管理模板
本模块详细讨论了使用管理模板来配置其他安全设置并将其应用于 MicrosoftWindowsXP Professional 的过程。管理模板 (。adm) 文件用于配置 Windows XP 注册表中的一些设置,这些设置控制许多服务、应用程序和操作系统组件的行为。
Windows XP Service Pack 1 附带的五个管理模板包括 600 多个设置,其中有用于 Windows XP Professional 的 100 多个新设置。Microsoft Windows Server 2003管理模板中的几个设置不适用于 Windows XP.有关可用于 Windows XP 的所有管理模板设置的完整列表,请参阅本模块结尾处“其他信息”内容中引用的“策略设置”Excel 工作簿。下表列出了 .adm 文件,并概括了受其影响的应用程序和服务。
表 4.1:管理模板文件
文件名
操作系统
说明
System.adm
Windows XP Professional
包含用来自定义用户操作环境的许多设置。
Inetres.adm
Windows XP Professional
包含用于 Internet Explorer 的设置。
Conf.adm
Windows XP Professional
包含用于配置 Microsoft NetMeeting 的设置。
Wmplayer.adm
Windows XP Professional
包含用于配置 Windows Media Player 的设置。
Wuau.adm
Windows XP Professional
包含用于配置 Windows Update 的设置。
注意:您必须手动配置组策略对象 (GPO) 中的管理模板设置,才能将它们应用于您所在环境中的计算机和用户。
管理模板中的设置分为以下两大组:
存储在 HKEY_Local_Machine 注册表配置单元中的计算机配置设置。
存储在 HKEY_Current_User 注册表配置单元中的用户配置设置。
与模块 3“Windows XP 客户端安全设置”类似,本指南定义的企业客户端环境和高安全级环境都有相应的设置建议。
本模块第一部分讨论的计算机配置设置适用于本指南定义的两种环境。本模块后面讨论的用户配置设置也适用于这两种环境。
注意:用户设置通过链接 GPO 应用于包含用户的 OU.有关此 OU 的其他详细信息,请参阅模块 2“配置 Active Directory 域基础结构”。
在组策略对象编辑器中,一些设置在计算机配置和用户配置下都是可用的。如果将某个设置应用于登录到某台计算机的用户,但已经通过组策略将相同的计算机配置设置应用于该计算机,则计算机配置设置优先于用户配置设置。
Microsoft Office XP 的其他管理模板可以从 Microsoft Office XP Resource Kit 获得。如果 Windows XP Professional 中存在要通过组策略应用的其他设置,则您可以开发自己的自定义模板。有关开发自定义管理模板的详细信息,请参阅本模块结尾处“其他信息”中列出的白皮书。
本模块未涉及 Microsoft 提供的管理模板的所有可能设置;所讨论的管理模板的许多设置都是不针对安全性的用户界面 (UI) 设置。请根据所在组织的安全性目标,决定本指南中哪些设置配置适用于您的环境。
计算机配置设置
以下各节讨论了组策略对象编辑器中“计算机配置”中建议的设置。请在以下位置配置这些设置:
计算机配置管理模板
请通过链接至 OU(其中包含所在环境中的计算机帐户)的 GPO 来设置这些属性。然后将便携式计算机设置包括在链接到便携式计算机 OU 的 GPO 中,并将台式计算机设置包括在链接到台式计算机 OU 的 GPO 中。
Windows 组件
以下 Microsoft Windows组件的指导并未提供:应用程序兼容性、Windows 安装程序和 Windows Media Player?。
NetMeeting
Microsoft NetMeeting允许用户通过组织中的网络召开虚拟会议。请使用组策略对象编辑器在位于以下位置的管理模板中配置与 NetMeeting 相关的计算机设置:
计算机配置管理模板Windows 组件NetMeeting
禁用远程桌面共享
表 4.2:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“禁用远程桌面共享”设置禁用 NetMeeting 的远程桌面共享功能。启用此设置可防止用户设置 NetMeeting 或在其计算机上通过网络远程使用 NetMeeting 发送信息。如果将可随时通过网络发送信息的计算机的控制权授予用户,则会产生安全风险。
因此,“禁用远程桌面共享”设置在企业客户端环境中设置为“未配置”。但是,此设置在高安全级环境中配置为“启用”,以防止用户使用 NetMeeting 远程共享桌面。
Internet Explorer
Microsoft Internet Explorer 组策略可帮助您强制执行对 Windows XP 工作站的安全要求,并防止通过浏览器交换不想要的内容。使用以下标准可以保护环境中工作站的 Internet Explorer:
确保仅在直接响应用户操作时才发出 Internet 请求。
确保发送到特定网站的信息仅到达这些站点,除非允许特定的用户操作将信息传输到其他目的地。
确保清楚地识别到服务器/站点的受信任通道以及拥有每个通道上的服务器/站点的人员。
确保与 Internet Explorer 一起运行的任何脚本或程序在受限制环境中执行。通过受信任通道传送的程序可能被设置为在受限制环境之外运行。
使用组策略对象编辑器在位于以下位置的管理模板中配置 Internet Explorer 计算机设置:
计算机配置管理模板Windows 组件Internet Explorer
注意:安全区域的设置无法通过组策略进行设置。可以使用 Internet Explorer Administration Kit (IEAK) 配置这些设置。有关获得 IEAK 的详细信息,请参考本模块“其他信息”部分。
表 4.3:Internet Explorer 计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
禁用 Internet Explorer 组件的自动安装
已启用
已启用
已启用
已启用
禁用定期检查 Internet Explorer 软件更新
已启用
已启用
已启用
已启用
禁用程序启动时的软件更新外壳通知
已启用
已启用
已启用
已启用
根据计算机设置代理服务器(不是根据用户)
已启用
已禁用
已启用
已禁用
安全区域: 禁止用户添加或删除站点
已启用
已启用
已启用
已启用
安全区域: 禁止用户更改策略
已启用
已启用
已启用
已启用
安全区域: 仅使用计算机设置
已启用
已启用
已启用
已启用
禁用 Internet Explorer 组件的自动安装
表 4.4:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“禁用 Internet Explorer 组件的自动安装”设置可防止 Internet Explorer 自动安装组件。启用此设置可防止 Internet Explorer 在用户浏览到需要使用某个组件才能正常显示的网站时下载该组件。
如果将“禁用 Internet Explorer 组件的自动安装”设置配置为“禁用”或“未配置”,会导致浏览器在用户每次访问需要某些组件的网站时提示用户下载并安装这些组件。启用此设置是为了帮助管理员控制用户可以在您环境中的客户端上安装哪些组件。
因此,Microsoft 建议在本指南所定义的两种环境中,将“禁用 Internet Explorer 组件的自动安装”设置配置为“启用”。
注意:在启用此设置之前,Microsoft 建议您建立一种替代策略,以便通过软件更新服务或类似服务来更新 Internet Explorer.
禁用定期检查 Internet Explorer 软件更新
表 4.5:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“禁用定期检查 Internet Explorer 软件更新”设置可防止 Internet Explorer 频繁检查新的浏览器更新是否可用。启用此策略可防止 Internet Explorer 确定新的浏览器更新是否可用然后通知用户。如果将“禁用定期检查 Internet Explorer 软件更新”设置配置为“禁用”或“未配置”,会导致 Internet Explorer 在默认情况下每隔“30 天”检查一次浏览器更新,然后在新的浏览器更新可用时通知用户。使用此设置后,在浏览器的新更新或新版本可用时将不通知用户,从而帮助管理员维护 Internet Explorer 的版本控制。
因此,Microsoft 建议在本指南所定义的两种环境中,将“禁用定期检查 Internet Explorer 软件更新”设置配置为“启用”。
注意:在启用此策略之前,Microsoft 建议您为组织中的管理员建立替代策略,以确保他们在您环境中的客户端上定期接受 Internet Explorer 的更新。
禁用程序启动时的软件更新外壳通知
表 4.6:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“禁用程序启动时的软件更新外壳通知”设置指定了使用 Microsoft 软件分发频道的程序在它们安装新组件时不向用户发出通知。软件分发频道是一种基于开放式软件分发 (。osd) 技术动态更新用户计算机软件的方式。
如果启用此策略,则在使用软件分发频道更新程序时,用户将不会收到通知。如果将“禁用程序启动时的软件更新外壳通知”设置配置为“启用”或“未配置”,用户便可以收到程序更新通知。启用此设置还允许管理员使用软件分发频道来更新您环境中工作站上的程序,而无须用户干预。
因此,Microsoft 建议在本指南所定义的两种环境中,将“禁用程序启动时的软件更新外壳通知”设置配置为“启用”。
根据计算机设置代理服务器(不是根据用户)
表 4.7:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已禁用
已启用
已启用
“根据计算机设置代理服务器(不是根据用户)”设置用于确保同一计算机的所有用户的代理设置都是相同的。启用此设置可防止由用户设置特定于用户的代理设置,并要求他们使用为该计算机的所有用户创建的区域。区域是具有相同安全级别的一组网站。
如果将“根据计算机设置代理服务器(不是根据用户)”设置配置为“禁用”或“未配置”,则允许同一计算机的用户建立各自的代理设置。启用此设置可确保同一计算机的所有用户的代理设置都是相同的,并禁止用户避开在代理服务器上配置的 Internet 安全策略。
因此,Microsoft 建议将本指南所定义的两种环境中的台式计算机客户端的“根据计算机设置代理服务器(不是根据用户)”设置配置为“启用”,将便携式计算机客户端的此设置配置为“禁用”,因为移动用户在旅行时可能需要更改其代理设置。
安全区域: 禁止用户添加或删除站点
表 4.8:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“安全区域: 禁止用户添加/删除站点”设置可防止用户向安全区域添加站点或从中删除站点。安全区域是具有相同安全级别的一组网站。启用此策略会导致安全区域的站点管理设置不起作用。
要查看安全区域的站点管理设置,请执行以下操作:
1.在“Internet 选项”对话框中,单击“安全”选项卡。
2.单击“站点”按钮。
如果将“安全区域: 禁止用户添加/删除站点”设置配置为“禁用”或“未配置”,则允许用户从“受信任的站点”和“受限制的站点”区域中删除网站以及改变“本地 Intranet”区域的设置。启用此设置会创建一个策略,该策略将使用户无法更改管理员建立的安全区域站点管理设置。
因此,Microsoft 建议在本指南所定义的两种环境中将“安全区域: 禁止用户添加/更改站点”设置配置为“启用”。
注意:如果启用“禁用安全页”设置(位于 用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板中),则会从界面中删除“安全”选项卡,并导致此设置优先于“安全区域: 禁止用户添加或删除站点”设置。
安全区域: 禁止用户更改策略
表 4.9:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“安全区域: 禁止用户更改策略”设置可防止用户更改安全区域设置。安全区域是具有相同安全级别的一组网站。启用此设置会禁用“Internet 选项”对话框中“安全”选项卡上的“自定义级别”按钮和安全级别滑块。如果将“安全区域: 禁止用户更改策略”设置配置为“禁用”或“未配置”,则允许用户更改安全区域设置。启用此设置会创建一个策略,该策略将使用户无法更改管理员建立的安全区域设置。
因此,Microsoft 建议在本指南所定义的两种环境中将“安全区域: 禁止用户更改策略”设置配置为“启用”。
注意:如果启用“禁用安全页”设置(位于 用户配置管理模板Windows 组件Internet ExplorerInternet 控制面板中),将从“控制面板”内的“Internet Explorer”中删除“安全”选项卡,并导致此设置优先于“安全区域: 禁止用户更改策略”设置。
安全区域: 仅使用计算机设置
表 4.10:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
已启用
已启用
已启用
已启用
“安全区域: 仅使用计算机设置”设置将安全区域信息应用于同一计算机的所有用户。安全区域是具有相同安全级别的一组网站。启用此设置允许将一个用户对安全区域进行的更改应用于同一计算机的所有用户。如果将“安全区域: 仅使用计算机设置”配置为“禁用”或“未配置”,则允许同一计算机的用户建立各自的安全区域设置。将此设置配置为“启用”可确保将安全区域设置统一应用于同一计算机的所有用户。
因此,Microsoft 建议在本指南所定义的两种环境中将“安全区域: 仅使用计算机设置”设置配置为“启用”。
任务计划程序
请使用组策略对象编辑器在位于以下位置的管理模板中配置任务计划程序的计算机设置:
计算机配置管理模板Windows 组件任务计划程序
表 4.11:任务计划程序计算机设置
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
禁用“创建新任务”
未配置
未配置
已启用
已启用
禁用“删除任务”
未配置
未配置
已启用
已启用
禁用“创建新任务”
表 4.12:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“禁用‘创建新任务’”设置可防止用户使用任务计划程序创建新任务。您可以安排任务在特定时间执行程序。将此设置配置为“启用”将删除用于启动“新任务向导”的“添加计划任务”选项。而且,启用此设置会导致系统在用户尝试将程序或文档移动、粘贴或拖动到“计划任务”文件夹时不作响应。
因此,本指南建议在高安全级环境中将“禁用‘创建新任务’”设置配置为“启用”。但是,Microsoft 建议在企业客户端环境中将此设置配置为“未配置”。
禁用“删除任务”
表 4.13:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“禁用‘删除任务’”设置可防止用户从“计划任务”文件夹中删除任务。如果将此设置配置为“启用”,将从“计划任务”文件夹的“编辑”菜单和右键单击任务弹出的菜单中删除“删除”命令。它还会导致系统在用户尝试删除或拖动“计划任务”文件夹中的任务时不作响应。
因此,本指南建议在高安全级环境中将“禁用‘删除任务’”设置配置为“启用”。但是,Microsoft 建议在企业客户端环境中将此设置配置为“未配置”。
注意:此设置不会禁止管理员使用 At.exe 命令来删除任务。
终端服务客户端/服务器数据重定向
终端服务提供用于将客户端资源重定向到通过终端服务访问的服务器的选项。以下设置是特定于终端服务的。
使用组策略对象编辑器,在管理模板中终端服务下的以下位置,配置下面的用于客户端/服务器数据重定向的计算机设置:
计算机配置管理模板Windows 组件终端服务客户端/服务器数据重定向
表 4.14:终端服务客户端/服务器数据重定向
UI 中的设置名称
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
不允许驱动器重定向
未配置
未配置
已启用
已启用
不允许驱动器重定向
表 4.15:设置
企业客户端台式计算机
企业客户端便携式计算机
高安全级台式计算机
高安全级便携式计算机
未配置
未配置
已启用
已启用
“不允许驱动器重定向”设置可禁止用户将其客户端上的本地驱动器共享给他们所访问的终端服务器。映射驱动器出现在 Windows 资源管理器或“我的电脑”的会话文件夹树中,格式如下:
\TSClient<驱动器号>$
如果共享本地驱动器,将使入侵者有机会盗用存储在本地驱动器上的数据。因此,本指南建议在高安全级环境中将“不允许驱动器重定向”设置配置为“启用”。但是,Microsoft 建议在企业客户端环境中将此设置配置为“未配置”。