第1 章：《Windows XP 安全指南》簡(jiǎn)介

1、Windows XP 安全指南第 1 章：Windows XP 安全指南簡(jiǎn)介更新日期： 2006年07月17日本頁(yè)內(nèi)容 HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA 概述 HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGAA#EGAA HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGA

2、A#EGAA 執(zhí)行摘要 HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA 本指南的目標(biāo)讀者 HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA 本指南討論的范圍 HYPERLINK /zh-cn/library/c

3、c163069.aspx#EDAA#EDAA l EDAA#EDAA HYPERLINK /zh-cn/library/cc163069.aspx#EDAA#EDAA l EDAA#EDAA 本章概述 HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA 下載內(nèi)容 HYPERLINK /zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA HYPERLINK /

4、zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA 樣式約定 HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA 總結(jié)概述歡迎使用Windows XP 安全指南。本指南旨在提供用于對(duì)環(huán)境中特定于 Microsoft Windows XP Professional Service Pack 2 (SP2) 的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估和處理的最佳信息。本指南中的章節(jié)提供

5、有關(guān)如何在盡可能的位置配置 Windows XP 中的增強(qiáng)安全設(shè)置和功能，以消除環(huán)境中識(shí)別的威脅的詳細(xì)信息。本指南主要面向在 WindowsXP 環(huán)境中工作的顧問(wèn)、設(shè)計(jì)人員或系統(tǒng)工程師。Microsoft 工程小組、顧問(wèn)、支持工程師、合作伙伴以及客戶已經(jīng)審查和批準(zhǔn)了本指南中的信息，從而使得該指南具有下列特點(diǎn)：經(jīng)過(guò)證明?；诂F(xiàn)場(chǎng)體驗(yàn)。具有權(quán)威性。提供最佳可用建議。準(zhǔn)確。經(jīng)過(guò)技術(shù)驗(yàn)證和測(cè)試?？刹僮鳌Ｌ峁┻~向成功的步驟。相關(guān)。針對(duì)現(xiàn)實(shí)世界的安全考慮。在各種環(huán)境中實(shí)施 Windows XP Professional、Microsoft Windows Server 2003 和 Windows 200

6、0 的咨詢?nèi)藛T和系統(tǒng)工程師開(kāi)發(fā)了用于確保客戶端計(jì)算機(jī)和服務(wù)器計(jì)算機(jī)安全的最佳做法，本指南詳述了這些最佳做法。本指南還提供了分步安全指導(dǎo)、過(guò)程和建議，幫助您盡可能增強(qiáng)您的組織中運(yùn)行 Windows XP Professional SP2 的計(jì)算機(jī)的安全性。如需更深入了解本文檔中的相關(guān)概念，請(qǐng)參閱“威脅和對(duì)策：Windows Server 2003 和 Windows XP 的安全設(shè)置”、“Microsoft WindowsXP Resource Kit”、“Microsoft WindowsServer 2003 Resource Kit”、“Microsoft Windows Security

7、 Resource Kit”以及 Microsoft TechNet。本指南最初是針對(duì) Windows XP SP1 創(chuàng)建的。此更新版本反映 Windows XP SP2 提供的重要安全增強(qiáng)功能，它是通過(guò)運(yùn)行 Windows XP Professional SP2 的計(jì)算機(jī)進(jìn)行開(kāi)發(fā)和測(cè)試的。除非另行規(guī)定，否則本指南中對(duì)于 Windows XP 的所有引用均是指 Windows XP SP2。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh

8、-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首執(zhí)行摘要無(wú)論環(huán)境如何，強(qiáng)烈建議您認(rèn)真對(duì)待安全問(wèn)題。由于通常沒(méi)有將實(shí)際間接成本考慮在內(nèi)，許多組織錯(cuò)誤地低估了他們的信息技術(shù) (IT) 環(huán)境的價(jià)值。如果對(duì)環(huán)境中的服務(wù)器的攻擊很?chē)?yán)重，則會(huì)對(duì)整個(gè)組織造成極大危害。例如，如果攻擊活動(dòng)迫使公司網(wǎng)站關(guān)閉，從而造成利潤(rùn)或客戶信任度的巨大損失，公司將面臨喪失盈利能力的危險(xiǎn)。評(píng)估安全成本時(shí)，應(yīng)該將與任何攻擊相關(guān)的間接成本以及喪失 IT 功能的成本包括在內(nèi)。通過(guò)與安全相關(guān)的漏洞、風(fēng)險(xiǎn)和暴露分析，您可以了解到

9、，網(wǎng)絡(luò)環(huán)境中所有計(jì)算機(jī)系統(tǒng)都會(huì)面臨在安全性與可用性之間取舍權(quán)衡的問(wèn)題。本指南對(duì) Windows XP SP2 中的主要安全對(duì)策、其解決的漏洞以及每個(gè)對(duì)策實(shí)施的潛在負(fù)面影響（如果有）進(jìn)行了說(shuō)明。此外，本指南還提供了在以下三種常見(jiàn)環(huán)境中加強(qiáng)運(yùn)行 Windows XP SP2 的計(jì)算機(jī)的具體建議：企業(yè)客戶端 (EC)。此環(huán)境中的客戶端計(jì)算機(jī)位于 Active Directory 目錄服務(wù)域中，只需要與運(yùn)行 Windows 2000 或更高版本的 Windows 操作系統(tǒng)的系統(tǒng)通信。獨(dú)立 (SA)。此環(huán)境中的客戶端計(jì)算機(jī)不是 Active Directory 域的成員，可能需要與運(yùn)行 Windows

10、NT 4.0 的系統(tǒng)通信。專(zhuān)用安全 - 限制功能 (SSLF)。由于在此環(huán)境中對(duì)安全性非常關(guān)注，因此功能上和管理上的明顯損失都在可接受之列。例如，軍事和情報(bào)機(jī)構(gòu)的計(jì)算機(jī)在此類(lèi)環(huán)境中運(yùn)行。本指南組織成易于訪問(wèn)的形式，以便您快速找到確定組織中運(yùn)行 Windows XP SP2 的計(jì)算機(jī)的適合設(shè)置所需的信息。雖然本指南主要針對(duì)企業(yè)客戶，但是其中的許多內(nèi)容適合于任何規(guī)模的組織。為了從本資料中獲取最多有價(jià)值的信息，需要閱讀整個(gè)指南。編寫(xiě)本指南的小組希望本指南可以為您提供有用的、信息豐富的和引人入勝的資料。有關(guān)詳細(xì)信息，請(qǐng)參閱附加指南 HYPERLINK /china/technet/security/g

11、uidance/secmod48.mspx 威脅和對(duì)策：Windows Server 2003 和 Windows XP 的安全設(shè)置，該指南可從 /china/technet/security/guidance/secmod48.mspx 下載。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSectio

12、n 返回頁(yè)首本指南的目標(biāo)讀者本指南主要面向在企業(yè)環(huán)境中規(guī)劃應(yīng)用程序或基礎(chǔ)結(jié)構(gòu)開(kāi)發(fā)以及 Windows XP 工作站部署的顧問(wèn)、安全專(zhuān)家、系統(tǒng)結(jié)構(gòu)設(shè)計(jì)人員以及 IT 專(zhuān)業(yè)人員。本指南不面向家庭用戶。本指南是專(zhuān)為從事下列工作的人員而設(shè)計(jì)的：系統(tǒng)結(jié)構(gòu)設(shè)計(jì)人員和規(guī)劃人員，他們負(fù)責(zé)組織中計(jì)算機(jī)體系結(jié)構(gòu)方面的工作。IT 安全專(zhuān)家，他們關(guān)注如何在組織內(nèi)跨計(jì)算平臺(tái)提供安全性。業(yè)務(wù)分析師和業(yè)務(wù)決策者 (BDM)，他們的關(guān)鍵業(yè)務(wù)目標(biāo)和要求需要 IT 桌面計(jì)算機(jī)或便攜式計(jì)算機(jī)的支持。來(lái)自 Microsoft 服務(wù)部門(mén)和合作伙伴的顧問(wèn)，他們需要用于企業(yè)客戶和合作伙伴的知識(shí)傳送工具。技能和準(zhǔn)備對(duì)于負(fù)責(zé)開(kāi)發(fā)、部署并確保企

13、業(yè)中 Windows XP 客戶端計(jì)算機(jī)的安全的管理員或結(jié)構(gòu)設(shè)計(jì)人員，下列知識(shí)和技能是必備條件：擁有 MCSE 2000 或更高證書(shū)，有 2 年以上安全相關(guān)經(jīng)驗(yàn)或同等經(jīng)驗(yàn)。對(duì)公司域和 Active Directory 環(huán)境有深入了解。熟練使用管理工具，包括 MMC、Secedit、Gpupdate 和 Gpresult。有管理組策略的經(jīng)驗(yàn)。有在企業(yè)環(huán)境中部署應(yīng)用程序和客戶端計(jì)算機(jī)的經(jīng)驗(yàn)。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-c

14、n/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首本指南討論的范圍本指南著重介紹如何為運(yùn)行 Windows XP Professional SP2 的桌面計(jì)算機(jī)和便攜式計(jì)算機(jī)創(chuàng)建和維護(hù)安全的環(huán)境。本指南闡述如何確保三種不同環(huán)境安全的不同階段以及針對(duì)每種環(huán)境中部署的桌面計(jì)算機(jī)和便攜式計(jì)算機(jī)的每項(xiàng)設(shè)置的內(nèi)容。信息涵蓋企業(yè)客戶端 (EC) 環(huán)境、獨(dú)立 (SA) 環(huán)境以及專(zhuān)用 - 限制功能 (SSLF) 環(huán)境。不對(duì)未作為本指南一部分專(zhuān)門(mén)推薦的設(shè)置進(jìn)行介紹。有關(guān) WindowsXP 中所有安全設(shè)置的

15、詳盡論述，請(qǐng)參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對(duì)策：Windows Server 2003 和 Windows XP 的安全設(shè)置，網(wǎng)址為 /china/technet/security/guidance/secmod48.mspx。企業(yè)客戶端企業(yè)客戶端 (EC) 環(huán)境包含 Windows 2000 或 Windows Server 2003 Active Directory 域。此環(huán)境中的客戶端計(jì)算機(jī)將通過(guò)應(yīng)用于站點(diǎn)、域和組織單位 (OU) 的組策略進(jìn)行管理。組策略提供集中的方法來(lái)管理環(huán)境中的安

16、全策略。獨(dú)立客戶端環(huán)境獨(dú)立客戶端 (SA) 環(huán)境包括無(wú)法加入到屬于 Windows NT 4.0 域成員的域或計(jì)算機(jī)的客戶端計(jì)算機(jī)。這些客戶端計(jì)算機(jī)必須通過(guò)本地策略設(shè)置進(jìn)行配置。相比基于 ActiveDirectory 的域中的用戶帳戶和策略的管理而言，獨(dú)立計(jì)算機(jī)的管理可能面臨著更大的挑戰(zhàn)。專(zhuān)用安全 限制功能專(zhuān)用安全 限制功能 (SSLF) 環(huán)境為客戶端計(jì)算機(jī)提供高級(jí)安全設(shè)置。當(dāng)應(yīng)用這些安全策略設(shè)置時(shí)，用戶功能可能會(huì)顯著減少，因?yàn)橄拗茷閮H必要任務(wù)所需的那些特定功能。訪問(wèn)權(quán)限則限于已批準(zhǔn)的應(yīng)用程序、服務(wù)和基礎(chǔ)結(jié)構(gòu)環(huán)境。為清楚明了，SSLF 環(huán)境的安全策略設(shè)置僅適用于極少數(shù)組織（例如軍事和情報(bào)結(jié)構(gòu)

17、）的一些系統(tǒng)。這些設(shè)置趨向于通過(guò)可管理性和可用性優(yōu)化安全性；它們應(yīng)該僅用于那些危害可能導(dǎo)致重大財(cái)務(wù)損失或人員傷亡的計(jì)算機(jī)。換言之，SSLF 設(shè)置對(duì)于大多數(shù)組織來(lái)說(shuō)并不是恰當(dāng)?shù)倪x擇。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首本章概述Windows XP SP2 提供迄今為止最可

18、依賴的 Windows 客戶端版本以及改進(jìn)的安全和隱私功能。Windows XP 中已經(jīng)提高了總體安全性，以幫助確保組織在更安全的計(jì)算環(huán)境中工作。Windows XP 安全指南包含七個(gè)章節(jié)，其中二至六章論述創(chuàng)建這種環(huán)境所需的過(guò)程。其中每個(gè)章節(jié)建立在端到端流程的基礎(chǔ)之上，旨在確?；?Windows XP 的計(jì)算機(jī)的安全。第 1 章：Windows XP 安全指南簡(jiǎn)介本章包括本指南的概述以及對(duì)目標(biāo)讀者、本指南中討論的問(wèn)題和本指南的總體目標(biāo)的說(shuō)明。第 2 章：配置 Active Directory 域基礎(chǔ)結(jié)構(gòu)您可以使用組策略來(lái)管理 Windows Server 2003 和 Windows 200

19、0 域中的用戶和計(jì)算機(jī)環(huán)境。它是確保 Windows XP 安全的重要工具，可以用來(lái)從中央位置在整個(gè)網(wǎng)絡(luò)中應(yīng)用和維護(hù)一致安全策略。本章論述將組策略應(yīng)用于 Windows XP 客戶端計(jì)算機(jī)之前必須在域中執(zhí)行的基本步驟。組策略設(shè)置存儲(chǔ)在域控制器上的組策略對(duì)象 (GPO) 中。GPO 鏈接到 Active Directory 結(jié)構(gòu)中的站點(diǎn)、域和 OU。由于組策略與 Active Directory 緊密集成，在實(shí)現(xiàn)組策略之前有必要對(duì) Active Directory 結(jié)構(gòu)和安全含義進(jìn)行基本的了解。第 3 章：Windows XP 客戶端安全設(shè)置本章描述可以在 Windows 2000 或 Wind

20、ows Server 2003 Active Directory 域中通過(guò)組策略設(shè)置的 Windows XP 客戶端計(jì)算機(jī)的安全設(shè)置。并沒(méi)有為所有可用設(shè)置提供指導(dǎo)，而只是為那些幫助避免環(huán)境遭受最新威脅的設(shè)置提供了指導(dǎo)。該指導(dǎo)還允許用戶繼續(xù)在他們的計(jì)算機(jī)上執(zhí)行正常作業(yè)功能。配置的設(shè)置應(yīng)基于組織的安全目標(biāo)。第 4 章：Windows XP 管理模板本章討論可以使用管理模板添加到 Windows XP 中的設(shè)置。管理模板是可用來(lái)配置基于注冊(cè)表的設(shè)置的 Unicode 文件，這些設(shè)置控制許多服務(wù)、應(yīng)用程序和操作系統(tǒng)組件的行為。許多管理模板可以與 Windows XP 一起使用，它們包含數(shù)百個(gè)設(shè)置。第

21、5 章：確保獨(dú)立 Windows XP 客戶端的安全雖然本指南大部分重點(diǎn)介紹企業(yè)客戶端 (EC) 和專(zhuān)用安全 限制功能 (SSLF) 環(huán)境，但是本章還討論了獨(dú)立 Windows XP 客戶端計(jì)算機(jī)的配置。Microsoft 建議在 Active Directory 域基礎(chǔ)結(jié)構(gòu)中部署 Windows XP，同時(shí)認(rèn)識(shí)到不能夠總是這樣做。本章提供有關(guān)如何將建議配置應(yīng)用到不是 Windows 2000 或 Windows Server 2003 域成員的 Windows XP SP2 客戶端計(jì)算機(jī)的指導(dǎo)。第 6 章：Windows XP 客戶端的軟件限制策略本章提供軟件限制策略的基本概述，該軟件限制策

22、略向管理員提供一套策略驅(qū)動(dòng)機(jī)制，用于標(biāo)識(shí)和限制可以在其域中運(yùn)行的軟件。管理員可以使用軟件限制策略阻止不想要的程序運(yùn)行，并防止病毒、特洛伊木馬或其他惡意代碼傳播。軟件限制策略與 Active Directory 和組策略完全集成；如果僅應(yīng)用于本地計(jì)算機(jī)，它們也可以用于沒(méi)有 Windows Server 2003 域基礎(chǔ)結(jié)構(gòu)的環(huán)境。第 7 章：結(jié)論最后一章簡(jiǎn)要回顧前幾章中論述的內(nèi)容的要點(diǎn)。附錄 A：需要考慮的關(guān)鍵設(shè)置雖然本指南論述了許多安全對(duì)策和安全設(shè)置，了解少量安全對(duì)策和安全設(shè)置尤其重要。本附錄論述會(huì)對(duì)運(yùn)行 Windows XP SP2 的計(jì)算機(jī)的安全產(chǎn)生最大影響的設(shè)置。附錄 B：測(cè)試Windo

23、ws XP 安全指南本附錄闡述如何在實(shí)驗(yàn)室環(huán)境中測(cè)試Windows XP 安全指南以確保指導(dǎo)按預(yù)期工作。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首下載內(nèi)容本指南附帶了安全模板、腳本和其他文件的集合，以便于組織輕松評(píng)估、測(cè)試和實(shí)施建議的對(duì)策。安全模板是可以通過(guò) Microsof

24、t 管理控制臺(tái) (MMC) 安全配置和分析管理單元導(dǎo)入到基于域的組策略或本地應(yīng)用的文本文件。第 2 章“配置 ActiveDirectory 域基礎(chǔ)結(jié)構(gòu)”中詳細(xì)描述了如何完成這些任務(wù)的過(guò)程。您可以使用本指南附帶的腳本來(lái)在獨(dú)立工作站上實(shí)施建議的對(duì)策。下載內(nèi)容還包括 Microsoft Excel 工作簿“WindowsXP Security Guide Settings”，其說(shuō)明每個(gè)安全模板中包含的設(shè)置。本指南附帶的文件統(tǒng)稱(chēng)為工具和模板。這些文件包括在包含本指南的自解壓縮 WinZip 壓縮文件中的 .msi 文件中。該指南可從 Microsoft 下載中心獲取，網(wǎng)址為 /fwlink/?Lin

25、kId=14840。執(zhí)行 .msi 文件時(shí)，系統(tǒng)將在指定位置創(chuàng)建下列文件夾結(jié)構(gòu)：Windows XP 安全指南工具和模板安全模板。此文件夾包含本指南第 2 章和第 3 章中論述的所有安全模板。它還包含匯總本指南中所有建議的 Excel 電子表格。Windows XP 安全指南工具和模板SCE 更新。此文件夾包含用于按照本指南第 3 章所述自動(dòng)更新安全配置編輯器用戶界面的腳本和數(shù)據(jù)文件。Windows XP 安全指南工具和模板獨(dú)立客戶端。此文件夾包含用于強(qiáng)化獨(dú)立計(jì)算機(jī)的所有示例腳本和模板，將在指南的第 5 章中進(jìn)行論述。Windows XP 安全指南工具和模板測(cè)試工具。此文件夾包含與“附錄 B：

26、測(cè)試Windows XP 安全指南”相關(guān)的工具。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首樣式約定本指南使用以下樣式約定。表 1.1 樣式約定元素含義粗體表示完全按顯示鍵入的字符，包括命令、交換機(jī)和文件名。用戶界面元素也以粗體顯示。斜體書(shū)籍和其他大量出版物的標(biāo)題以斜體顯示。以

27、斜體和尖括號(hào)設(shè)置的占位符（例如）表示變量。固定寬度字體定義代碼和腳本示例。注意提醒讀者閱讀補(bǔ)充信息。重要提醒讀者閱讀必要的補(bǔ)充信息。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁(yè)首總結(jié)本章介紹WindowsXP 安全指南并匯總指南的各個(gè)章節(jié)。在您了解本指南的組織形式之后，就可以開(kāi)始

28、充分利用 Windows XP SP2 中內(nèi)置的關(guān)鍵安全選項(xiàng)了。有效、成功的安全操作需要本指南中論述的所有方面的努力，不能單靠一方面的提高。因此，強(qiáng)烈建議作為更廣泛縱深防御安全體系結(jié)構(gòu)的一部分實(shí)施本指南中適合您的組織的所有建議。更多信息以下鏈接提供有關(guān) Windows XP Professional 安全相關(guān)主題的附加信息。有關(guān)可以在 Microsoft WindowsXP 上進(jìn)行配置的安全設(shè)置的詳細(xì)信息，請(qǐng)參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對(duì)策：Windows Server 2003 和 Wi

29、ndows XP 的安全設(shè)置，網(wǎng)址為 /china/technet/security/guidance/secmod48.mspx。有關(guān)如何按照本指南所述的方式在服務(wù)器上實(shí)施安全的信息，請(qǐng)參閱 HYPERLINK /china/technet/security/guidance/secmod117.mspx Windows Server 2003 安全指南。本指南中的建議設(shè)計(jì)為應(yīng)用于需要支持 Windows XP 客戶端計(jì)算機(jī)的服務(wù)器，這些客戶端計(jì)算機(jī)是按照其余章節(jié)所述進(jìn)行配置的?？蓮?/china/technet/security/guidance/secmod117.mspx 獲取。有關(guān)如何在組織中更有效地實(shí)施安全風(fēng)險(xiǎn)管理的信息，請(qǐng)參閱 HYPERLINK /china/technet/security/guidance/secrisk/srsgch01.mspx 安全風(fēng)險(xiǎn)管理指南，網(wǎng)址為 /ch