Active Directory 目录服务为小型企业内的工作站和服务器提供了一种集中管理其安全配置的方法。使用这种服务可以更安全、更轻松地管理工作站环境。

　　本文解释如何集中管理运行 Microsoft Windows XP Service Pack 2 (SP2) 的工作站。这完全依赖于 Active Directory 在工作站上应用组策略对象 (GPO) 来管理安全设置。

　　本文档的目的

　　不同组织有不同的安全需求。不管对于每个客户来讲安全要求有多严格，他们都可以应用本文中讲述的概念来协助管理工作站的安全设置。

　　开始之前

　　您必须以 Domain Admins 组成员的身份登录，才能完成以下过程。

　　注意 如果您无法更改工作站或者服务器，这可能是由于组策略造成的。在这种情况下，需要在组策略级进行更改。

　　若要完成此文档中的任务，使用组策略配置 Windows XP SP2 网络保护技术，请执行以下操作：

　　•应用安全修补程序

　　•更新现有组策略对象 (GPO)

　　•配置安全中心设置

　　•配置 Windows 防火墙设置

　　•配置 Internet Explorer 设置

　　•配置 Internet 通信管理设置

　　•通过 GPUpdate 应用设置

　　应用安全修补程序

　　Microsoft 建议您在所有 Windows 工作站和服务器上应用最新的安全修补程序和 Service Pack。运行修补程序之前最好都先备份整个计算机系统或其中的重要文件。

　　注意 本文中讲述的一些功能以及一些关键的安全功能依赖于某些最新的修补程序/修复程序。如果域控制器不是最新的，则它们可能不具有 GPO 内的 Windows XP SP2 工作站所需的管理模板。如果没有管理模板，新的 SP2 安全功能可能无法使用。

　　管理 Active Directory 中 GPO 的最佳方法是使用 Microsoft 组策略管理控制台 (GPMC)。它的作用等同于 Microsoft 管理控制台 (MMC) 和组策略对象编辑器 (GPOE) 管理单元协同使用。

　　GPMC 也使用组策略对象编辑器来编辑 GPO。

　　1.在 GPMC 内，双击要用新的管理模板更新的 GPO。GPO 将在 GPOE 中打开。

　　2.单击“确定”，然后单击“完成”。此操作将应用新的模板。

　　3.对每个 GPO 重复上述操作。

　　配置组策略对象

　　执行以下过程，在您的环境中配置 GPO。

　　配置安全中心设置

　　可以在受组策略控制的每个工作站上启用安全中心。安装了安全中心后，它可以通知每个工作站用户他们所使用的 Windows 防火墙、防病毒以及自动更新设置的状态。默认情况下，组策略不启用此功能。

　　1.打开 GPMC，双击在每个工作站上实施安全中心要用的 GPO。

　　2.在所选 GPO 内，依次打开“计算机配置”、“管理模板”、“Windows 组件”和“安全中心”。

　　3.双击“启用安全中心(仅域电脑)”。

　　4.启用此设置。

　　5.单击“确定”。

　　配置 Windows 防火墙设置

　　本节介绍 GPO 中的 Windows 防火墙设置以及小型企业环境中的建议设置。

　　1.在所选 GPO 内，依次打开“计算机配置”、“管理模板”、“网络”、“网络连接”、“Windows 防火墙”和“域配置文件”。

　　2.双击每个设置，并按照下表中的信息进行配置。

表1 推荐小型企业使用的 Windows 防火墙设置

　　关于 Internet Explorer 安全设置

　　使用安全策略设置，可以管理可能影响 Internet Explorer 安全的特定情形。大多数情况下都要阻止特定的行为，因此必须确保启用了安全功能。Microsoft 建议使用 Internet Explorer 6，因为它的新功能增加了浏览器的安全性。

　　安全区域

　　Internet Explorer 将网站归类到四个安全区域中，每个安全区域提供不同级别的安全性。这四个安全区域分别是“Internet”、“本地 Intranet”、“受信任的站点”和“受限制的站点”。您可以使用从“高”到“低”的预设安全级别单独配置每个区域。Internet Explorer 还提供为每个安全区域定义一组自定义安全选项的功能。Microsoft 已经为每个区域定义了默认的安全设置。下表提供各个安全区域的说明以及 Microsoft 为每个区域预设的默认安全设置。

　　　　安全区域说明和默认安全设置 src="/saveimage/2008-10/14/200810141626126765.JPG" border=1 twffan="done">

表 2. 安全区域说明和默认安全设置

　　每个安全区域包含超过 30 个设置，可以分别对它们进行修改来增加特定范围的功能。大多数设置提供 3 个选项：启用、禁用或提示用户。Microsoft 建议客户在所有安全区域中限制使用用户提示选项设置的数目。强信息安全策略将限制用户的权限，阻止用户采取可能导致危害安全的行动。安全区域设置应按区域定义和设置，绝不建议对所有区域使用同一套定义。下表提供各安全区域中一些默认设置的“示例”。这些设置和其他设置可以修改，以满足组织的需要。

　　安全区域策略设置 src="/saveimage/2008-10/14/200810141626256546.JPG" border=1 twffan="done">

表 3. 安全区域策略设置

　　ActiveX® 是功能强大的可扩展 Web 开发平台，它丰富了用户的在线体验。许多企业客户在内部行业应用程序中使用 ActiveX 控件，因此必须在 Internet Explorer 中启用 ActiveX。但您的安全标准和可接受的使用策略可能需要为 Internet 区域禁用 ActiveX。禁用 ActiveX 控件(通过组策略或将对安全区域的控制设置为“高”来实现)可能导致网站不能正常运行。Microsoft 建议组织定义策略来解决此问题，并根据业务合理性制定允许访问的策略。

　　ActiveX 是一个值得注意的安全问题，因为它可以在浏览器的控制台中运行命令。建议只允许从受信任的网站运行 ActiveX。

　　隐私/Cookie

　　为了提供更可靠的个性化在线体验，一些网站在您的计算机上以小文本文件的方式存储信息。这些文件被称为 Cookie。Internet Explorer 6 有多种机制来控制使用 Cookie。

　　Cookie 的类型有多种。第一方 cookie 只能由颁发站点读取，其他网站不能读取。另一类 cookie 被称为第三方 cookie，Web 实体用它来记录有关访问者的数据。第三方 cookie 可由多个网站使用。其中包含的数据可能是用户 ID 和密码，也可能是邮政编码。

　　•第一方 cookie。只能由颁发站点读取。

　　•第三方 cookie。可由多个站点读写。

　　用户可能不知道他们可以控制存储在 cookie 中的数据。仅仅是选中了记住帐单地址的复选框，就有可能在第一方或第三方 cookie 中留下不应有的数据。

　　每个组织都应确立自己对于 cookie 的策略。Microsoft 建议至少设置为“中”。此设置可阻止没有简要隐私策略的第三方 cookie，阻止使用个人可标识信息而没有您的隐含许可的第三方 cookie，并限制使用个人可标识信息而没有隐含许可的第一方 cookie。设置为“高”将限制所有 cookie，而其他设置则允许在一定条件下使用它们。设置为“低”允许无条件使用所有 cookie。

　　可以通过添加站点来绕过全局设置。可以向“总是阻止”或“总是允许”添加站点。无论选择严格限制还是宽松一些，您都可以添加站点。组策略不仅可以用来实施 cookie 设置，还可以用来实施站点设置。

　　注意 无法在每个区域中分别控制 Cookie。相关设置将应用于所有四个安全区域

　　弹出窗口阻止程序可阻止大多数不受欢迎的弹出窗口。用户单击链接时打开的弹出窗口不会被阻止。弹出窗口阻止程序可以按区域配置，即在某个区域中阻止站点而在其他区域中允许站点。可以使用组策略在每个区域中应用弹出窗口阻止程序，同时添加一系列允许的站点。

　　弹出窗口很烦人、数量多而且顽固，使浏览器变得难以使用。每次弹出窗口被阻止时，都会在 Internet Explorer 工具栏中显示提示。

　　注意 弹出窗口阻止程序可以对每个区域分别进行控制，但添加允许的站点是作用于全部四个区域的。

　　Internet 程序

　　可以将 Internet Explorer 配置为启动其他程序来发送电子邮件、管理联系人或查看页面源文件。例如，当用户在网页上单击一个电子邮件地址时，Internet Explorer 将打开已定义的电子邮件程序，其中是一个已填好接收地址的新的电子邮件。此功能提供了高效的电子邮件发送方式，无需打开其他程序再手动输入电子邮件地址。不过，增加此项功能也会带来一些潜在的风险。如果在组织标准应用程序中更改了某个关联程序，则用户可能会遇到意外的行为或功能。可以使用组策略来对程序列表中的程序实施设置，以确保不会启动不需要的程序。

　　加载项

　　加载项是用来执行特定功能的小程序，由网页根据需要来加载。工具栏和浏览器帮助程序对象 (BHO) 是其他类型的程序，它们安装附加的按钮和功能以便扩展浏览器内的功能。Microsoft 建议组织定义可接受的工具栏和 BHO 的列表，然后使用组策略来实施这些设置。

　　许多开发人员使用 ActiveX 平台来构造工具，以提高工作效率或增强功能。Microsoft 鼓励开发团体继续提供这些加载项，不过一定要从受信任的来源部署这些加载项。Internet Explorer 6 提供验证码，通过数字签名来验证加载项的真实性。Microsoft 建议组织在 Internet 区域中只允许已签名的加载项。本地 Intranet 区域中的站点可以不需要签署验证码，因为这些加载项很可能是由受信任的内部开发人员开发的。

　　配置 Internet Explorer 6 的组策略

　　Internet Explorer 6 的所有安全功能都可以由组策略来配置和保护。有许多基于 GPO 的安全设置可以用来管理各种 IE 组件，本文档集中讨论四个主要分支(以下过程中的 a、b、c 和 d)。组策略对象编辑器提供有关四个分支下所有设置的具体内容的详细信息。进行设置前，请仔细阅读每项说明并测试所需设置的有效性。

　　1.打开组策略管理控制台。

　　2.创建新的组策略对象 (GPO);例如，Internet Explorer 6。

　　3.Internet Explorer 策略包含在组策略对象编辑器中策略树的以下四个分支中。配置所有四个分支中的每个策略对象，以满足您组织的需要。

　　1.计算机配置、管理模板、Windows 组件、Internet Explorer

　　在此分支中，额外的安全策略锁定超出浏览器本身已有安全设置之外的安全设置。一个更有用的策略是“安全区域: 禁止用户更改策略”。默认情况下，此策略在 GPO 中是禁用的。当启用此策略时，它将阻止用户更改浏览器设置中的任何安全设置。Microsoft 建议将此策略设置为“启用”。组策略如此配置后，即使是本地管理员也无法更改这些设置。还有其他几个策略可以启用，其中有些是安全策略，有些不是。启用这些策略前，请仔细阅读说明。

　　2.计算机配置、管理模板、系统、Internet 通信设置

　　此分支是专门针对 Window XP SP2 的。它包含 20 个新策略，涵盖从 Web 发布功能到多媒体支持的广泛领域。其中一个策略是“关闭 Internet 文件关联服务”，它用于从网站下载内容时阻止浏览器打开与文件扩展名关联的应用程序。此功能类似于操作系统的相关功能，如自动为扩展名为 .txt 的文件打开 Notepad.exe。另一个策略是“关闭通过 HTTP 打印”，此策略旨在限制用户使用 HTTP 通过 Internet/Intranet 进行打印。此策略不会影响用户承载自己的 HTTP 打印机。启用这些策略前，请仔细阅读说明。

　　3.用户配置、Windows 设置、Internet Explorer 维护、安全、程序

　　这两部分包含影响浏览器安全的设置/策略。这两部分包含用户级别的设置，它们各自位于浏览器的安全/隐私设置中。建议使用 Microsoft 的最低默认设置，不过也应根据组织的需要设置这些配置。

　　注意 站点可以添加到除 Internet 之外的所有区域。谨慎选择要添加到“本地 Intranet”、“受信任的站点”和“受限制的站点”区域中的站点，因为它们将应用于与 GPO 链接的所有工作站和服务器。

　　4.用户配置、管理模板、Windows 组件、Internet Explorer

　　此分支包含限制更改浏览器设置的详细设置，但并非完全限制用户进行任何更改。这些设置应用于对诸如控制 Internet 临时文件之类项目的更改和更改主页。此分支包含许多设置选项，Microsoft 建议管理员在生产环境中应用这些设置之前先阅读和测试其效果。

　　4.完成策略编辑器中的设置后，请将新的 GPO 链接到含有工作站和服务器的所有域。

　　5.基于将受此 GPO 影响的组、用户和计算机，为 GPO 配置“安全筛选”。有些策略是针对计算机的，有些策略只适用于用户。

　　GPUpdate 实用程序用于刷新基于 Active Directory 的组策略设置。配置组策略后，可以等待标准刷新周期将这些设置应用到客户端计算机。默认情况下，刷新周期为 90 分钟，随机偏移量为正负 30 分钟。此过程可以使测试策略更快地应用到工作站。

　　若要在两个标准周期之间刷新组策略，请按以下操作步骤使用 GPUpdate 实用程序：

　　1.在 Windows XP SP2 桌面上，单击“开始”，然后单击“运行”。

　　2.在“打开”框中，键入 cmd，然后单击“确定”。此时将显示命令提示符窗口。

　　3.在命令提示符下，键入 GPUpdate，然后单击“确定”。此时将显示以下屏幕快照中的消息：

　　若要关闭命令提示符，请键入 exit，然后按 Enter 键。