终端服务加密与安全性
使用组策略对象编辑器在位于以下位置的管理模板中配置下面的加密和安全性计算机设置:
计算机配置管理模板Windows 组件终端服务加密与安全性
表 4.16:终端服务加密与安全性计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
连接时总是提示客户端提供密码
未配置
未配置
已启用
已启用
设置客户端连接加密级别
高级
高级
高级
高级
连接时总是提示客户端提供密码
表 4.17:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“连接时总是提示客户端提供密码”要求用户输入密码以登录计算机。如果将此设置配置为“启用”,用户将无法自动登录到终端服务器,也不能通过在“远程桌面连接”客户端中提供密码来远程访问桌面。如果启用此设置,本地计算机管理员也无法将用户计算机配置为允许自动发送密码。
因此,本指南建议在高安全级环境中将“连接时总是提示客户端提供密码”设置配置为“启用”。但是,Microsoft 建议在企业客户端环境中将此设置配置为“未配置”。
注意:如果不配置此设置,本地计算机管理员可以使用终端服务配置工具允许或禁止自动发送密码。
设置客户端连接加密级别
表 4.18:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
高级
高级
高级
高级
启用“设置客户端连接加密级别”设置将使终端服务对终端服务会话期间在客户端和服务器之间发送的所有数据强制实施指定的加密级别。此设置的选项包括:
客户端兼容
高级
低级
“客户端兼容”级别将按客户端支持的最大密钥强度对客户端和服务器之间发送的数据进行加密。如果终端服务器运行于包含混合或旧客户端的环境中,请使用此级别。
此设置的“高级”选项使用强 128 位加密对客户端和服务器之间传输的数据进行加密。如果终端服务器运行于仅包含 128 位客户端(如 Windows XP Professional 客户端)的环境中,请使用此级别。不支持此加密级别的客户端将无法连接。
此设置的“低级”选项使用 56 位加密对从客户端发送到服务器的数据进行加密。在设置了“低级”选项的情况下,系统不会对从服务器发送到客户端的数据进行加密。
如果将此设置配置为“启用”,加密级别将应用于服务器的所有连接。默认情况下,加密级别设置为“客户端兼容”。对于本指南所定义的两种环境,建议将加密级别提高到“高级”以强制实施 128 位加密。
Windows Messenger
Windows Messenger 用于将即时消息发送给计算机网络中的其他用户。消息可以包括文件和其他附件。
请使用组策略对象编辑器在位于以下位置的管理模板中配置 Windows Messenger 计算机设置:
计算机配置管理模板Windows 组件Windows Messenger
表 4.19:Windows Messenger 计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
不允许运行 Windows Messenger
未配置
未配置
已启用
已启用
不允许运行 Windows Messenger
表 4.20:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“不允许运行 Windows Messenger”设置可禁用 Windows Messenger.如果将此设置配置为“启用”,可防止 Windows Messenger 运行。
因此,本指南建议在高安全级环境中将“不允许运行 Windows Messenger”设置配置为“启用”。但是,Microsoft 建议在企业客户端环境中将此设置配置为“未配置”。
注意:将此设置配置为“启用”可禁止远程协助使用 Windows Messenger,禁止用户使用 MSNMessenger.
Windows Update
管理员可以使用 Windows Update 设置来管理如何在 Windows XP 工作站中应用修补程序和修复程序。更新可以从 Microsoft Windows Update 网站下载。或者,您可以建立一个 Intranet 网站,以类似方式分发修补程序和修复程序,并进行其他管理控制。Windows Update 管理模板 (WUAU.adm) 是 Windows XP Service Pack 1 新增的。
软件更新服务 (SUS) 是战略性技术保护计划 (STPP) 的一个组件,该计划建立在 Microsoft Windows Update 技术(所有用户都可以从 Windows Update 网站下载它们)的成功使用之上。SUS 可管理和分发用于解决 Microsoft Windows操作系统已知安全漏洞和其他稳定性问题的 Windows 重要修补程序。
就在最近,系统管理员还必须定期检查 Windows Update 网站或 Microsoft 安全性网站,进而确定是否有新的修补程序。然后,系统管理员必须手动下载这些修补程序并在其环境中测试,之后再手动分发修补程序或使用传统软件分发工具来实现它们。
SUS 可通过动态通知系统由 Intranet 服务器获取 Windows 客户端的重要更新信息,从而消除了这些手动步骤。客户端不必访问 Internet 即可使用此服务。此技术还提供了一种简单的自动解决方案,用于将更新分发到您的 Windows 工作站和服务器。
软件更新服务还提供了以下功能:
由管理员控制 Intranet 中的内容同步。
此同步服务是一个用来从 Windows Update 检索最新关键更新的服务器端组件。将更新添加到 Windows Update 中时,运行 SUS 的服务器可根据管理员定义的计划自动下载和存储它们。
Intranet ― 宿主的 Windows Update 服务器。
这种服务器简单易用,可充当客户端计算机的虚拟 Windows Update 服务器。它包含用于管理更新的同步服务和管理工具。它使用超文本传输协议 (HTTP) 协议来响应连接到它的客户端计算机所发出的下载已批准更新的请求。此服务器也可以用来驻留从同步服务下载的关键更新,并指引客户端计算机下载这些更新。
由管理员控制更新。
管理员可以在部署企业 Intranet 之前测试和批准来自公用 Windows Update 网站中的更新信息。部署将按管理员创建的计划进行。如果多台服务器都在运行 SUS,管理员可控制哪些计算机能访问运行该服务的特定服务器。管理员使用 Microsoft Active Directory目录服务环境中的组策略,或通过注册表项来启用此级别的控制。
计算机(工作站或服务器)上的自动更新。
自动更新是一项 Windows 功能,您可以将其设置为自动检查在 Windows Update 上发布的更新。SUS 使用此 Windows 功能将管理员批准的更新发布到 Intranet 上。
注意:如果您选择通过其他频道(如 Microsoft Systems Management Server)分发修补程序,本指南建议禁用“配置自动更新”设置。
下表汇总了可用的 Windows Update 设置。前三个设置是 Windows 更新正常工作的最低要求。本节中的第四个设置是可选的,这取决于您所在组织的要求。
请使用组策略对象编辑器在位于以下位置的管理模板中配置 Windows Update 计算机设置:
计算机配置管理模板Windows 组件Windows Update
本节讨论的设置并非分别针对具体的安全风险。它们与管理员首选项的关系更大。但是,配置 Windows Update 是维护环境安全所必需的,因为它可确保环境中的客户端在安全修补程序有效时立即从 Microsoft 收到。
表 4.21:Windows Update 计算机安全设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
配置自动更新
已启用
已启用
已启用
已启用
不为计划的自动更新安装重新启动
已禁用
已禁用
已禁用
已禁用
重新计划自动更新计划的安装
已启用
已启用
已启用
已启用
指定 intranet Microsoft 更新服务位置
已启用
已启用
已启用
已启用
注意:Windows Update 依赖于几种服务,其中包括远程注册表服务和后台智能传输服务。在模块 3“Windows XP 客户端安全设置”中,这些服务在高安全级环境中是禁用的。因此,如果禁用这些服务,则 Windows Update 在高安全级环境中将不起作用,而且仅在此环境中才有可能忽略以下四个设置建议。
配置自动更新
表 4.22:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“配置自动更新”设置指定您环境中的计算机是否将从 Windows Update 或 SUS 接收安全更新。
如果将此设置配置为“启用”,则允许操作系统识别网络连接何时可用,然后使用网络连接在 Windows Update 网站或您指定的 Intranet 站点上搜索适用于您环境中客户端的更新。
将此设置配置为“启用”后,请选择“配置自动更新属性”对话框中的以下三个选项之一,以指定服务的工作方式:
2 ―― 下载任何更新前提醒并在安装前再次提醒。
当 Windows Update 服务发现适用于运行 Windows XP 的计算机的更新时,计算机状态区域将出现一个图标,其中显示可下载更新的消息。单击图标或消息可以选择要下载的特定更新。此后,Windows 将在后台下载更新。下载结束时,图标再次出现在状态区域中,并提醒用户可以开始安装更新。再次单击图标或消息可以选择要安装的更新。
3 ―― 自动下载更新并在可以安装更新时进行提醒(默认设置)。
Windows 可查找适用于您计算机的更新,然后在后台下载它们(此过程中用户不会被提醒)。下载结束时,图标出现在状态区域中,并提醒用户可以开始安装更新。再次单击图标或消息可以选择要安装的更新。
4 ―― 自动下载更新并根据下面指定的计划安装它们。
此选项允许您使用组策略中的选项指定计划。如果未指定计划,则所有安装的默认计划是每天凌晨 3 点。如果任何更新需要重新启动才能完成安装,则 Windows 将自动重新启动受影响的计算机。(如果用户在 Windows 需要重新启动才能完成更新安装时登录到计算机,则系统会提醒用户,并提供是否延迟重新启动的选项。)
如果禁用此设置,要求您从 Windows Update 网站 (http://windowsupdate.microsoft.com) 手动下载并安装任何可用更新。
Microsoft 建议在本指南定义的两种环境下将“配置自动更新”设置设置为“启用”。在启用此设置之后,从上面的列表中选择适合于您环境的选项。
不为计划的自动更新安装重新启动
表 4.23:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已禁用
已禁用
已禁用
已禁用
启用“不为计划的自动更新安装重新启动”设置会导致计算机等待登录的用户重新启动它以完成计划的安装,而不是自动完成重新启动。将此设置配置为“启用”还可以防止“自动更新”在计划安装过程中自动重新启动计算机。(如果用户在“自动更新”要求必须重新启动计算机来完成更新安装的情况下登录计算机,系统将提醒用户,并提供是否延迟重新启动的选项。)
请注意,重新启动之前“自动更新”将不检测将来的更新。如果将此设置配置为“禁用”或“未配置”,会使“自动更新”提醒用户计算机将在 5 分钟内自动重新启动以完成安装。
如果在您的环境中自动重新启动客户端有问题,请考虑启用“不为计划的自动更新安装重新启动”设置。如果您确实启用了此设置,请将您的客户端计划为正常工作时间之后重新启动,以确保完成安装。
因此,本指南建议在此指南中定义的两种环境下,将“不为计划的自动更新安装重新启动”设置配置为“禁用”。
注意:此设置仅在将“自动更新”配置为执行计划的更新安装时才起作用。如果将“配置自动更新”设置配置为“禁用”,则它不起作用。通常需要重新启动,才能完成更新安装。
重新计划自动更新计划的安装
表 4.24:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“重新计划自动更新计划的安装”设置可确定从系统启动到开始执行预先计划的自动更新安装程序之间的时间量。将此设置配置为“启用”会导致以前计划的安装在下次启动计算机时等待指定的分钟数后再执行安装。默认等待时间是“5 分钟”。可用值范围是 1 ― 60 分钟。如果将此设置配置为“禁用”或“未配置”,会导致在下一个定期计划的安装时间内执行以前计划的安装。
此设置与管理员首选项的相关性比它与安全性的相关性更大。使用此设置,可以决定在暂时降低用户的工作效率以更新其系统之前,您将在用户启动其客户端之后等待多长时间。
因此,Microsoft 建议在本指南定义的两种环境下将“重新计划自动更新计划的安装”设置设置为“启用”。在启用此设置后,您可以将默认等待时间更改为适合于您环境的时间。
注意:此设置仅在将“自动更新”配置为执行计划的更新安装时才起作用。如果禁用“配置自动更新”设置,则“重新计划自动更新计划的安装”设置不起作用。启用后两个设置可确保在每次重新启动计算机时将按计划安装以前未完成的安装。
指定 intranet Microsoft 更新服务位置
表 4.25:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“指定 intranet Microsoft 更新服务位置”设置用于指定一台 Intranet 服务器来驻留来自 Microsoft Update 网站的更新。此后,您可以使用此更新服务自动更新网络上的计算机。此设置允许您指定网络上的一台服务器,使其充当内部更新服务提供者角色。“自动更新”客户端将与该 Intranet 宿主服务器联系,以便在此服务中搜索适用于网络上计算机的更新。
必须标识以下两台服务器的名称才能使用此设置:
内部服务器,“自动更新”客户端将检测和下载其上的更新。
内部统计服务器,已更新的工作站将向其上载统计信息。
注意:可以将同一服务器用作更新服务器和统计服务器。
如果将此设置配置为“启用”,会导致“自动更新”客户端在搜索和下载更新时将连接到指定的 Intranet Microsoft 更新服务,而不是 Windows Update.但是,这不会强制用户穿过防火墙获取更新,而且为您提供了在部署更新之前测试它们的机会。
如果组策略或用户首选项没有禁用“自动更新”,并且将此设置配置为“禁用”或“未配置”,将允许“自动更新”客户端直接连接到 Internet 上的 Windows Update 站点。启用此设置可防止客户端直接连接到 Internet 以获取 http://windowsupdate.microsoft.com 上的更新。
因此,Microsoft 建议在本指南所定义的两种环境中将“指定 intranet Microsoft 更新服务位置”设置配置为“启用”。
注意:如果禁用“配置自动更新”设置,则启用“指定 intranet Microsoft 更新服务位置”设置不起作用。
Microsoft Office XP
必须首先通过组策略对象编辑器应用管理模板,然后才能访问 Microsoft Office XP 的管理模板设置。这些模板在 Office XP Resource Kit 中提供,也包含在本指南中。
下表包含所有 Office XP 管理模板文件。Office10.adm 模板文件包含表中列出的程序和功能的所有设置。本节将讨论这些设置。其他模板文件包含 UI 设置。
必须将 Office10.adm 文件添加到组策略对象编辑器的“管理模板”中,然后才能配置本节提出的 Office XP 设置。有关将管理模板添加到组策略对象编辑器的详细信息,请参阅本指南的模块 2“配置 Active Directory 域架构”。
表 4.26:Microsoft Office XP 管理模板
模板文件
包含的策略
Access10.adm
Microsoft Access 2002
Excel10.adm
Microsoft Excel 2002
Fp10.adm
Microsoft FrontPage 2002
Gal10.adm
Microsoft Office XP 剪辑管理器
Instlr11.adm
Windows Installer 1.1
Ppt10.adm
Microsoft PowerPoint 2002
Pub10.adm
Microsoft Publisher 2002
Office10.adm
共享的 Office XP 组件
Outlk10.adm
Microsoft Outlook 2002
Word10.adm
Microsoft Word 2002