1、Windows XP 安全指南第 1 章：Windows XP 安全指南簡介更新日期： 2006年07月17日本頁內容 HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA 概述 HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGAA#EGAA HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGA

2、A#EGAA 執行摘要 HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA 本指南的目標讀者 HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA 本指南討論的范圍 HYPERLINK /zh-cn/library/c

3、c163069.aspx#EDAA#EDAA l EDAA#EDAA HYPERLINK /zh-cn/library/cc163069.aspx#EDAA#EDAA l EDAA#EDAA 本章概述 HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA 下載內容 HYPERLINK /zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA HYPERLINK /

4、zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA 樣式約定 HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA 總結概述歡迎使用Windows XP 安全指南。本指南旨在提供用于對環境中特定于 Microsoft Windows XP Professional Service Pack 2 (SP2) 的安全風險進行評估和處理的最佳信息。本指南中的章節提供

5、有關如何在盡可能的位置配置 Windows XP 中的增強安全設置和功能，以消除環境中識別的威脅的詳細信息。本指南主要面向在 WindowsXP 環境中工作的顧問、設計人員或系統工程師。Microsoft 工程小組、顧問、支持工程師、合作伙伴以及客戶已經審查和批準了本指南中的信息，從而使得該指南具有下列特點：經過證明。基于現場體驗。具有權威性。提供最佳可用建議。準確。經過技術驗證和測試。可操作。提供邁向成功的步驟。相關。針對現實世界的安全考慮。在各種環境中實施 Windows XP Professional、Microsoft Windows Server 2003 和 Windows 200

6、0 的咨詢人員和系統工程師開發了用于確保客戶端計算機和服務器計算機安全的最佳做法，本指南詳述了這些最佳做法。本指南還提供了分步安全指導、過程和建議，幫助您盡可能增強您的組織中運行 Windows XP Professional SP2 的計算機的安全性。如需更深入了解本文檔中的相關概念，請參閱“威脅和對策：Windows Server 2003 和 Windows XP 的安全設置”、“Microsoft WindowsXP Resource Kit”、“Microsoft WindowsServer 2003 Resource Kit”、“Microsoft Windows Security

7、 Resource Kit”以及 Microsoft TechNet。本指南最初是針對 Windows XP SP1 創建的。此更新版本反映 Windows XP SP2 提供的重要安全增強功能，它是通過運行 Windows XP Professional SP2 的計算機進行開發和測試的。除非另行規定，否則本指南中對于 Windows XP 的所有引用均是指 Windows XP SP2。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh

8、-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首執行摘要無論環境如何，強烈建議您認真對待安全問題。由于通常沒有將實際間接成本考慮在內，許多組織錯誤地低估了他們的信息技術 (IT) 環境的價值。如果對環境中的服務器的攻擊很嚴重，則會對整個組織造成極大危害。例如，如果攻擊活動迫使公司網站關閉，從而造成利潤或客戶信任度的巨大損失，公司將面臨喪失盈利能力的危險。評估安全成本時，應該將與任何攻擊相關的間接成本以及喪失 IT 功能的成本包括在內。通過與安全相關的漏洞、風險和暴露分析，您可以了解到

9、，網絡環境中所有計算機系統都會面臨在安全性與可用性之間取舍權衡的問題。本指南對 Windows XP SP2 中的主要安全對策、其解決的漏洞以及每個對策實施的潛在負面影響（如果有）進行了說明。此外，本指南還提供了在以下三種常見環境中加強運行 Windows XP SP2 的計算機的具體建議：企業客戶端 (EC)。此環境中的客戶端計算機位于 Active Directory 目錄服務域中，只需要與運行 Windows 2000 或更高版本的 Windows 操作系統的系統通信。獨立 (SA)。此環境中的客戶端計算機不是 Active Directory 域的成員，可能需要與運行 Windows

10、NT 4.0 的系統通信。專用安全 - 限制功能 (SSLF)。由于在此環境中對安全性非常關注，因此功能上和管理上的明顯損失都在可接受之列。例如，軍事和情報機構的計算機在此類環境中運行。本指南組織成易于訪問的形式，以便您快速找到確定組織中運行 Windows XP SP2 的計算機的適合設置所需的信息。雖然本指南主要針對企業客戶，但是其中的許多內容適合于任何規模的組織。為了從本資料中獲取最多有價值的信息，需要閱讀整個指南。編寫本指南的小組希望本指南可以為您提供有用的、信息豐富的和引人入勝的資料。有關詳細信息，請參閱附加指南 HYPERLINK /china/technet/security/g

11、uidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Windows XP 的安全設置，該指南可從 /china/technet/security/guidance/secmod48.mspx 下載。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSectio

12、n 返回頁首本指南的目標讀者本指南主要面向在企業環境中規劃應用程序或基礎結構開發以及 Windows XP 工作站部署的顧問、安全專家、系統結構設計人員以及 IT 專業人員。本指南不面向家庭用戶。本指南是專為從事下列工作的人員而設計的：系統結構設計人員和規劃人員，他們負責組織中計算機體系結構方面的工作。IT 安全專家，他們關注如何在組織內跨計算平臺提供安全性。業務分析師和業務決策者 (BDM)，他們的關鍵業務目標和要求需要 IT 桌面計算機或便攜式計算機的支持。來自 Microsoft 服務部門和合作伙伴的顧問，他們需要用于企業客戶和合作伙伴的知識傳送工具。技能和準備對于負責開發、部署并確保企

13、業中 Windows XP 客戶端計算機的安全的管理員或結構設計人員，下列知識和技能是必備條件：擁有 MCSE 2000 或更高證書，有 2 年以上安全相關經驗或同等經驗。對公司域和 Active Directory 環境有深入了解。熟練使用管理工具，包括 MMC、Secedit、Gpupdate 和 Gpresult。有管理組策略的經驗。有在企業環境中部署應用程序和客戶端計算機的經驗。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-c

14、n/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首本指南討論的范圍本指南著重介紹如何為運行 Windows XP Professional SP2 的桌面計算機和便攜式計算機創建和維護安全的環境。本指南闡述如何確保三種不同環境安全的不同階段以及針對每種環境中部署的桌面計算機和便攜式計算機的每項設置的內容。信息涵蓋企業客戶端 (EC) 環境、獨立 (SA) 環境以及專用 - 限制功能 (SSLF) 環境。不對未作為本指南一部分專門推薦的設置進行介紹。有關 WindowsXP 中所有安全設置的

15、詳盡論述，請參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Windows XP 的安全設置，網址為 /china/technet/security/guidance/secmod48.mspx。企業客戶端企業客戶端 (EC) 環境包含 Windows 2000 或 Windows Server 2003 Active Directory 域。此環境中的客戶端計算機將通過應用于站點、域和組織單位 (OU) 的組策略進行管理。組策略提供集中的方法來管理環境中的安

16、全策略。獨立客戶端環境獨立客戶端 (SA) 環境包括無法加入到屬于 Windows NT 4.0 域成員的域或計算機的客戶端計算機。這些客戶端計算機必須通過本地策略設置進行配置。相比基于 ActiveDirectory 的域中的用戶帳戶和策略的管理而言，獨立計算機的管理可能面臨著更大的挑戰。專用安全 限制功能專用安全 限制功能 (SSLF) 環境為客戶端計算機提供高級安全設置。當應用這些安全策略設置時，用戶功能可能會顯著減少，因為限制為僅必要任務所需的那些特定功能。訪問權限則限于已批準的應用程序、服務和基礎結構環境。為清楚明了，SSLF 環境的安全策略設置僅適用于極少數組織（例如軍事和情報結構

17、）的一些系統。這些設置趨向于通過可管理性和可用性優化安全性；它們應該僅用于那些危害可能導致重大財務損失或人員傷亡的計算機。換言之，SSLF 設置對于大多數組織來說并不是恰當的選擇。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首本章概述Windows XP SP2 提供迄今為止最可

18、依賴的 Windows 客戶端版本以及改進的安全和隱私功能。Windows XP 中已經提高了總體安全性，以幫助確保組織在更安全的計算環境中工作。Windows XP 安全指南包含七個章節，其中二至六章論述創建這種環境所需的過程。其中每個章節建立在端到端流程的基礎之上，旨在確保基于 Windows XP 的計算機的安全。第 1 章：Windows XP 安全指南簡介本章包括本指南的概述以及對目標讀者、本指南中討論的問題和本指南的總體目標的說明。第 2 章：配置 Active Directory 域基礎結構您可以使用組策略來管理 Windows Server 2003 和 Windows 200

19、0 域中的用戶和計算機環境。它是確保 Windows XP 安全的重要工具，可以用來從中央位置在整個網絡中應用和維護一致安全策略。本章論述將組策略應用于 Windows XP 客戶端計算機之前必須在域中執行的基本步驟。組策略設置存儲在域控制器上的組策略對象 (GPO) 中。GPO 鏈接到 Active Directory 結構中的站點、域和 OU。由于組策略與 Active Directory 緊密集成，在實現組策略之前有必要對 Active Directory 結構和安全含義進行基本的了解。第 3 章：Windows XP 客戶端安全設置本章描述可以在 Windows 2000 或 Wind

20、ows Server 2003 Active Directory 域中通過組策略設置的 Windows XP 客戶端計算機的安全設置。并沒有為所有可用設置提供指導，而只是為那些幫助避免環境遭受最新威脅的設置提供了指導。該指導還允許用戶繼續在他們的計算機上執行正常作業功能。配置的設置應基于組織的安全目標。第 4 章：Windows XP 管理模板本章討論可以使用管理模板添加到 Windows XP 中的設置。管理模板是可用來配置基于注冊表的設置的 Unicode 文件，這些設置控制許多服務、應用程序和操作系統組件的行為。許多管理模板可以與 Windows XP 一起使用，它們包含數百個設置。第

21、5 章：確保獨立 Windows XP 客戶端的安全雖然本指南大部分重點介紹企業客戶端 (EC) 和專用安全 限制功能 (SSLF) 環境，但是本章還討論了獨立 Windows XP 客戶端計算機的配置。Microsoft 建議在 Active Directory 域基礎結構中部署 Windows XP，同時認識到不能夠總是這樣做。本章提供有關如何將建議配置應用到不是 Windows 2000 或 Windows Server 2003 域成員的 Windows XP SP2 客戶端計算機的指導。第 6 章：Windows XP 客戶端的軟件限制策略本章提供軟件限制策略的基本概述，該軟件限制策

22、略向管理員提供一套策略驅動機制，用于標識和限制可以在其域中運行的軟件。管理員可以使用軟件限制策略阻止不想要的程序運行，并防止病毒、特洛伊木馬或其他惡意代碼傳播。軟件限制策略與 Active Directory 和組策略完全集成；如果僅應用于本地計算機，它們也可以用于沒有 Windows Server 2003 域基礎結構的環境。第 7 章：結論最后一章簡要回顧前幾章中論述的內容的要點。附錄 A：需要考慮的關鍵設置雖然本指南論述了許多安全對策和安全設置，了解少量安全對策和安全設置尤其重要。本附錄論述會對運行 Windows XP SP2 的計算機的安全產生最大影響的設置。附錄 B：測試Windo

23、ws XP 安全指南本附錄闡述如何在實驗室環境中測試Windows XP 安全指南以確保指導按預期工作。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首下載內容本指南附帶了安全模板、腳本和其他文件的集合，以便于組織輕松評估、測試和實施建議的對策。安全模板是可以通過 Microsof

24、t 管理控制臺 (MMC) 安全配置和分析管理單元導入到基于域的組策略或本地應用的文本文件。第 2 章“配置 ActiveDirectory 域基礎結構”中詳細描述了如何完成這些任務的過程。您可以使用本指南附帶的腳本來在獨立工作站上實施建議的對策。下載內容還包括 Microsoft Excel 工作簿“WindowsXP Security Guide Settings”，其說明每個安全模板中包含的設置。本指南附帶的文件統稱為工具和模板。這些文件包括在包含本指南的自解壓縮 WinZip 壓縮文件中的 .msi 文件中。該指南可從 Microsoft 下載中心獲取，網址為 /fwlink/?Lin

25、kId=14840。執行 .msi 文件時，系統將在指定位置創建下列文件夾結構：Windows XP 安全指南工具和模板安全模板。此文件夾包含本指南第 2 章和第 3 章中論述的所有安全模板。它還包含匯總本指南中所有建議的 Excel 電子表格。Windows XP 安全指南工具和模板SCE 更新。此文件夾包含用于按照本指南第 3 章所述自動更新安全配置編輯器用戶界面的腳本和數據文件。Windows XP 安全指南工具和模板獨立客戶端。此文件夾包含用于強化獨立計算機的所有示例腳本和模板，將在指南的第 5 章中進行論述。Windows XP 安全指南工具和模板測試工具。此文件夾包含與“附錄 B：

26、測試Windows XP 安全指南”相關的工具。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首樣式約定本指南使用以下樣式約定。表 1.1 樣式約定元素含義粗體表示完全按顯示鍵入的字符，包括命令、交換機和文件名。用戶界面元素也以粗體顯示。斜體書籍和其他大量出版物的標題以斜體顯示。以

27、斜體和尖括號設置的占位符（例如）表示變量。固定寬度字體定義代碼和腳本示例。注意提醒讀者閱讀補充信息。重要提醒讀者閱讀必要的補充信息。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首總結本章介紹WindowsXP 安全指南并匯總指南的各個章節。在您了解本指南的組織形式之后，就可以開始

28、充分利用 Windows XP SP2 中內置的關鍵安全選項了。有效、成功的安全操作需要本指南中論述的所有方面的努力，不能單靠一方面的提高。因此，強烈建議作為更廣泛縱深防御安全體系結構的一部分實施本指南中適合您的組織的所有建議。更多信息以下鏈接提供有關 Windows XP Professional 安全相關主題的附加信息。有關可以在 Microsoft WindowsXP 上進行配置的安全設置的詳細信息，請參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Wi

29、ndows XP 的安全設置，網址為 /china/technet/security/guidance/secmod48.mspx。有關如何按照本指南所述的方式在服務器上實施安全的信息，請參閱 HYPERLINK /china/technet/security/guidance/secmod117.mspx Windows Server 2003 安全指南。本指南中的建議設計為應用于需要支持 Windows XP 客戶端計算機的服務器，這些客戶端計算機是按照其余章節所述進行配置的。可從 /china/technet/security/guidance/secmod117.mspx 獲取。有關如何在組織中更有效地實施安全風險管理的信息，請參閱 HYPERLINK /china/technet/security/guidance/secrisk/srsgch01.mspx 安全風險管理指南，網址為 /ch