此设置,您将获得下列选项:
允许通过慢速网络连接进行处理。
此选项将更新策略,即使更新是通过慢速网络连接(如电话线)传送的。通过慢速连接传送的更新会导致明显的延迟。
不要在定期的后台处理期间采用。
此选项阻止当计算机正在被使用时系统在后台更新受影响的策略。后台更新会中断用户使用、导致程序停止或异常行为,在极少见的情况下还会破坏数据。
在组策略对象没有改变的情况下依旧进行处理。
此选项将更新并重新应用设置配置,即使它们未发生变化。许多设置规则规定,只有在规则发生变化时才进行更新。但是,有时您可能希望更新未变化的设置,或者将某个设置级别重新应用于用户已更改的设置。
启用此设置会使其他设置更改及时应用于您的工作站。如果您发现了一个需要迅速处理的安全漏洞,那么此选项尤其有用。
因此,在本指南定义的两种环境中,应将“Internet Explorer 维护策略处理”设置配置为“启用”。
启用此设置后,应清除“允许通过慢速网络连接进行处理”复选框,然后选择下列选项:
周期性后台处理期间不要应用
即使尚未更改组策略对象也进行处理
注册表策略处理
表 4.50:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“注册表策略处理”设置决定了何时更新注册表策略。此设置影响“管理模板”文件夹中的所有策略,以及在注册表中存储值的其他任何策略。如果启用此设置,您将获得下列选项:
周期性后台处理期间不要应用
此选项阻止当计算机正在被使用时系统在后台更新受影响的策略。后台更新会中断用户使用、导致程序停止或异常行为,在极少见的情况下还会破坏数据。
即使尚未更改组策略对象也进行处理
此选项更新并重新应用策略,即便策略未发生变化也是如此。许多策略实现规定,只有在策略发生变化时才对其进行更新。此设置将覆盖用户所做的更改,以使设置符合您定义的策略。
通过“管理模板”配置的某些设置将记录在注册表中用户可访问的区域。启用此设置将覆盖用户对这些设置所进行的更改。因此,在本指南定义的两种环境中,“注册表策略处理”设置配置为“启用”。
启用“注册表策略处理”设置后,请选择下面的两个选项:
周期性后台处理期间不要应用
即使尚未更改组策略对象也进行处理
系统远程协助
请使用组策略对象编辑器在位于以下位置的管理模板中配置“远程协助”计算机设置:
计算机配置管理模板系统远程协助
表 4.51:系统远程协助计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
提供远程协助未配置
已禁用
已禁用
已禁用
已禁用
请求远程协助
未配置
未配置
已禁用
已禁用
提供远程协助
表 4.52:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已禁用
已禁用
“提供远程协助”设置决定了支持人员或 IT“专家”管理员是否可以在用户未首先通过电子邮件或 Instant Messenger 等渠道明确请求协助时,对您环境中的计算机提供远程协助。
注意:专家无法在未通知用户的情况下连接到计算机,也不能在未经用户许可的情况下控制计算机。当专家尝试连接时,用户仍然可以选择拒绝连接(仅授予专家查看用户工作站的权利)。将“提供远程协助”设置配置为“启用”之后,用户必须明确单击“是”按钮才能允许专家远程控制工作站。
如果启用此设置,您将获得下列选项:
只允许帮助者查看此计算机
允许帮助者远程控制此计算机
配置此设置时,还可以指定提供远程协助的用户或用户组(称为“帮助者”)列表。
配置帮助者列表:
1.在“提供远程协助”设置配置窗口中,单击“显示”。
此时将打开一个新的窗口,您可以在其中输入帮助者名称。
2.使用下面的某一种格式将每个用户或组添加到“帮助者”列表中:
<Domain Name><User Name>
<Domain Name><User Name>
如果您禁用或者不配置“提供远程协助”设置,用户或组将无法为您环境中的计算机主动提供远程协助。
因此,在本指南定义的“企业客户端”环境中,应将“提供远程协助”设置配置为“未配置”。但是,在“高安全级”环境中,为了避免任何人通过网络访问 Windows XP 客户端,此设置配置为“禁用”。
请求远程协助
表 4.53:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已禁用
已禁用
“请求远程协助”设置决定了是否可以从您环境中的 Windows XP 计算机请求远程协助。如果启用此设置,用户可以请求 IT“专家”管理员对其工作站进行远程协助。
注意:专家无法在未通知用户的情况下连接到计算机,也不能在未经用户许可的情况下控制计算机。当专家尝试连接时,用户仍然可以选择拒绝连接(仅授予专家查看用户工作站的权利)。用户必须明确地单击“是”按钮才能允许专家远程控制工作站。
启用此设置后,下列选项(这些选项允许远程控制用户计算机)可用:
允许帮助者远程控制此计算机
只允许帮助者查看此计算机
此外,可以使用下列选项来配置用户帮助请求保持有效的时间:
最长票证时间(值):
最长票证时间(单位):小时、分钟或天
当票证(帮助请求)到期时,用户必须发送另一个请求,然后专家才能连接到计算机。
如果禁用“请求远程协助”设置,用户将无法发送帮助请求,因此专家也无法连接到其计算机以响应请求。
未配置此设置时,用户可以通过控制面板配置主动请求的远程协助。默认情况下,控制面板启用下列设置:“请求的远程协助”、“好友支持”和“远程控制”。“最大票证时间”的值设置为“30 天”。
禁用此设置可阻止任何人通过网络访问 Windows XP 客户端。因此,“请求远程协助”设置在“企业客户端”环境中配置为“未配置”,在本指南定义的“高安全级”环境中则配置为“禁用”。
系统错误报告
这些设置用于控制如何报告操作系统和应用程序错误。发生错误时,默认情况下通过弹出式对话框通知用户,询问用户是否要将错误报告发送到 Microsoft.Microsoft 制定了严格的策略以保护在这些报告中收到的数据,但是,数据以明文的形式传送,从而引发了潜在的安全风险。
Microsoft 提供了“公司错误报告”工具,使公司可以在本地收集报告,而不必通过 Internet 将其发送到 Microsoft.Microsoft 推荐在“高安全级”环境中使用“公司错误报告”,以防止有关您环境的任何信息通过 Internet 传送。有关此工具的其他信息包括在本模块末尾的“其他信息”部分。
请使用组策略对象编辑器在位于以下位置的管理模板中配置“错误报告”计算机设置:
计算机配置管理模板系统错误报告
表 4.54:系统错误报告计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
显示错误通知
已启用
已启用
已启用
已启用
报告错误
已启用
已启用
已启用
已启用
显示错误通知
表 4.55:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“显示错误通知”设置用于控制是否将错误消息显示在用户的计算机屏幕上。启用此设置可以在出错时发送错误消息通知,并使用户可以访问有关错误的详细信息。禁用此设置将不会为用户显示错误通知。出错时,重要的一点是使用户意识到问题的所在。禁用“显示错误通知”设置则无法实现这一点。
因此,在本指南定义的两种环境中,应将“显示错误通知”设置配置为“启用”。
报告错误
表 4.56:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“报告错误”设置控制是否报告错误。启用“报告错误”设置将使用户可以选择是否在出错时报告错误。错误既可以通过 Internet 报告给 Microsoft,也可以报告给本地的公司文件共享。如果启用此设置,您还将获得下列选项:
不显示到任何 Microsoft 提供的“更多信息”网站的链接:
选择此选项可确保不显示指向 Microsoft 更多信息网站(包含有关错误消息的更多信息的网站)的链接。
不要收集额外文件:
选择此选项可确保不收集额外文件,且不将其包含在错误报告中。
不收集额外的机器数据:
选择此选项可确保有关出错计算机的额外信息不包含在错误报告中。
强制应用程序错误的队列模式:
选择此选项可禁止用户发送错误报告。在这种情况下,错误将放在队列目录中,并由登录到计算机上的下一名管理员决定是否报告错误。
公司上载文件路径:
选择此选项可指定文件共享(上载错误报告的位置)的通用命名约定 (UNC) 路径,并确保启用“公司错误报告”工具。
替换“Microsoft”英文字的实例:
选择此选项可用公司的名称来自定义错误报告对话框。
禁用“报告错误”设置将使用户无法报告错误。如果启用“显示错误通知”,用户将收到错误通知,但无法报告错误。
启用“报告错误”设置可以自定义组织的错误报告策略,并收集报告以便在本地进行分析。因此,在本指南定义的两种环境中,应将此设置配置为“启用”。
此外,在“高安全级”环境中,Microsoft 推荐选择下列设置选项:
不要收集额外文件
不收集额外的机器数据
强制应用程序错误的队列模式
此外,应选择“公司上载文件路径”选项,并包含安装“公司错误报告”的服务器的路径。应基于组织的需要确定应使用上述哪些设置选项。
用户配置设置
本模块余下的部分讨论了组策略对象编辑器中“用户配置”下的推荐设置。请使用组策略对象编辑器在管理模板中配置“用户配置”设置:
用户配置管理模板
可以通过链接到含用户帐户的 OU 的 GPO 来应用这些设置。
注意:用户配置设置应用于 Active Directory 域中有用户登录的任何客户端;计算机配置设置则应用于 Active Directory 中由 GPO 管理的所有客户端,而不管是哪个用户登录到客户端。因此,此部分中的表仅包含针对本指南中定义的“企业客户端”和“高安全级”环境的推荐设置,这些设置建议不针对便携式或台式计算机。
Internet Explorer
请使用组策略对象编辑器在位于以下位置的管理模板中配置 Internet Explorer 用户设置:
用户配置管理模板Windows 组件Internet Explorer
表 4.57:Internet Explorer 用户设置
UI 中的设置名称
企业客户端
高安全级
浏览器菜单禁用“将该程序保存到磁盘”选项
已启用
已启用
Internet 控制面板禁用高级页
已启用
已启用
Internet 控制面板禁用安全页
已启用
已启用
脱机页禁用添加频道
已启用
已启用
脱机页禁用添加脱机页计划
已启用
已启用
脱机页禁用所有已计划的脱机页
已启用
已启用
脱机页完全禁用频道用户界面
已启用
已启用
脱机页禁用下载站点预订内容
已启用
已启用
脱机页禁用编辑和创建计划组
已启用
已启用
脱机页禁用编辑脱机页计划
已启用
已启用
脱机页禁用脱机页记数
已启用
已启用
脱机页禁用删除频道
已启用
已启用
脱机页禁用删除脱机页计划
已启用
已启用
配置 Outlook Express
已启用
已启用
禁用更改高级页设置
已启用
已启用
禁用更改自动配置的设置
已启用
已启用
禁用更改证书设置
已启用
已启用
禁用更改连接设置
已启用
已启用
禁用更改代理服务器设置
已启用
已启用
禁用 Internet 连接向导
已启用
已启用
禁止自动完成功能保存密码
已启用
已启用
浏览器菜单禁用“将该程序保存到磁盘”选项
表 4.58:设置
企业客户端
高安全级
已启用
已启用
“浏览器菜单禁用‘将该程序保存到磁盘’选项”设置用于阻止用户将 Internet Explorer 下载的程序或文件保存到硬盘中。启用此设置将阻止用户在试图下载程序时使用“将该程序保存到磁盘”命令将程序保存到磁盘中。程序文件将不会下载,并且会通知用户命令不可用。此设置阻止用户下载和在磁盘中保存可能有害的内容。
因此,在本指南定义的两种环境中,应将“浏览器菜单禁用‘将该程序保存到磁盘’选项”设置配置为“启用”。
