Windows XP 安全指南
附录 A:有关 Windows XP Service Pack 2 的其他指导
本附录讨论基于 Microsoft Windows XP Service Pack 2 (SP2) 版本的 Windows XP 安全指南更改。 阅读本附录之前,您应该已经熟悉《Windows XP 安全指南》的前面部分。它旨在对这些部分进行补充,并且仅描述特定于 SP2 的配置更改。不应将本附录看作独立文档。 本页内容
Windows XP SP2 概述Windows XP SP2 包含最新的 Windows XP 更新集合。这些更新通过引入一组安全技术,这些技术将有助于提高运行 Windows XP 的计算机抵御病毒和蠕虫的恶意攻击的能力,从而有助于提高操作系统的安全性、可靠性和兼容性。这些技术包括:
SP2 包括与安全服务的可管理性相关的许多改进。这些改进使管理员能够跨用户和计算机实现更多安全设置。 SP2 中的一个主要更改是默认情况下更安全。大多数安全更改在默认情况下实现,并且不需要配置更改。虽然其中许多改进导致兼容性困难,但是操作系统安全方面的总体改进通常可作为任何此类困难的补偿。 有关 SP2 中的广泛更改的详细信息,请参阅 http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx 上的“Microsoft Windows XP Service Pack 2 中的功能变更”。 安全设置更改Windows XP SP2 中广泛的策略和设置更改主要限于组策略的“管理模板”部分。因此,本附录中不提供安全设置的建议更改。 管理模板更改Windows XP SP2 中对管理模板进行了广泛的更改。数以百计的新设置使您能够实现对用户体验和安全环境的更精确控制。本附录的大部分内容提供有关“管理模板”中将有助于您在您的环境中提供更强安全性的新设置的详细信息。 注意: 编写本文档时,本附录中所述的设置对 Windows XP SP2 之外的任何操作系统没有影响。这些设置不影响 Windows XP Service Pack 1 和以前的操作系统版本。 新管理模板在称为管理模板的基于 Unicode 的文件中,可以获得其他安全设置。这些文件包含影响 Windows XP 及其组件的注册表设置。Windows XP SP2 包含新管理模板。这些新模板要求您在管理 GPO 时使用运行 Windows XP SP2 的计算机。 较早版本的组策略对象编辑器 (Gpedit.exe) 不支持新管理模板。对新的或现有 GPO 的修改必须使用运行 Windows XP SP2 的计算机来执行。有关使用其他操作系统来管理 GPO 的信息,请参阅 http://support.microsoft.com/?kbid=842933 上的 Microsoft 知识库文章 842933。 新管理模板中的设置只影响运行 Windows XP SP2 的计算机;Windows XP SP1 和以前的操作系统版本将忽略这些新设置。此方法使您能够使用《WindowsXP 安全指南》第 2 章中所述的相同 OU 结构来实现 GPO,从而增强您的环境中所有运行 Windows XP 的计算机的安全性。 计算机配置设置以下各节讨论了组策略对象编辑器中“计算机配置”中建议的设置。请在以下位置配置这些设置: 计算机配置\管理模板 请通过链接至 OU(其中包含所在环境中的计算机帐户)的 GPO 来应用这些设置。如《Windows XP 安全指南》第 2 章所述,将 GPO 中的便携式计算机设置链接到便携式计算机 OU,将 GPO 中的桌面计算机设置链接到桌面计算机 OU。 Internet Explorer使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer 关闭故障检测表 A.1:崩溃检测设置
“关闭故障检测”策略设置使您能够管理 Internet Explorer 中加载项管理的崩溃检测功能。如果启用此策略设置,Internet Explorer 中的崩溃将类似于运行 Windows XP Professional Service Pack 1 及更早版本的计算机上的崩溃:将调用 Windows 错误报告。如果禁用此策略设置,加载项管理中的崩溃检测功能将起作用。 由于 Internet Explorer 崩溃报告信息可能包含来自计算机内存的敏感信息,本附录建议您将此选项配置为“已启用”,除非您经常遇到重复崩溃并需要报告它们用于后续疑难解答。后一种情况下,您可以暂时将该设置配置为“已禁用”。 不允许用户启用或禁用加载项表 A.2:启用或禁用加载项设置
“不允许用户启用或禁用加载项”策略设置使您可以管理用户是否能够通过“管理加载项”允许或拒绝加载项。如果将此策略设置配置为“已启用”,用户无法通过“管理加载项”启用或禁用加载项。唯一例外是一个附件已专门输入到“加载项列表”策略设置以允许用户继续管理该加载项。在这种情况下,用户仍然可以通过“管理加载项”管理该加载项。如果将此策略设置配置为“已禁用”,用户将能够启用或禁用加载项。 注意: 有关在 Windows XP SP2 中管理 Internet Explorer 加载项的详细信息,请参阅 http://support.microsoft.com/?kbid=883256 上的知识库文章 883256“如何在 Windows XP Service Pack 2 中管理 Internet Explorer 附件”。 用户通常选择安装组织的安全策略不允许的加载项。此类加载项可能对您的网络造成很大的安全和隐私风险。因此,本附录建议将此策略配置为“已启用”。 注意: 您应该检查“Internet Explorer\安全功能\加载项管理”中的 GPO 设置以确保经过适当授权的加载项仍可以在您的环境中运行。 Internet 控制面板\安全页使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页 SP2 介绍帮助您保护您的整个环境中的 Internet Explorer 区域配置的多种新策略设置。SP2 在配置计算机时对这些增强安全性的设置使用默认值。但是,您可能需要检查这些设置并配置这些策略,根据可用性或应用程序兼容性在您的环境中要求或放松这些策略。 例如,SP2 将 Internet Explorer 配置为默认情况下阻止所有 Internet 区域的弹出窗口。您可能需要确保对环境中的所有计算机实施此设置,以消除烦人的弹出窗口并减少恶意软件和间谍软件安装(通常从 Internet 网站产生)的可能性。反之,您的环境可能包含需要使用弹出窗口才能运行的应用程序。如果是这种情况,您可以将此策略配置为对 Intranet 中的网站允许弹出窗口。 Internet 控制面板\高级页使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\高级页 允许运行或安装软件,即使签名无效表 A.3:允许运行软件设置
Microsoft ActiveX 控件和文件下载通常附加数字签名,以保证文件的完整性和软件签名者(创建者)的标识。此类签名帮助确保下载未经修改的软件,并且您可以肯定地识别签名者以确定是否充分信任他们而运行他们的软件。 “允许运行或安装软件,即使签名无效”策略设置使您可以管理是否即使签名无效用户也可以安装或运行下载的软件。无效签名可能表明有人篡改文件。如果启用此策略设置,用户在安装或运行具有无效签名的文件将出现提示。如果禁用此策略设置,用户无法运行或安装具有无效签名的文件。 由于未签名的软件可能造成安全漏洞,本附录建议通过将该设置配置为“已禁用”阻止此类软件。 注意: 某些合法软件和控件可能具有无效签名但仍然可以使用。允许在您的组织的网络上使用此类软件之前,应该在隔离环境中仔细测试这些软件。 安全功能\MK 协议安全限制使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\MK 协议安全限制 Internet Explorer 进程(MK 协议)表 A.4:MK 协议设置
“MK 协议安全限制”策略设置通过阻止很少使用的 MK 协议来降低受到攻击的可能性。某些旧 Web 应用程序使用 MK 协议从压缩文件检索信息。将此策略设置为“已启用”会对 Windows 资源管理器和 Internet Explorer 阻止 MK 协议,从而导致使用 MK 协议的资源失败。禁用此设置会允许应用程序使用 MK 协议 API。 由于 MK 协议未广泛使用,不需要时应被阻止。本附录建议,除非环境中专门需要 MK 协议,否则将此设置配置为“已启用”以阻止 MK 协议。 注意: 由于部署此设置时使用 MK 协议的资源将失败,您应确保您的应用程序都不使用 MK 协议。 安全功能\一致性 MIME 处理使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\一致性 MIME 处理 Internet Explorer 进程(一致性 MIME 处理)表 A.5:一致性 MIME 处理设置
Internet Explorer 使用多用途 Internet 邮件扩展 (MIME) 数据来确定通过 Web 服务器接收的文件的文件处理过程。“一致性 MIME 处理\Internet Explorer 进程”策略设置确定 Internet Explorer 是否要求 Web 服务器提供的所有文件类型信息均一致。例如,如果文件的 MIME 类型是文本/纯文本,但是 MIME 数据指示文件实际上是可执行文件,Internet Explorer 将更改其扩展名以反映此可执行状态。此功能有助于确保可执行代码无法伪装成可能被信任的其他类型的数据。 如果启用此策略设置,Internet Explorer 检查接收的所有文件并对其实施一致性 MIME 数据。如果您禁用或不配置此策略设置,Internet Explorer 不要求对接收的所有文件实施一致性 MIME 数据,并将使用文件提供的 MIME 数据。 MIME 文件类型的欺骗是您的组织面临的潜在威胁。确保这些文件一致并正确标记有助于防止恶意文件下载感染网络。因此,本附录建议对本指南中指定的所有环境将此策略配置为“已启用”。 注意: 此设置与“MIME 探查安全功能”设置配合使用,但不取代后者。 安全功能\MIME 探查安全功能使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\MIME 探查安全功能 Internet Explorer 进程(MIME 探查)表 A.6:MIME 探查设置
MIME 探查是检查 MIME 文件的内容以确定其上下文(是数据文件、可执行文件还是某些其他类型的文件)的进程。此策略设置确定 Internet Explorer MIME 探查是否将防止文件从一种类型提升为更危险的文件类型。当设置为“已启用”时,MIME 探查永不将文件从一种类型提升为更危险的文件类型。禁用 MIME 探查会将 Internet Explorer 进程配置为允许 MIME 探查将文件从一种类型提升为更危险的文件类型。例如,将文本文件提升为可执行文件是一种危险提升,因为这样将会执行文本文件中的任何代码。 MIME 文件类型的欺骗是您的组织面临的潜在威胁。确保一致地处理这些文件有助于防止恶意文件下载感染网络。因此,本附录建议对本指南中指定的所有环境将此策略配置为“已启用”。 注意: 此设置与“一致性 MIME 处理”设置配合使用,但不取代后者。 安全功能\脚本化 Window 安全限制使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\脚本化 Window 安全限制 Internet Explorer 进程(脚本化 Window 安全限制)表 A.7:脚本化窗口限制设置
Internet Explorer 允许脚本以编程方式打开各种类型的窗口、调整大小并重新定位。通常,不良网站将调整窗口大小以隐藏其他窗口或强制您与包含恶意代码的窗口交互。 “脚本化 Window 安全限制”安全功能限制弹出窗口并禁止脚本显示标题和状态栏对用户不可见或阻止其他窗口的标题和状态栏的窗口。如果启用“脚本化 Window 安全限制\Internet Explorer 进程”策略设置,将对 Windows 资源管理器和 Internet Explorer 进程应用弹出窗口和其他限制。如果您禁用或不配置此策略设置,脚本可继续创建弹出窗口以及隐藏其他窗口的窗口。 本附录建议将此设置配置为“已启用”,这样有助于防止恶意网站控制您的 Internet Explorer 窗口或哄骗用户单击错误窗口。 安全功能\保护域提升使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\保护域提升 Internet Explorer 进程(区域提升保护)表 A.8:区域提升保护设置
Internet Explorer 对打开的依赖于网页位置(如 Internet 区域、Intranet 区域或本地计算机区域)的每个网页实施限制。本地计算机上的网页具有最少的安全限制并且位于本地计算机区域,从而使本地计算机安全区域成为恶意攻击者的主要目标。 如果启用此策略设置,可以防止 Internet Explorer 进程对任何区域执行区域提升。此方法阻止在一个区域中运行的内容获取对另一个区域的提升特权。如果禁用此策略设置,任何区域均不受到针对 Internet Explorer 进程的此类保护。 由于区域提升攻击的严重性和相对频繁性,本附录建议在所有环境中将此设置配置为“已启用”。 安全功能\限制 ActiveX 安装使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制 ActiveX 安装 Internet Explorer 进程(限制 ActiveX 安装)表 A.9:“限制 ActiveX 安装”设置
“限制 ActiveX 安装\Internet Explorer 进程”策略设置启用对 Internet Explorer 进程阻止 ActiveX 控件安装提示。 如果启用此策略设置,将对 Internet Explorer 进程阻止 ActiveX 控件安装提示。如果禁用此策略设置,将不阻止 ActiveX 控件安装提示。 用户通常选择安装公司安全策略不允许的软件,如 ActiveX 控件。此类软件可能对您的网络造成很大的安全和隐私风险。因此,本附录建议将此策略配置为“已启用”。 注意: 此设置还阻止用户安装将干扰 Windows Update 等重要系统组件的合法授权 ActiveX 控件。如果启用此设置,请确保实现 Software Update Services (SUS) 或关于部署安全更新的某些替代方法。 有关 SUS 的详细信息,请参阅 http://www.microsoft.com/windowsserversystem/sus/default.mspx 上的 Software Update Services 页(其中也包括有关 SUS 后续产品 Windows Update Services 的信息)。 安全功能\限制文件下载使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\限制文件下载 Internet Explorer 进程(限制文件下载)表 A.10:“限制文件下载”设置
在某些情况下,网站可以启动文件下载提示而无需用户交互。此技术可允许网站在用户单击错误的按钮并接受下载时将未经授权的文件放在用户的硬盘上。 如果将“限制文件下载\Internet Explorer 进程”策略设置配置为“已启用”,将对 Internet Explorer 进程阻止非用户启动的文件下载提示。如果将此策略设置配置为“已禁用”,将对 Internet Explorer 进程允许非用户启动的文件下载提示。 注意:本指南指定的所有环境中,此设置配置为“已启用”,帮助防止攻击者在用户的计算机上放置任意代码。 安全功能\加载项管理使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\Windows 组件\Internet Explorer\安全功能\加载项管理 除非在加载项列表中特别指定,拒绝所有加载项表 A.11:“除非特别指定否则拒绝所有加载项”设置
此策略设置以及“加载项列表”策略使您能够控制 Internet Explorer 加载项。默认情况下,“加载项列表”策略设置定义要通过组策略允许或拒绝的加载项的列表。“除非在加载项列表中特别指定,拒绝所有加载项”策略设置确保除非在“加载项列表”策略设置中特别指定,否则拒绝所有加载项。 如果启用此策略设置,Internet Explorer 通过“加载项列表”策略设置仅允许特别列出(和允许)的加载项。如果禁用此策略设置,用户可使用加载项管理器允许或拒绝任何加载项。 应考虑使用“除非在加载项列表中特别指定,拒绝所有加载项”和“加载项列表”设置来控制可以用于您的环境的加载项。此方法将有助于确保只使用经过授权的加载项。 加载项列表表 A.12:加载项列表设置
此策略设置以及“除非在加载项列表中特别指定,拒绝所有加载项”策略使您可以控制 Internet Explorer 加载项。默认情况下,“加载项列表”策略设置定义要通过组策略允许或拒绝的加载项的列表。“除非在加载项列表中特别指定,拒绝所有加载项”策略设置确保除非在“加载项列表”策略设置中特别指定,否则拒绝所有加载项。 启用此策略设置需要您输入 Internet Explorer 允许或拒绝的加载项列表。对于添加到列表的每个项,您必须提供下列信息:
如果禁用此策略设置,列表将被删除。 应考虑使用“除非在加载项列表中特别指定,拒绝所有加载项”和“加载项列表”设置来控制可以用于您的环境的加载项。此方法将有助于确保只使用经过授权的加载项。 终端服务\客户端使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\Windows 组件\终端服务\客户端 不允许保存密码表 A.14:“不允许保存密码”设置
“不允许保存密码”设置防止终端服务客户端将密码保存在计算机上。启用此设置会禁用终端服务客户端中的密码保存复选框,因此用户不再能够保存密码。由于保存密码这种做法可导致其他安全危害,对于本指南中定义的环境,此设置配置为“已启用”。 注意: 如果此设置以前配置为“已禁用”或“未配置”,终端服务客户端首次与任何服务器断开连接时,以前保存的密码将被删除。 Windows Update使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\Windows 组件\Windows Update 不要在“关闭 Windows”对话框显示“安装更新并关机”表 A.15:“不显示关机选项”设置
“不要在‘关闭 Windows’对话框显示‘安装更新并关机’”策略设置使您能够管理“关闭 Windows”对话框中是否显示“安装更新并关机”选项。 如果当用户在“开始”菜单中选择“关机”选项或单击按 Ctrl+Alt+Delete 组合键之后显示的窗口中的“关机”按钮时更新可用,禁用此策略设置会使“安装更新并关机”选项显示在“关闭 Windows”对话框中。由于安装更新对所有计算机的总体安全很重要,对于本指南中定义的所有环境,此设置配置为“已禁用”。此设置与以下“不要调整‘关闭 Windows’对话框里的‘安装更新并关机’的默认选项”策略设置配合使用。 不要调整“关闭 Windows”对话框里的“安装更新并关机”的默认选项表 A.16:“不调整默认关机选项”设置
“不要调整‘关闭 Windows’对话框里的‘安装更新并关机’的默认选项”策略设置使您能够管理是否允许“安装更新并关机”选项成为“关闭 Windows”对话框中的默认选择。在禁用此策略设置的情况下,如果当用户在“开始”菜单中选择“关机”选项时更新可用于安装,“安装更新并关机”选项将成为“关闭 Windows”对话框中的默认选项。 由于安装更新对所有计算机的总体安全很重要,对于本指南中定义的所有环境,此设置配置为“已禁用”。 注意: 如果启用了“计算机配置\管理模板\Windows 组件\Windows Update\不要在‘关闭 Windows’对话框显示‘安装更新并关机’选项”策略设置,此策略设置没有影响。 系统使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 计算机配置\管理模板\系统 关闭 Windows Update 设备驱动程序搜索提示表 A.17:Windows Update 设备驱动程序搜索提示设置
“关闭 Windows Update 设备驱动程序搜索提示”设置控制在使用 Internet 搜索 Windows Update 以查找设备驱动程序时是否提示管理员。如果启用此设置,搜索 Windows Update 时将不提示管理员。如果此设置被禁用或没有配置,并且“关闭 Windows Update 设备驱动程序搜索”被禁用或没有配置,在搜索 Windows Update 以查找设备驱动程序之前将提示管理员以获得同意。 从 Internet 下载任何设备驱动程序都存在某些风险,因此本附录建议:对于高安全性环境,将该设置配置为“已启用”;对于企业环境,将此设置配置为“已禁用”。此建议的原因是:正确的企业资源管理通常会缓解可以利用驱动程序下载的攻击类型。 注意: 只有在“管理模板/系统/Internet 通信管理/Internet 通信设置”中的“关闭 Windows Update 设备驱动程序搜索”被禁用或没有配置时,此设置才有效。 系统\错误报告功能《Windows XP 安全指南》第 4 章规定用于配置错误报告的一些设置。这些设置对于运行 Windows XP SP2 的计算机相同,但是其中一个设置的名称已更改。表 4.42 中所述的“报告错误”设置现在显示为“配置错误报告”。规定的设置与第 4 章所述的设置相同。 系统\远程过程调用使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\系统\远程过程调用 用于未验证的 RPC 客户端的限制表 A.18:“未验证的 RPC 客户端”设置
启用“用于未验证的 RPC 客户端的限制”设置会将 RPC 服务器上的 RPC 运行时配置为限制未验证的 RPC 客户端连接到某台计算机上运行的 RPC 服务器。如果客户端使用命名管道与服务器通信或使用 RPC 安全性,该客户端将被看作经过验证的客户端。根据为此策略选择的值,特别要求可由未验证的客户端访问的 RPC 接口可能不受此限制。启用此设置会使下列值可用:
未验证的 RPC 通信会产生安全漏洞,因此本附录建议:对于本指南中定义的所有环境,将此设置配置为“已启用”,并且将“要应用的 RPC 运行时未验证的客户端限制”值设置为“已验证”。 注意: 应用此配置时,不验证未经请求的入站连接请求的 RPC 应用程序可能无法正常工作。确保广泛部署此设置之前测试应用程序。虽然此设置的“已验证”值并不完全安全,但是对于在环境中提供应用程序兼容性有用。 RPC 终点映射程序客户端验证表 A.19:客户端验证设置
启用“RPC 终点映射程序客户端验证”设置会强制与此计算机通信的客户端在建立 RPC 通信之前提供身份验证。 系统\Internet 通信管理\Internet 通信设置Internet 通信设置组中有一些配置设置。本附录建议对其中许多设置都加以限制,主要是为了帮助提高计算机系统上的数据保密性。如果不限制这些设置,信息可以被攻击者截取和使用。虽然这种类型的攻击如今实际上很少发生,但是现在正确配置这些设置有助于保护环境以防止未来攻击。 使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\系统\Internet 通信管理\Internet 通信设置 关闭文件和文件夹的“发布到 Web”任务表 A.20:“关闭‘发布到 Web 任务’”设置
此设置指定 Windows 文件夹中的“文件和文件夹”任务是否包含“将这个文件发布到 Web”、“将这个文件夹发布到 Web”和“将选择的项目发布到 Web”任务。Web 发布向导用于下载提供程序列表并允许用户将内容发布到 Web。将此设置配置为“已启用”会将这些选项从 Windows 文件夹中的“文件和文件夹”任务中删除。 关闭“Web 发布”和“联机订购向导”的 Internet 下载表 A.21:“关闭 Internet 下载”设置
配置“关闭‘Web 发布’和‘联机订购向导’的 Internet 下载”设置可控制 Windows 是否为 Web 发布和联机订购向导下载提供程序列表。启用此设置可防止 Windows 下载提供程序;将仅显示本地注册表中缓存的服务提供程序。 关闭 Windows Messenger 客户体验改善活动表 A.22:“关闭 Windows Messenger 客户计划”设置
“关闭 Windows Messenger 客户体验改善活动”设置指定 Windows Messenger 是否收集有关如何使用 Windows Messenger 软件和服务的匿名信息。将此设置配置为“已启用”可确保 Windows Messenger 不会收集使用信息,并且将不显示用于启用使用信息收集的用户设置。 关闭搜索助理内容文件更新表 A.23:“关闭搜索助理更新”设置
“关闭搜索助理内容文件更新”设置指定搜索助理在本地和 Internet 搜索期间是否应该自动下载内容更新。通过将此配置配置为“已启用”,防止搜索助理在搜索期间下载内容更新。 注意: Internet 搜索仍将向 Microsoft 和所选搜索提供程序发送搜索文本和有关搜索的信息。选择“传统搜索”将完全关闭搜索助理功能。您可以通过依次单击“开始”、“搜索”、“改变首选项”、“改变 Internet 搜索行为”选择“传统搜索”。 关闭通过 HTTP 打印表 A.24:“关闭 HTTP 打印”设置
此设置允许您禁用从此客户端通过 HTTP 打印。通过 HTTP 打印允许客户端打印到 Intranet 以及 Internet 上的打印机。启用此设置可防止此客户端通过 HTTP 打印到 Internet 打印机。 通过 HTTP 打印时传输的信息不受保护,可以被恶意用户截取。因此,企业或高安全性环境通常不使用此方式。关闭此功能有助于确保不会意外使用此方式,否则可能由于不安全的打印作业而危害安全性。 注意: 此设置仅影响 Internet 打印的客户端。它不会阻止计算机用作 Internet 打印服务器并使其共享打印机可通过 HTTP 使用。 关闭通过 HTTP 下载打印驱动程序表 A.25:“关闭 HTTP 打印驱动程序下载”设置
“关闭通过 HTTP 下载打印驱动程序”设置控制计算机是否可通过 HTTP 下载打印驱动程序包。要设置 HTTP 打印,可能需要通过 HTTP 下载标准操作系统安装中未提供的打印机驱动程序。本附录建议将此设置配置为“已启用”以防止通过 HTTP 下载打印驱动程序。 注意: 此设置不阻止客户端通过 HTTP 打印到 Intranet 或 Internet 上的打印机。它只禁止下载尚未本地安装的驱动程序。 关闭 Windows Update 设备驱动程序搜索表 A.26:“关闭 Windows Update 设备驱动程序搜索”设置
“关闭 Windows Update 设备驱动程序搜索”策略指定在设备的本地驱动程序不存在时 Windows 是否搜索 Windows Update 以查找设备驱动程序。 从 Internet 下载任何设备驱动程序都存在某些风险,因此本附录建议:对于高安全性环境,将该设置配置为“已启用”;对于企业环境,将此设置配置为“已禁用”。此建议的原因是:正确的企业资源和配置管理通常会缓解可以利用驱动程序下载的攻击类型。 注意: 请参阅“管理模板/系统”中的“关闭 Windows Update 设备驱动程序搜索提示”。它控制在本地未找到驱动程序时在搜索 Windows Update 以查找设备驱动程序之前是否提示管理员。 Windows 防火墙\域配置文件本节中的设置配置 Windows 防火墙域配置文件。Windows 防火墙可以动态确定计算机是否处于域环境中,并根据确定结果应用特定的防火墙配置。此功能使您能够根据计算机的位置部署单独的防火墙设置。 检测到域环境时,将使用域配置文件。您可能选择将此配置文件配置为比标准配置文件的限制少,因为域环境通常提供其他保护层。本附录后面提供标准配置文件配置信息。 使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\网络\网络连接\Windows 防火墙\域配置文件 Windows 防火墙:保护所有网络连接(域配置文件)表 A.27:域配置文件“保护所有网络连接”设置
“Windows 防火墙:保护所有网络连接”设置打开 Windows 防火墙,该防火墙代替运行 Windows XP SP2 的所有计算机上的 Internet 连接防火墙。本附录建议将此设置配置为“已启用”以保护所有环境中计算机的所有网络连接。 如果此设置配置为“已禁用”,将关闭 Windows 防火墙并忽略 Windows 防火墙的所有其他设置。 注意: 如果启用此策略设置,Windows 防火墙运行并忽略“计算机配置\管理模板\网络\网络连接\禁止使用 DNS 域网络上的 Internet 连接防火墙”策略设置。 Windows 防火墙:不允许例外(域配置文件)表 A.28:域配置文件“不允许例外”设置
“Windows 防火墙:不允许例外”设置指定 Windows 防火墙阻止所有未经请求的传入消息。此策略设置会覆盖允许此类消息的所有其他 Windows 防火墙策略设置。如果在控制面板的 Windows 防火墙组件中启用此策略设置,“不允许例外”复选框为选中状态并且管理员无法清除它。 许多环境包含作为正常操作的一部分必须被允许接收未经请求的入站通信的应用程序和服务。在这些情况下,可能需要考虑将此策略配置为“已禁用”以使这些应用程序和服务正常运行。然而,在对此策略进行任何更改之前,应该测试环境以准确地确定允许什么和禁止什么。 注意:此设置可针对外部攻击者提供很强的防御能力,在需要全面的保护来防范外部攻击(例如,新的网络蠕虫发作)的情况下应该被设置为“已启用”。将此策略设置为“已禁用”允许 Windows 防火墙应用允许未经请求的传入消息的其他策略设置。 Windows 防火墙:定义程序例外(域配置文件)表 A.29:域配置文件“定义程序例外”设置
某些应用程序可能需要打开并使用 Windows 防火墙通常不允许的网络端口。“Windows 防火墙:定义程序例外”设置允许您查看和更改组策略定义的程序例外列表。 将此策略设置为“已启用”允许您查看和更改程序例外列表。如果将程序添加到此列表并将其状态设置为“已启用”,该程序可以在它要求 Windows 防火墙打开的任何端口上接收未经请求的传入消息,即使该端口被其他策略设置阻止也是如此。 如果将此策略设置配置为“已禁用”,将删除组策略定义的程序例外列表。 注意: 如果键入无效的定义字符串,Windows 防火墙会将其添加到列表,但不检查是否有错误。由于不检查输入,您可以添加尚未安装的程序。您也可以为同一程序意外地创建多个范围或状态值相冲突的例外。 Windows 防火墙:允许本地程序例外(域配置文件)表 A.30:域配置文件“允许本地程序例外”设置
“Windows 防火墙:允许本地程序例外”设置允许管理员使用控制面板中的 Windows 防火墙组件定义本地程序例外列表。如果禁用此策略设置,则不允许管理员定义本地程序例外列表,并确保程序例外仅来自组策略。如果将此策略设置为“已启用”,则允许本地管理员使用控制面板定义本地程序例外。 对于企业客户端计算机,某些情况下可能需要客户端调整定义的本地程序例外。这些情况可能包括创建组织的防火墙策略时不被分析的应用程序或需要非标准端口配置的新应用程序。在这些情况下,可能需要选择启用此设置。请记住,受影响的计算机的攻击面将有所增加。 Windows 防火墙:允许远程管理例外(域配置文件)表 A.31:域配置文件“允许远程管理例外”设置
许多组织在其日常操作中利用远程计算机管理。但是,某些攻击会利用远程管理程序通常使用的端口;Windows 防火墙可阻止这些端口。要为远程管理提供灵活性,可使用“Windows 防火墙:允许远程管理例外”。 如果将此设置配置为“已启用”,则计算机可以接收与 TCP 端口 135 和 445 上的远程管理关联的未经请求的传入消息。此策略设置还允许 SVCHOST.EXE 和 LSASS.EXE 接收未经请求的传入消息,并允许宿主的服务打开其他动态分配的端口,范围通常为 1024 至 1034,但是可能为 1024 至 65535 之间的任何端口。如果启用此设置,则需要指定允许这些传入消息的 IP 地址或子网。 如果将此策略设置配置为“已禁用”,Windows 防火墙将阻止所述的任何例外。 本附录建议您根据需要为企业计算机启用此设置,对于高安全性计算机则禁用该设置。您的环境中的计算机应当接受来自尽可能少的计算机的远程管理请求。要最大化 Windows 防火墙提供的保护,请确保仅指定必要的 IP 地址和用于远程管理的计算机子网。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许文件和打印机共享例外(域配置文件)表 A.32:域配置文件“允许文件和打印机共享例外”设置
此设置通过将 Windows 防火墙配置为打开 UDP 端口 137、138 和 TCP 端口 139 和 445 来允许文件和打印机共享。如果启用此策略设置,Windows 防火墙将打开这些端口,这样计算机就可以接收打印作业和访问共享文件的请求。您必须指定允许这些传入消息的 IP 地址或子网。 如果禁用此策略设置,Windows 防火墙将阻止这些端口,并阻止计算机共享文件和打印机。 由于您的环境中运行 Windows XP 的计算机通常不共享文件和打印机,本附录建议在所有环境中将此设置配置为“已禁用”。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许 ICMP 例外(域配置文件)表 A.33:域配置文件“允许 ICMP 例外”设置
“Windows 防火墙:允许 ICMP 例外”设置定义 Windows 防火墙允许的 Internet 控制消息协议 (ICMP) 消息类型的集合。实用程序可以使用 ICMP 消息来确定其他计算机的状态。例如,Ping 使用回显请求消息。 如果将此策略设置设置为“已启用”,您必须指定 Windows 防火墙允许计算机发送或接收的 ICMP 消息类型。当将此策略设置为“已禁用”时,Windows 防火墙将阻止所有未经请求的传入 ICMP 消息类型和列出的传出 ICMP 消息类型。因此,使用阻止的 ICMP 消息的实用程序无法将那些消息发送到计算机或从计算机发送那些消息。 许多攻击者工具利用接受 ICMP 消息类型的计算机,并使用这些消息展开各种攻击。然而,一些应用程序需要某些 ICMP 消息才能正常工作。因此,本附录建议尽可能地将此设置配置为“已禁用”。如果您的环境需要某些 ICMP 消息通过 Windows 防火墙,请使用适当的消息类型配置此设置。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许远程桌面例外(域配置文件)表 A.34:域配置文件“允许远程桌面例外”设置
许多组织在其正常的疑难解答过程或操作中使用远程桌面连接。然而,发生的某些攻击会利用远程桌面通常使用的端口。要为远程管理提供灵活性,可使用“Windows 防火墙:允许远程桌面例外”设置。 启用此设置可将 Windows 防火墙配置为对入站连接打开 TCP 端口 3389。您还必须指定允许这些传入消息的 IP 地址或子网。 如果禁用此策略设置,Windows 防火墙将阻止此端口,并阻止计算机接收远程桌面请求。如果管理员尝试通过将此端口添加到本地端口例外列表来打开此端口,Windows 防火墙将不打开该端口。 某些攻击可以利用打开端口 3389。要维护远程桌面提供的增强管理功能,您应该将此设置配置为“已启用”,并指定用于远程管理的计算机的 IP 地址和子网。您的环境中的计算机应该接受来自尽可能少的计算机的远程桌面请求。 Windows 防火墙:允许 UPnP 框架例外(域配置文件)表 A.35:域配置文件“允许 UPnP 框架例外”设置
“Windows 防火墙:允许 UPnP 框架例外”设置允许计算机接收由网络设备(例如,带有内置防火墙的路由器)发送的未经请求的即插即用消息。要接收这些消息,Windows 防火墙将打开 TCP 端口 2869 和 UDP 端口 1900。 如果启用此策略设置,Windows 防火墙将打开这些端口,以便计算机可以接收即插即用消息。您必须指定允许这些传入消息的 IP 地址或子网。如果禁用此策略设置,Windows 防火墙将阻止这些端口,并阻止计算机接收即插即用消息。 有效地阻止 UPnP 网络通信可减少您的环境中计算机的攻击面。本附录建议您将此设置配置为“已禁用”,除非您的网络上使用 UPnP 设备。 Windows 防火墙:阻止通知(域配置文件)表 A.36:域配置文件“阻止通知”设置
当程序请求 Windows 防火墙将程序添加到程序例外列表时,Windows 防火墙可以向用户显示通知。当程序试图打开一个端口而当前的 Windows 防火墙规则不允许这样做时,会发生这种情况。“Windows 防火墙:阻止通知”设置配置是否向用户显示这些设置。 如果将此策略设置为“已启用”,Windows 防火墙将阻止显示这些通知。如果将其设置为“已禁用”,Windows 防火墙将允许显示这些通知。 通常,在企业或高安全性环境中不允许用户为响应这些消息而添加应用程序和端口。在这种情况下,此消息将通知用户他们没有控制某些内容。在那些情况下,您应该将此选项设置为“已启用”。在用户被配置为允许例外的其他环境中,则应该将此选项设置为“已禁用”。 Windows 防火墙:阻止对多播或广播请求的单播响应(域配置文件)表 A.37:域配置文件阻止单播响应设置
“Windows 防火墙:阻止对多播或广播请求的单播响应”设置阻止计算机接收对其传出多播或广播消息的单播响应。如果启用此策略设置,并且计算机向其他计算机发送多播或广播消息,Windows 防火墙将阻止由其他计算机发送的单播响应。如果禁用此设置,并且此计算机向其他计算机发送多播或广播消息,Windows 防火墙将等待三秒以接收来自其他计算机的单播响应,然后阻止所有以后的响应。 通常,不需要接收对多播或广播消息的单播响应。这些响应可能表示拒绝服务 (DoS) 攻击或尝试探测已知计算机的攻击者。本附录建议将此策略设置配置为“已启用”,以帮助防止这种类型的攻击。 注意:如果单播消息是对计算机发送的动态主机配置协议 (DHCP) 广播消息的响应,此策略设置不起作用。Windows 防火墙总是允许那些 DHCP 单播响应。但是,此策略设置可能干扰检测名称冲突的 NetBIOS 消息。 Windows 防火墙:定义端口例外(域配置文件)表 A.38:域配置文件“定义程序例外”设置
Windows 防火墙端口例外列表应由组策略定义,它允许您集中管理和部署端口例外,并确保本地管理员不创建安全性较差的设置。“Windows 防火墙:定义端口例外”策略设置允许您集中管理这些设置。 如果启用此策略设置,则可查看和更改组策略定义的端口例外列表。要查看和修改端口例外列表,请将该策略设置配置为“已启用”,然后单击“显示”按钮。注意,如果您输入无效的定义字符串,Windows 防火墙会将其添加到列表,而不检查是否有错误,这意味着您可能会意外地为同一端口创建多个其范围或状态值冲突的条目。 如果禁用此策略设置,由组策略定义的端口例外列表将被删除,但其他策略设置可以继续打开或阻止端口。同时,如果存在本地端口例外列表,它会被忽略,除非启用“Windows 防火墙:允许本地端口例外”策略设置。 如果环境中的非标准应用程序需要打开特定端口,则应该考虑部署程序例外。本附录建议只有当无法定义程序例外时才启用此设置并指定端口例外列表。程序例外允许 Windows 防火墙只有当正在运行指定的程序时才接受未经传入的网络通信,端口例外始终会打开指定的端口。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许本地端口例外(域配置文件)表 A.39:域配置文件“允许本地端口例外”设置
“Windows 防火墙:允许本地端口例外”设置允许管理员使用控制面板中的 Windows 防火墙组件定义本地端口例外列表。Windows 防火墙可以使用两个端口例外列表;其他由“Windows 防火墙:定义端口例外”策略设置定义。 如果启用此策略设置,控制面板中的 Windows 防火墙组件允许管理员定义本地端口例外列表。如果禁用此策略设置,控制面板中的 Windows 防火墙组件不允许管理员定义这样的列表。 通常,在企业或高安全性环境中,本地管理员没有被授权覆盖组织策略和建立其自己的端口例外。因此,本附录建议将此选项配置为“已禁用”。 Windows 防火墙\标准配置文件本节中的设置配置 Windows 防火墙标准配置文件。Windows 防火墙可以动态确定计算机是否处于域环境中,并根据确定结果应用特定的防火墙配置。此功能使您能够根据计算机的位置部署单独的防火墙设置。 检测到域环境时,将使用域配置文件。此配置文件通常比域配置文件(假定域环境提供一些基本级别的安全)的限制性更强。当计算机位于不受信任的网络(例如,酒店网络或公用无线访问点)上时,应该使用标准配置文件。这样的环境会带来未知威胁,需要其他安全防范措施。 有关 Windows XP 如何使用网络位置感知 (NLA) 确定所连接的网络种类的详细信息,请参阅 Microsoft 网站上的文章“网络相关组策略设置的网络确定行为”,网址为 http://www.microsoft.com/china/technet/community/columns/cableguy/cg0504.mspx。 使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 管理模板\网络\网络连接\Windows 防火墙\标准配置文件 Windows 防火墙:保护所有网络连接(标准配置文件)表 A.40:域配置文件“保护所有网络连接”设置
“Windows 防火墙:保护所有网络连接”设置打开 Windows 防火墙,该防火墙代替运行 Windows XP SP2 的所有计算机上的 Internet 连接防火墙。由于在所有环境中,所有网络连接均应受防火墙保护,请将此设置配置为“已启用”。 如果此设置配置为“已禁用”,将关闭 Windows 防火墙并忽略 Windows 防火墙的所有其他设置。 注意: 如果启用此策略设置,Windows 防火墙运行并忽略“计算机配置\管理模板\网络\网络连接\禁止使用 DNS 域网络上的 Internet 连接防火墙”策略设置。 Windows 防火墙:不允许例外(标准配置文件)表 A.41:域配置文件“不允许例外”设置
“Windows 防火墙:不允许例外”设置指定 Windows 防火墙阻止所有未经请求的传入消息。此策略设置会覆盖允许此类消息的所有其他 Windows 防火墙策略设置。如果在控制面板的 Windows 防火墙组件中启用此策略设置,“不允许例外”复选框为选中状态并且管理员无法清除它。 注意:此设置可针对外部攻击者提供很强的防御能力,应该被设置为“已启用”,除非您在其他策略设置中设置例外。将此策略设置为“已禁用”允许 Windows 防火墙应用允许未经请求的传入消息的其他策略设置。 Windows 防火墙:定义程序例外(标准配置文件)表 A.42:域配置文件“定义程序例外”设置
某些应用程序可能需要打开并使用 Windows 防火墙通常不允许的网络端口。“Windows 防火墙:定义程序例外”设置允许您查看和更改组策略定义的程序例外列表。 将此策略设置为“已启用”允许您查看和更改程序例外列表。如果将程序添加到此列表并将其状态设置为“已启用”,该程序可以在它要求 Windows 防火墙打开的任何端口上接收未经请求的传入消息,即使该端口被其他策略设置阻止也是如此。 如果将此策略设置配置为“已禁用”,将删除组策略定义的程序例外列表。 注意: 如果键入无效的定义字符串,Windows 防火墙会将其添加到列表,但不检查是否有错误。此功能允许您添加尚未安装的程序,但是应注意您可能会意外为同一端口创建多个其范围或状态值冲突的条目。 Windows 防火墙:允许本地程序例外(标准配置文件)表 A.43:标准配置文件“允许本地程序例外”设置
“Windows 防火墙:允许本地程序例外”设置允许管理员使用控制面板中的 Windows 防火墙组件定义本地程序例外列表。如果禁用此策略设置,则可确保 控制面板中的 Windows 防火墙组件不允许管理员定义这样的列表,并确保程序例外仅来自组策略。如果将此策略设置为“已启用”,则允许本地管理员使用控制面板定义本地程序例外。 Windows 防火墙:允许远程管理例外(标准配置文件)表 A.44:标准配置文件“允许远程管理例外”设置
许多组织在其日常操作中利用远程计算机管理。然而,某些攻击者会利用远程管理程序通常使用的端口。作为响应,Windows 防火墙可以阻止这些端口。要为远程管理提供灵活性,可使用“Windows 防火墙:允许远程管理例外”。 如果将此设置配置为“已启用”,则计算机可以接收与 TCP 端口 135 和 445 上的远程管理关联的未经请求的传入消息。此策略设置还允许 SVCHOST.EXE 和 LSASS.EXE 接收未经请求的传入消息,并允许宿主的服务打开其他动态分配的端口,范围通常为 1024 至 1034,但是可能为 1024 至 65535 之间的任何端口。如果启用此设置,则需要指定允许这些传入消息的 IP 地址或子网。 如果将此策略设置配置为“已禁用”,Windows 防火墙将阻止所述的任何例外。 本附录建议对于标准配置文件中的所有计算机禁用此设置,以避免专门利用 TCP 端口 135 和 445 的已知攻击。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许文件和打印机共享例外(标准配置文件)表 A.45:标准配置文件“允许文件和打印机共享例外”设置
此设置通过将 Windows 防火墙配置为打开 UDP 端口 137、138 和 TCP 端口 139 和 445 来允许文件和打印机共享。如果启用此策略设置,Windows 防火墙将打开这些端口,这样计算机就可以接收打印作业和访问共享文件的请求。您必须指定允许这些传入消息的 IP 地址或子网。 如果禁用此策略设置,Windows 防火墙将阻止这些端口,并阻止计算机共享文件和打印机。 由于您的环境中运行 Windows XP 的计算机通常不共享文件和打印机,本附录建议在所有环境中将此设置配置为“已禁用”。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许 ICMP 例外(标准配置文件)表 A.46:标准配置文件“允许 ICMP 例外”设置
“Windows 防火墙:允许 ICMP 例外”设置定义 Windows 防火墙允许的 Internet 控制消息协议 (ICMP) 消息类型的集合。实用程序可以使用 ICMP 消息来确定其他计算机的状态。例如,Ping 实用程序使用回显请求消息。 如果将此策略设置设置为“已启用”,您必须指定 Windows 防火墙允许计算机发送或接收的 ICMP 消息类型。当将此策略设置为“已禁用”时,Windows 防火墙将阻止所有未经请求的传入 ICMP 消息类型和列出的传出 ICMP 消息类型。因此,使用阻止的 ICMP 消息的实用程序无法将那些消息发送到计算机或从计算机发送那些消息。 许多攻击者工具利用接受 ICMP 消息类型的计算机,并使用这些消息展开各种攻击。然而,一些应用程序需要某些 ICMP 消息才能正常工作。因此,本附录建议尽可能地将此设置配置为“已禁用”。当计算机位于不受信任的网络上时,应将此设置配置为“已禁用”。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许远程桌面例外(标准配置文件)表 A.47:标准配置文件“允许远程桌面例外”设置
许多组织在其正常的疑难解答过程或操作中使用远程桌面连接。然而,发生的某些攻击会利用远程桌面通常使用的端口。要为远程管理提供灵活性,可使用“Windows 防火墙:允许远程桌面例外”设置。 启用此设置可将 Windows 防火墙配置为对入站连接打开 TCP 端口 3389。您还必须指定允许这些传入消息的 IP 地址或子网。 如果禁用此策略设置,Windows 防火墙将阻止此端口,并阻止计算机接收远程桌面请求。如果管理员尝试通过将此端口添加到本地端口例外列表来打开此端口,Windows 防火墙将不打开该端口。 某些攻击可以利用打开端口 3389。要维护远程桌面提供的增强管理功能,您应该将此设置配置为“已启用”,并指定用于远程管理的计算机的 IP 地址和子网。您的环境中的计算机应该接受来自尽可能少的计算机的远程桌面请求。 Windows 防火墙:允许 UPnP 框架例外(标准配置文件)表 A.48:标准配置文件“允许 UPnP 框架例外”设置
“Windows 防火墙:允许 UPnP 框架例外”设置允许计算机接收由网络设备(例如,带有内置防火墙的路由器)发送的未经请求的即插即用消息。要接收这些消息,Windows 防火墙将打开 TCP 端口 2869 和 UDP 端口 1900。 如果启用此策略设置,Windows 防火墙将打开这些端口,以便计算机可以接收即插即用消息。您必须指定允许这些传入消息的 IP 地址或子网。如果禁用此策略设置,Windows 防火墙将阻止这些端口,并阻止计算机接收即插即用消息。 有效地阻止 UPnP 网络通信可减少计算机的攻击面。在不受信任的网络上,此设置应该始终为“已禁用”。 Windows 防火墙:阻止通知(标准配置文件)表 A.49:标准配置文件“阻止通知”设置
当程序请求 Windows 防火墙将程序添加到程序例外列表时,Windows 防火墙可以向用户显示通知。当程序试图打开一个端口而当前的 Windows 防火墙规则不允许这样做时,会发生这种情况。“Windows 防火墙:阻止通知”设置配置是否向用户显示这些设置。 如果将此策略设置为“已启用”,Windows 防火墙将阻止显示这些通知。如果将其设置为“已禁用”,Windows 防火墙将允许显示这些通知。 通常,在企业或高安全性环境中不允许用户为响应这些消息而添加应用程序和端口。在这种情况下,此消息将通知用户他们没有控制某些内容。在那些情况下,您应该将此选项设置为“已启用”。在用户被配置为允许例外的其他环境中,则应该将此选项设置为“已禁用”。 Windows 防火墙:阻止对多播或广播请求的单播响应(标准配置文件)表 A.50:标准配置文件阻止单播响应设置
“Windows 防火墙:阻止对多播或广播请求的单播响应”设置阻止计算机接收对其传出多播或广播消息的单播响应。如果启用此策略设置,并且计算机向其他计算机发送多播或广播消息,Windows 防火墙将阻止由其他计算机发送的单播响应。如果禁用此设置,并且此计算机向其他计算机发送多播或广播消息,Windows 防火墙将等待三秒以接收来自其他计算机的单播响应,然后阻止所有以后的响应。 通常,不需要对多播或广播消息的单播响应。这些响应可能表示拒绝服务 (DoS) 攻击或尝试探测已知计算机的攻击者。本附录建议将此策略设置配置为“已启用”,以帮助防止这种类型的攻击。 注意:如果单播消息是对计算机发送的动态主机配置协议 (DHCP) 广播消息的响应,此策略设置不起作用。Windows 防火墙总是允许那些 DHCP 单播响应。但是,此策略设置可能干扰检测名称冲突的 NetBIOS 消息。 Windows 防火墙:定义端口例外(标准配置文件)表 A.51:标准配置文件“定义端口例外”设置
Windows 防火墙端口例外列表应由组策略定义,它允许您集中管理和部署端口例外,并确保本地管理员不创建安全性较差的设置。“Windows 防火墙:定义端口例外”策略设置允许您集中管理这些设置。 如果启用此策略设置,则可查看和更改组策略定义的端口例外列表。要查看和修改端口例外列表,请将该策略设置配置为“已启用”,然后单击“显示”按钮。注意,如果您输入无效的定义字符串,Windows 防火墙会将其添加到列表,而不检查是否有错误,这意味着您可能会意外地为同一端口创建多个其范围或状态值冲突的条目。 如果禁用此策略设置,由组策略定义的端口例外列表将被删除,但其他策略设置可以继续打开或阻止端口。同时,如果存在本地端口例外列表,它会被忽略,除非启用“Windows 防火墙:允许本地端口例外”策略设置。 如果环境中的非标准应用程序需要打开特定端口,则应该考虑部署程序例外。本附录建议只有当无法定义程序例外时才启用此设置并指定端口例外列表。程序例外允许 Windows 防火墙只有当正在运行指定的程序时才接受未经传入的网络通信,端口例外始终会打开指定的端口。 注意:如果任何策略设置打开 TCP 端口 445,Windows 防火墙将允许入站 ICMP 回显请求消息(如 Ping 实用程序发送的那些消息),即使“Windows 防火墙:允许 ICMP 例外”策略设置将阻止它们。可打开 TCP 端口 445 的策略设置包括“Windows 防火墙:允许文件和打印机共享例外”、“Windows 防火墙:允许远程管理例外”和“Windows 防火墙:定义端口例外”。 Windows 防火墙:允许本地端口例外(标准配置文件)表 A.52:标准配置文件“允许本地端口例外”设置
“Windows 防火墙:允许本地端口例外”设置允许管理员使用控制面板中的 Windows 防火墙组件定义本地端口例外列表。Windows 防火墙可以使用两个端口例外列表;其他由“Windows 防火墙:定义端口例外”策略设置定义。 如果启用此策略设置,控制面板中的 Windows 防火墙组件允许管理员定义本地端口例外列表。如果禁用此策略设置,控制面板中的 Windows 防火墙组件不允许管理员定义这样的列表。 通常,在企业或高安全性环境中,本地管理员没有权限覆盖组织策略和建立其自己的端口例外。因此,本附录建议将此选项配置为“已禁用”。 用户配置设置本附录的其余部分讨论用户配置设置。请通过链接至 OU(包含用户帐户)的 GPO 来应用这些设置。 注意:用户配置设置应用于Microsoft Active Directory 目录服务域中有用户登录的任何客户端。计算机配置设置应用于 Active Directory 中由 GPO 管理的所有客户端,而不管是哪个用户登录到客户端。因此,此部分中的表仅包含针对本指南中定义的企业客户端和高安全性环境的推荐设置。这些设置建议不针对便携式或桌面计算机。 附件管理器使用组策略对象编辑器来配置正确的管理模板。规定的设置可在以下位置找到: 用户配置\管理模板\Windows 组件\附件管理器 文件附件中不保留区域信息表 A.53:不保留区域信息设置
“文件附件中不保留区域信息”策略设置允许您管理 Windows 是否使用有关其来源区域(例如,受限制、Internet、Intranet 或本地)的信息来标记来自 Internet Explorer 或 Outlook Express 的文件附件。此设置要求下载这些文件,NTFS 磁盘分区才能正确运行。如果不保留区域信息,Windows 将无法根据附件来自的区域作出正确的危险评估。 如果将此策略设置为“已启用”,则不使用区域信息标记文件附件。如果将其设置为“已禁用”,则强制 Windows 附件及其区域信息。由于危险附件通常是从不受信任的 Internet Explorer 区域(如 Internet 区域)下载的,本附录建议将此设置配置为“已禁用”,以确保保留每个文件以及尽可能多的安全信息。 隐藏删除区域信息的机制表 A.54:删除区域信息的机制的设置
“隐藏删除区域信息的机制”策略设置允许您通过单击文件的“属性”页中的“取消阻止”按钮或者选择“安全警告”对话框中的复选框来管理用户是否可以从保存的文件附件中删除区域信息。如果删除区域信息,则允许用户打开 Windows 已禁止用户打开的潜在危险的文件附件。 当启用此策略设置时,Windows 将隐藏复选框和“取消阻止”按钮。如果禁用该设置,Windows 将显示复选框和“取消阻止”按钮。由于危险附件通常是从不受信任的 Internet Explorer 区域(如 Internet 区域)下载的,本附录建议将此设置配置为“已启用”,以确保保留每个文件以及尽可能多的安全信息。 注意:要配置是否保存文件以及区域信息,请参阅以前的“文件附件中不保留区域信息”策略设置。 打开附件时通知防病毒程序表 A.55:通知防病毒程序设置
防病毒程序在大多数环境中是必需的,它可针对当前的攻击提供很强的防御能力。“打开附件时通知防病毒程序”策略设置允许您管理通知注册的防病毒程序这一行为。 启用时,此策略设置将 Windows 配置为调用注册的防病毒程序,并让其扫描用户打开的文件附件。如果防病毒扫描失败,则无法打开附件。如果启用此策略设置,当打开文件附件时,Windows 不会调用注册的防病毒程序。 要帮助确保在打开每个文件之前病毒扫描程序对其进行检查,本附录建议在所有环境中将此策略设置为“已启用”。 注意:必须安装经过更新的防病毒程序,此设置才能正常运行。许多更新的防病毒程序使用 SP2 附带的新 API。 总结与 Windows XP SP2 中安全服务的可管理性相关的许多改进允许管理员跨用户和计算机实施更特定的安全设置。本附录说明应该用于提高 SP2 环境中安全性的最重要的设置。本附录并不介绍所有可能的设置,但是指定的设置可能对您的环境有着直接且深远的影响。 记住,SP2 与以前版本的 Windows 差异较大,您的环境中可能出现应用程序兼容性问题。实施所有推荐的设置之前,您应该仔细地对其进行测试。虽然这些设置已经过彻底测试以确保它们可以在指定的环境中工作,但是没有什么可以替代您的特定环境中的测试。
|
本文内容
|
