如何在活動(dòng)目錄環(huán)境下配置 Windows XP SP2 網(wǎng)絡(luò)保護(hù)技術(shù)

1、.：.；如何在活動(dòng)目錄環(huán)境下配置 Windows XP SP2 網(wǎng)絡(luò)維護(hù)技術(shù)目錄簡(jiǎn)介 開場(chǎng)之前 在管理任務(wù)站和 Windows Small Business Server 2003 上添加修補(bǔ)程序 更新現(xiàn)有的組戰(zhàn)略對(duì)象 配置平安中心設(shè)置 配置 Windows 防火墻設(shè)置 配置 Internet Explorer 平安設(shè)置 配置 Internet 通訊管理設(shè)置 配置 DCOM 訪問設(shè)置 配置 RPC 設(shè)置 相關(guān)信息 簡(jiǎn)介組戰(zhàn)略設(shè)置基于您的 Microsoft Active Directory 組織實(shí)施而運(yùn)用，有助于經(jīng)過各類用戶和計(jì)算機(jī)內(nèi)的規(guī)范配置設(shè)置來維護(hù)您的計(jì)算機(jī)環(huán)境。 用于 Microsof

2、t Windows XP Service Pack 2 (SP2) 的新組戰(zhàn)略網(wǎng)絡(luò)維護(hù)設(shè)置包括：Windows 防火墻。 配置這些戰(zhàn)略設(shè)置以翻開或封鎖防火墻、管理程序和端口例外并為特定方案定義例外，例如允許在目的計(jì)算機(jī)上進(jìn)展遠(yuǎn)程管理。 Internet Explorer。 經(jīng)過這些新的戰(zhàn)略設(shè)置，您可以配置 Microsoft Internet Explorer 平安設(shè)置。 此外，經(jīng)過戰(zhàn)略設(shè)置，您還可以為不同的過程啟用或禁用 Internet Explorer 平安功能。 Internet 通訊管理。 您可以配置這些設(shè)置以控制不同組件如何在 Windows XP SP2 上經(jīng)過 Internet

3、 進(jìn)展通訊，以便執(zhí)行涉及到組織和 Internet 內(nèi)的計(jì)算機(jī)之間信息交換的義務(wù)。DCOM 平安。 經(jīng)過配置這些設(shè)置，可以控制分布式組件對(duì)象模型 (DCOM) 的平安設(shè)置。 DCOM 根底構(gòu)造包括新的訪問控制限制，有助于盡量減少網(wǎng)絡(luò)攻擊所帶來的平安風(fēng)險(xiǎn)。 平安中心。 經(jīng)過配置這些設(shè)置，可以集中管理 Windows 平安中心。 平安中心是 Windows XP SP2 中的新功能，允許您監(jiān)視組織內(nèi)的計(jì)算機(jī)以確保它們得到最新的平安更新，并在計(jì)算機(jī)遭遇平安風(fēng)險(xiǎn)時(shí)提供用戶警報(bào)。遠(yuǎn)程過程調(diào)用 (RPC)。 您可以配置 RPC 戰(zhàn)略設(shè)置以阻止對(duì)系統(tǒng)上的 RPC 接口的遠(yuǎn)程匿名訪問，并防止對(duì) RPC 終點(diǎn)映

4、射程序接口的匿名訪問。本文檔解釋了如何部署網(wǎng)絡(luò)維護(hù)組戰(zhàn)略設(shè)置，以協(xié)助 維護(hù) Windows XP SP2 客戶計(jì)算機(jī)。 有關(guān)引薦設(shè)置的完好列表，請(qǐng)參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35465 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2您可以在活動(dòng)目錄域中執(zhí)行關(guān)于組戰(zhàn)略對(duì)象 (GPO) 的義務(wù)。 其中一些義務(wù)可以經(jīng)過域控制器來運(yùn)轉(zhuǎn)，但是通常都在包含活動(dòng)目錄管理工具的 Windows

5、 XP SP2 客戶計(jì)算機(jī)上執(zhí)行。 注： 有關(guān)如何部署 GPO 的更多信息，請(qǐng)參閱下面的資源： Microsoft Windows Server System 網(wǎng)站 go.microsoft/fwlink/?linkid=35498 上的“Designing a Managed Environment: Staging Group Policy Deployments要在活動(dòng)目錄環(huán)境下配置網(wǎng)絡(luò)維護(hù)，請(qǐng)配置以下義務(wù)： 在管理任務(wù)站上添加修補(bǔ)程序更新現(xiàn)有的 GPO配置平安中心設(shè)置配置 Windows 防火墻設(shè)置配置 Internet Explorer 設(shè)置配置 Internet 通訊管理設(shè)置配置

6、DCOM 平安設(shè)置配置 RPC 設(shè)置重要： 安裝操作系統(tǒng)時(shí)，運(yùn)用默許出現(xiàn)的“開場(chǎng)菜單，便可獲得本文檔中的步驟闡明。 假設(shè)修正了“開場(chǎng)菜單，操作步驟會(huì)略有不同。有關(guān)平安相關(guān)術(shù)語的定義，請(qǐng)參閱下面的資源：Microsoft 網(wǎng)站 go.microsoft/fwlink/?LinkId=35468 上的“Microsoft Security Glossary開場(chǎng)之前在運(yùn)用運(yùn)轉(zhuǎn)以下任何產(chǎn)品版本的域控制器的活動(dòng)目錄域中，Windows XP SP2 可以用作 Windows 域客戶端：Microsoft Windows Server 2003Microsoft Windows Small Busines

7、s Server 2003 Microsoft Windows 2000 Server SP3 或更高版本 安裝修補(bǔ)程序之前，請(qǐng)確保您已備份了計(jì)算機(jī)，包括注冊(cè)表的備份。有關(guān)如何備份注冊(cè)表的更多信息，請(qǐng)參閱下面的資源：Microsoft 協(xié)助 和支持網(wǎng)站 go.microsoft/fwlink/?linkid=36365 上的 Microsoft 知識(shí)庫文章 322756在管理任務(wù)站和 Windows Small Business Server 2003 上添加修補(bǔ)程序假設(shè)您在運(yùn)轉(zhuǎn)較早版本操作系統(tǒng)或 Service Pack例如附帶 SP1 的 Windows XP 或 Windows Serv

8、er 2003的計(jì)算機(jī)上管理組戰(zhàn)略對(duì)象設(shè)置，那么必需安裝修補(bǔ)程序 (KB842933)，以使戰(zhàn)略設(shè)置正確地顯示在“組戰(zhàn)略對(duì)象編輯器中。假設(shè)您運(yùn)用 Small Business Server 2003 (SBS 2003)，那么必需運(yùn)用附加修補(bǔ)程序 (KB872769)，由于 SBS 2003 會(huì)默許封鎖 Windows 防火墻。 修補(bǔ)程序可以處理此問題。注：列出的修補(bǔ)程序并不是 Windows 更新的一部分，您必需單獨(dú)安裝它們。 修補(bǔ)程序必需單獨(dú)運(yùn)用于一切受影響的系統(tǒng)。KB842933 適用于：Microsoft Windows Server 2003, Web Edition Microso

9、ft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Windows XP Professional SP1 Microsoft Windows Small Business Server 2003, Premium Edition Microsoft Windows Small Business Server 2003, Standa

10、rd Edition Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Server Microsoft Windows 2000 ProfessionalKB872769 適用于：Microsoft Windows Small Business Server 2003, Standard Edition Microsoft Windows Small Business Server 2003, Premium Edition 注：要獲得這些修補(bǔ)程序并了解更多信息，請(qǐng)參閱下面的資源： Microsoft 協(xié)助 和支持網(wǎng)站

11、 go.microsoft/fwlink/?linkid=35474 上的 Microsoft 知識(shí)庫文章 842933Microsoft 協(xié)助 和支持網(wǎng)站 go.microsoft/fwlink/?linkid=35477 上的 Microsoft 知識(shí)庫文章 872769執(zhí)行此義務(wù)的要求憑據(jù)：您必需作為域管理員平安組或本地管理員平安組的成員登錄到客戶計(jì)算機(jī)。工具：按照知識(shí)庫文章 842933 和 872769 中的解釋，正確下載適用于您的操作系統(tǒng)的修補(bǔ)程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、

12、Windows XP SP1 或 Windows Server 2003 上添加修補(bǔ)程序 842933添加修補(bǔ)程序在 Windows 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵入已下載修補(bǔ)程序的途徑和文件名，然后單擊“確定。在“歡迎運(yùn)用 KB842933 安裝導(dǎo)游頁面上，單擊“下一步。在“答應(yīng)協(xié)議頁面中，單擊“我贊同，然后單擊“下一步。在“完成 KB842933 安裝導(dǎo)游頁面上單擊“完成，以便完成修補(bǔ)程序安裝并重新啟動(dòng)計(jì)算機(jī)。為適用的一切系統(tǒng)效力器和管理任務(wù)站反復(fù)以上步驟。在 Windows Small Business Server 2003 上添加修補(bǔ)程序 872769添加修補(bǔ)程序在 Windows

13、 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵入已下載 872769 修補(bǔ)程序的途徑和文件名，然后單擊“確定。在“歡迎運(yùn)用 KB872769 安裝導(dǎo)游頁面上，單擊“下一步。在“答應(yīng)協(xié)議頁面中，單擊“我贊同，然后單擊“下一步。“完成 KB872769 安裝導(dǎo)游頁面上單擊“完成，以便完成修補(bǔ)程序安裝并重新啟動(dòng)計(jì)算機(jī)。更新現(xiàn)有的組戰(zhàn)略對(duì)象Windows XP SP2 將在管理模板中添加附加設(shè)置。 要配置這些新設(shè)置，每個(gè) GPO 都必需運(yùn)用在 Windows XP SP2 中找到的新管理模板進(jìn)展更新。 除非更新組戰(zhàn)略對(duì)象，否那么將不能運(yùn)用與 Windows 防火墻相關(guān)的設(shè)置。 假設(shè)安裝 Windows XP SP

14、2 的計(jì)算機(jī)上安裝了組戰(zhàn)略對(duì)象編輯器管理單元，那么可以運(yùn)用 Microsoft 管理控制臺(tái) (MMC) 來更新 GPO。更新 GPO 之后，您可以針對(duì)本人運(yùn)轉(zhuǎn) Windows XP SP2 的計(jì)算機(jī)來配置適當(dāng)?shù)木W(wǎng)絡(luò)維護(hù)設(shè)置。執(zhí)行此義務(wù)的要求憑據(jù)：假設(shè) Windows XP SP2 計(jì)算機(jī)是活動(dòng)目錄域客戶端，那么必需作為域管理員或組戰(zhàn)略 Creator/Owner 平安組的成員登錄。工具：已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 Microsoft 管理控制臺(tái) (MMC)。更新組戰(zhàn)略對(duì)象更新組戰(zhàn)略對(duì)象在 Windows XP SP2 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵入 mmc，然后單擊“確定。在“文件菜

15、單上，單擊“添加/刪除管理單元。 在“獨(dú)立選項(xiàng)卡上，單擊“添加。 在“可用的獨(dú)立管理單元列表中單擊“組戰(zhàn)略對(duì)象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對(duì)象對(duì)話框中，單擊“閱讀。圖 1 閱讀組戰(zhàn)略對(duì)象在“閱讀組戰(zhàn)略對(duì)象對(duì)話框中，選擇您要運(yùn)用新的 Windows 防火墻設(shè)置來更新的組戰(zhàn)略對(duì)象。 單擊“確定，然后單擊“完成以封鎖組戰(zhàn)略導(dǎo)游。 此操作會(huì)將新的管理模板運(yùn)用于選定的 GPO。在“添加獨(dú)立管理單元對(duì)話框中，單擊“封鎖。在“添加/刪除管理單元對(duì)話框中，單擊“確定。封鎖 MMC，單擊“文件并退出，不保管對(duì)控制設(shè)置所作的更改。注：雖然您不保管控制臺(tái)更改，以上過程也會(huì)未 Windows XP SP2

16、 的新管理模板導(dǎo)入到 GPO 中。 模板必需導(dǎo)入每個(gè)已定義的 GPO 中。 對(duì)要用于將組戰(zhàn)略運(yùn)用到安裝 Windows XP SP2 的計(jì)算機(jī)的每個(gè) GPO 反復(fù)這些步驟。注： 要為運(yùn)用活動(dòng)目錄和 Windows XP SP1 的網(wǎng)絡(luò)環(huán)境更新您的 GPO，Microsoft 建議您運(yùn)用可免費(fèi)下載的組戰(zhàn)略管理控制臺(tái)。 有關(guān)更多信息，請(qǐng)參閱下面的資源：Microsoft Windows Server System 網(wǎng)站 go.microsoft/fwlink/?linkID=35479 上的“Enterprise Management with the Group Policy Managemen

17、t Console配置平安中心設(shè)置平安中心是 Windows XP SP2 中的一項(xiàng)新效力，它提供的中央位置可用于更改平安設(shè)置、詳細(xì)了解平安性，并確保用戶的計(jì)算機(jī)具有 Microsoft 引薦的最新主要平安設(shè)置。 在 Windows 域環(huán)境中，您可以運(yùn)用組戰(zhàn)略來允許平安中心監(jiān)視用戶的計(jì)算機(jī)，從而有助于確保它們具有最新的平安更新，并在用戶的計(jì)算機(jī)能夠遭遇風(fēng)險(xiǎn)時(shí)通知他們。 安裝中心效力將作為后臺(tái)進(jìn)程運(yùn)轉(zhuǎn)，并在用戶的計(jì)算機(jī)上檢查以下組件的形狀： 防火墻。 平安中心將檢查 Windows 防火墻是已翻開還是封鎖，同時(shí)檢查能否存在其它一些軟件防火墻。 為檢查其它防火墻，平安中心將查詢特定 Windows

18、 管理規(guī)范 (WMI) 提供程序，它們已由參與的供應(yīng)商提供。病毒維護(hù)。 平安中心將檢查能否存在防病毒軟件。 為檢查能否存在防病毒軟件，平安中心將查詢由參與的供應(yīng)商提供的特定 WMI 提供程序。 假設(shè)提供了信息，平安中心效力還將確定軟件是不是最新版本以及能否翻開了實(shí)時(shí)掃描。 自動(dòng)更新。 平安中心將檢查并確保自動(dòng)更新已設(shè)置為引薦的設(shè)置，該設(shè)置將為用戶的計(jì)算機(jī)自動(dòng)下載并安裝重要更新。 假設(shè)自動(dòng)更新已封鎖或未設(shè)置為引薦的設(shè)置，平安中心將提供適當(dāng)?shù)慕ㄗh。假設(shè)發(fā)現(xiàn)組件短少或不符合您的平安戰(zhàn)略，平安中心將在工具欄的通知區(qū)域中顯示紅色圖標(biāo)或在登錄時(shí)提供警告信息以向您發(fā)出警告。 此信息包含用于翻開平安中心用戶界

19、面的鏈接，它提供了關(guān)于問題以及修復(fù)建議的信息。假設(shè)您運(yùn)轉(zhuǎn)的防火墻或防病毒軟件包件未被平安中心檢測(cè)到，那么可以將平安中心設(shè)置為繞過該組件的警告。對(duì)于 Windows 域中的計(jì)算機(jī)，您可以運(yùn)用組戰(zhàn)略設(shè)置來集中管理平安中心功能。 假設(shè)您啟用“翻開平安中心僅限域 PC戰(zhàn)略設(shè)置，平安中心將監(jiān)視主要平安設(shè)置防火墻、防病毒軟件和自動(dòng)更新，并且在用戶的計(jì)算機(jī)遭遇風(fēng)險(xiǎn)時(shí)通知他們。 在默許情況下，“翻開平安中心僅限域 PC戰(zhàn)略設(shè)置將不會(huì)啟用，這意味著它將在平安中心封鎖時(shí)封鎖，通知和平安中心形狀部分都不會(huì)顯示。 執(zhí)行此義務(wù)的要求憑據(jù)：假設(shè) Windows XP SP2 計(jì)算機(jī)是活動(dòng)目錄域客戶端，那么必需作為域管理員

20、平安組成員登錄，并翻開“組戰(zhàn)略對(duì)象。工具：已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 Microsoft 管理控制臺(tái) (MMC)。配置平安中心設(shè)置假設(shè)運(yùn)用此設(shè)置，那么允許運(yùn)轉(zhuǎn) Windows XP SP2 的計(jì)算機(jī)的用戶運(yùn)用平安中心來發(fā)布關(guān)于防火墻、防病毒軟件包件和自動(dòng)更新的警告。 配置平安中心設(shè)置在 Windows XP SP2 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨(dú)立選項(xiàng)卡上，單擊“添加。 在“可用的獨(dú)立管理單元列表中找到并單擊“組戰(zhàn)略對(duì)象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對(duì)象對(duì)話框中，單擊“閱讀。從列表中選擇您要配置的組

21、戰(zhàn)略對(duì)象。 單擊“確定，然后單擊“完成以封鎖組戰(zhàn)略導(dǎo)游。單擊“封鎖以退出“添加獨(dú)立管理單元對(duì)話框，然后單擊“確定以退出“添加/刪除管理單元對(duì)話框并前往管理控制臺(tái)。在控制臺(tái)樹中翻開“計(jì)算機(jī)配置、“管理模板、“Windows 組件，然后翻開“平安中心。圖 2 平安中心設(shè)置雙擊“啟用平安中心僅域電腦，單擊“已啟用，然后單擊“確定。 運(yùn)用 GPUpdate 運(yùn)用配置GPUpdate 適用工具將刷新基于活動(dòng)目錄的組戰(zhàn)略設(shè)置，包括平安設(shè)置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設(shè)置運(yùn)用于客戶計(jì)算機(jī)。 默許情況下的刷新周期為 90 分鐘，動(dòng)態(tài)偏向?yàn)?+ 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請(qǐng)

22、運(yùn)用 GPUpdate 適用工具。驗(yàn)證平安中心設(shè)置能否已運(yùn)用驗(yàn)證平安中心設(shè)置能否已運(yùn)用在 Windows XP 桌面上單擊“開場(chǎng)，然后單擊“控制面板。在“選擇一個(gè)類別下單擊“平安中心。驗(yàn)證平安中心能否已啟動(dòng)。注：假設(shè)配置設(shè)置未運(yùn)用，您必需排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)。 要排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)，請(qǐng)參閱下面的資源： Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Windows 防火墻設(shè)置有三套 Windows 防火墻設(shè)置需求配置：

23、 允許經(jīng)過驗(yàn)證的 IPSec 旁路。 此設(shè)置在組織運(yùn)用 Internet 協(xié)議平安 (IPSec) 時(shí)運(yùn)用，用于維護(hù)通訊量并啟用 Windows 防火墻。域配置文件。 假設(shè)計(jì)算機(jī)銜接至某個(gè)網(wǎng)絡(luò)，而該網(wǎng)絡(luò)中包含的域控制器同樣用于這些計(jì)算機(jī)所屬的域，那么會(huì)運(yùn)用這些設(shè)置。規(guī)范配置文件。 假設(shè)計(jì)算機(jī)未銜接至您的網(wǎng)絡(luò)例如在您攜帶膝上型計(jì)算機(jī)時(shí)，那么會(huì)運(yùn)用這些設(shè)置。假設(shè)您不配置規(guī)范配置文件設(shè)置，那么默許值將保管不變。 Microsoft 建議您同時(shí)配置域和規(guī)范配置文件設(shè)置，并且為兩個(gè)配置文件都啟用 Windows 防火墻。 獨(dú)一的例外是您預(yù)備運(yùn)用第三方主機(jī)防火墻產(chǎn)品。假設(shè)您預(yù)備運(yùn)用第三方主機(jī)防火墻產(chǎn)品，那

24、么 Microsoft 建議您禁用 Windows 防火墻。 假設(shè)您決議在整個(gè)組織網(wǎng)絡(luò)中禁用 Windows 防火墻，并且網(wǎng)絡(luò)中混合包含運(yùn)轉(zhuǎn)未安裝 Service Pack 的 Windows XP SP2、Windows XP SP1 和 Windows XP 的計(jì)算機(jī)，那么應(yīng)該配置這些組戰(zhàn)略設(shè)置：“制止在 DNS 域網(wǎng)絡(luò)上運(yùn)用 Internet 銜接防火墻設(shè)置為“已啟用“域配置文件 Windows 防火墻：維護(hù)一切網(wǎng)絡(luò)銜接設(shè)置為“已禁用“規(guī)范配置文件 Windows 防火墻：維護(hù)一切網(wǎng)絡(luò)銜接設(shè)置為“已禁用注：此規(guī)范配置文件設(shè)置將確保未運(yùn)用 Windows 防火墻，而無論計(jì)算機(jī)能否銜接至您的

25、組織網(wǎng)絡(luò)。 為確保 Windows 防火墻未在您的組織網(wǎng)絡(luò)上運(yùn)用，但是計(jì)算機(jī)未銜接至網(wǎng)絡(luò)時(shí)運(yùn)用，那么將此設(shè)置更改為“已啟用。規(guī)范配置文件設(shè)置比域配置文件更受限制，由于規(guī)范配置文件設(shè)置不包括僅在受管理域環(huán)境中運(yùn)用的運(yùn)用程序和效力。在 GPO 中，域配置文件和規(guī)范配置文件都包含一樣的 Windows 防火墻設(shè)置集。 Windows XP SP2 依托網(wǎng)絡(luò)確定來運(yùn)用正確的配置文件。 注：有關(guān)網(wǎng)絡(luò)確定的更多信息，請(qǐng)參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35480 上的“Network Determination Behavio

26、r for Network-Related Group Policy Settings本節(jié)引見了 GPO 中能夠運(yùn)用的 Windows 防火墻設(shè)置以及企業(yè)環(huán)境的引薦設(shè)置，并演示了如何啟用四種類型的設(shè)置。執(zhí)行此義務(wù)的要求憑據(jù)：假設(shè) Windows XP SP2 計(jì)算機(jī)是活動(dòng)目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開您在前面義務(wù)中個(gè)修正的“組戰(zhàn)略對(duì)象。工具：已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 Microsoft 管理控制臺(tái) (MMC)。注：要翻開 GPO，請(qǐng)運(yùn)用已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 MMC，或者運(yùn)用“Active Directory 用戶和計(jì)算機(jī)控制臺(tái)。 要在 Window

27、s XP 客戶計(jì)算機(jī)上運(yùn)用“Active Directory 用戶和計(jì)算機(jī)控制臺(tái)，那么必需經(jīng)過 Windows Server 2003 CD 運(yùn)轉(zhuǎn) adminpak.msi運(yùn)用組戰(zhàn)略配置 Windows 防火墻設(shè)置運(yùn)用組戰(zhàn)略對(duì)象編輯器管理單元或“Active Directory 用戶和計(jì)算機(jī)，在適當(dāng)?shù)?GPO 中修正 Windows 防火墻設(shè)置。 配置 Windows 防火墻設(shè)置之后，下一次刷新計(jì)算機(jī)配置組戰(zhàn)略將下載新的 Windows 防火墻設(shè)置，并將它們運(yùn)用于運(yùn)轉(zhuǎn) Windows XP SP2 的計(jì)算機(jī)。 配置 Windows 防火墻設(shè)置在 Windows XP SP2 桌面上單擊“開場(chǎng)，

28、單擊“運(yùn)轉(zhuǎn)，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨(dú)立選項(xiàng)卡上，單擊“添加。 在“可用的獨(dú)立管理單元列表中找到并單擊“組戰(zhàn)略對(duì)象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對(duì)象對(duì)話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對(duì)象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導(dǎo)游。單擊“封鎖以退出“添加獨(dú)立管理單元對(duì)話框，然后單擊“確定以退出“添加/刪除管理單元對(duì)話框并前往管理控制臺(tái)。在控制臺(tái)樹中翻開“計(jì)算機(jī)配置、“管理模板、“網(wǎng)絡(luò)、“網(wǎng)絡(luò)銜接，然后翻開“Windows 防火墻。 圖 4 組戰(zhàn)略中的 Windows 防火墻選項(xiàng)雙擊“Windows 防火墻：允許經(jīng)過驗(yàn)證的

29、IPSec 旁路。圖 5 允許經(jīng)過驗(yàn)證的 IPSec 旁路表 1 概述了允許繞過已驗(yàn)證的 IPSec 選項(xiàng)。表 1 允許企業(yè)經(jīng)過驗(yàn)證的 IPSec 旁路設(shè)置設(shè)置描畫備注未配置此 GPO 不會(huì)更改 Windows 防火墻的當(dāng)前配置已啟用Windows 防火墻不會(huì)處置受 IPSec 維護(hù)的通訊，除非是戰(zhàn)略中列出的用戶或組。列出用戶和組的語法運(yùn)用 SDDL 規(guī)范。 有關(guān)更多信息，請(qǐng)參閱下面的資源： HYPERLINK go.microsoft/fwlink/?linkid=35503 t _blank MSDN 網(wǎng)站 go.microsoft/fwlink/?linkid=35503 上的“Secu

30、rity Descriptor Definition Language已禁用Windows 防火墻將處置受 IPSec 維護(hù)的通訊。運(yùn)用表 1 中的信息，然后單擊“已啟用或“已禁用。注：假設(shè)您單擊“已啟用，那么可以創(chuàng)建一個(gè)用戶或組列表，并允許他們向您的計(jì)算機(jī)發(fā)送受 IPSec 維護(hù)的通訊。單擊“確定。 選擇“域配置文件或“規(guī)范配置文件。圖 6 組戰(zhàn)略中的 Windows 防火墻設(shè)置表 2 概述了用于域和規(guī)范配置文件的 Windows 防火墻組戰(zhàn)略引薦設(shè)置。表 2 用于企業(yè)的 Windows 防火墻引薦設(shè)置設(shè)置描畫域配置文件規(guī)范配置文件維護(hù)一切網(wǎng)絡(luò)銜接指定為一切網(wǎng)絡(luò)銜接啟用 Windows 防火

31、墻已啟用已啟用不允許例外指定放棄一切進(jìn)入的渣滓通訊，包括例外通訊未配置已啟用，除非您必需配置程序例外定義程序例外按照程序文件名定義例外通訊假設(shè)網(wǎng)絡(luò)上的計(jì)算機(jī)運(yùn)轉(zhuǎn)附帶 SP2 的 Windows XP，那么啟用和配置由其運(yùn)用的程序運(yùn)用程序和效力假設(shè)網(wǎng)絡(luò)上的計(jì)算機(jī)運(yùn)轉(zhuǎn)附帶 SP2 的 Windows XP，那么啟用和配置由其運(yùn)用的程序運(yùn)用程序和效力允許本地程序例外允許程序例外的本地配置已禁用，除非您需求本地管理員在本地配置程序例外已禁用允許遠(yuǎn)程管理例外允許運(yùn)用工具進(jìn)展遠(yuǎn)程配置禁用，除非您希望可以運(yùn)用 MMC 管理單元遠(yuǎn)程管理您的計(jì)算機(jī)已禁用允許文件和打印共享機(jī)例外指定能否允許文件和打印機(jī)共享通訊已

32、禁用，除非運(yùn)轉(zhuǎn) Windows XP SP2 的計(jì)算機(jī)共享本地資源已禁用允許 ICMP 例外指定允許的 ICMP 音訊類型禁用，除非您希望運(yùn)用 ping 命令排除缺點(diǎn)已禁用允許遠(yuǎn)程桌面例外指定計(jì)算機(jī)能否可以接受基于遠(yuǎn)程桌面的銜接懇求已啟用已啟用允許 UPnP 框架例外指定計(jì)算機(jī)能否可以接納渣滓 UPnP 音訊已禁用已禁用阻止通知禁用通知已禁用已禁用允許記錄日志允許您記錄通訊并配置日志文件設(shè)置未配置未配置阻止對(duì)多播或廣播懇求的單播呼應(yīng)放棄針對(duì)多播或廣播懇求音訊而收到的單播數(shù)據(jù)包已啟用已啟用定義端口例外按照 TCP 和 UDP 指定例外通訊已禁用已禁用允許本地端口例外允許端口例外的本地配置已禁用已

33、禁用啟用端口的例外啟用端口例外在“域配置文件或“規(guī)范配置文件設(shè)置區(qū)域中，雙擊“Windows 防火墻：定義端口例外。圖 7 Windows 防火墻：定義端口例外屬性單擊“已啟用，然后單擊“顯示。 圖 8 顯示內(nèi)容單擊“添加。圖 9 添加工程運(yùn)用以下語法，鍵入您要阻止或啟用的端口信息：port:transport:scope:status:name 此處的 port 是端口號(hào)碼，transport 是 TCP 或 UDP，scope 是 *用于一切系統(tǒng)或允許訪問端口的計(jì)算機(jī)列表，status 是已啟用或已禁用，name 是用作此條目的簽的文本字符串。在運(yùn)用范圍時(shí)，不支持主機(jī)稱號(hào)、域名系統(tǒng) (DN

34、S) 稱號(hào)或 DNS 后綴。 對(duì)于 IPv4 地址范圍，您可以運(yùn)用點(diǎn)分隔子網(wǎng)掩碼或前綴長(zhǎng)度來指定范圍。 在運(yùn)用點(diǎn)分隔子網(wǎng)掩碼時(shí)，您可以將范圍指定為 IPv4 網(wǎng)絡(luò) ID例如 10.47.81.0/255.255.255.0，或者經(jīng)過運(yùn)用范圍內(nèi)的某個(gè) IPv4 地址例如 10.47.81.231/255.255.255.0來指定。 在運(yùn)用網(wǎng)絡(luò)前綴長(zhǎng)度時(shí)，您可以將范圍指定為 IPv4 網(wǎng)絡(luò) ID例如 10.47.81.0/24，或者經(jīng)過運(yùn)用范圍內(nèi)的某個(gè) IPv4 地址例如 10.47.81.231/24來指定。有關(guān) TCP/IP 地址和子網(wǎng)的詳細(xì)信息，請(qǐng)參閱下面的資源：Microsoft 協(xié)助 和

35、支持網(wǎng)站 go.microsoft/fwlink/?linkid=36370 上的 Microsoft 知識(shí)庫文章 164015注：假設(shè)來源列表中的條目之間存在任何空格或其它任何無效字符，那么范圍將被忽略，而設(shè)置也將表現(xiàn)為已被禁用。 保管更改之前，請(qǐng)雙擊您的范圍語法。此實(shí)例運(yùn)用名為 WebTest 的端口例外，并為一切銜接啟用 TCP 端口 80。單擊“確定以封鎖“添加工程。圖 10 顯示內(nèi)容單擊“確定以封鎖“顯示內(nèi)容。單擊“封鎖以封鎖“Windows 防火墻：定義端口例外屬性。注：假設(shè)已選定“不允許例外，那么會(huì)忽略任何端口例外。啟用程序的例外啟用程序例外在“域配置文件或“規(guī)范配置文件設(shè)置區(qū)域

36、中，雙擊“Windows 防火墻：定義程序例外。圖 11 Windows 防火墻：定義程序例外屬性單擊“已啟用，然后單擊“顯示。圖 12 顯示內(nèi)容單擊“添加。圖 13 添加工程運(yùn)用以下語法，鍵入您要阻止或啟用的程序信息：path:scope:status:name 此處的 path 是程序途徑和文件名，scope 是 *用于一切系統(tǒng)或允許訪問程序的計(jì)算機(jī)列表，status 是已啟用或已禁用，name 是用作此條目的簽的文本字符串。此實(shí)例將為一切銜接啟用 Windows Messenger。有關(guān) TCP/IP 地址和子網(wǎng)的詳細(xì)信息，請(qǐng)參閱下面的資源：Microsoft 協(xié)助 和支持網(wǎng)站 go.m

37、icrosoft/fwlink/?linkid=36370 上的 Microsoft 知識(shí)庫文章 164015單擊“確定以封鎖“添加工程。圖 14 顯示內(nèi)容單擊“確定以封鎖“顯示內(nèi)容。單擊“封鎖以封鎖“Windows 防火墻：定義程序例外屬性。配置根本 ICMP 選項(xiàng)有關(guān) ICMP 的信息，請(qǐng)參閱下面的資源：Microsoft Windows XP 網(wǎng)站 go.microsoft/fwlink/?linkid=35499 上的“Internet Control Message Protocol (ICMP)配置根本 ICMP 選項(xiàng)在“域配置文件或“規(guī)范配置文件設(shè)置區(qū)域中，雙擊“Windows

38、防火墻：允許 ICMP 例外。單擊“已啟用。圖 15 Windows 防火墻：允許 ICMP 例外屬性選擇要啟用的適當(dāng) ICMP 例外。 此實(shí)例選擇允許入站回顯懇求。單擊“確定以封鎖“Windows 防火墻：允許 ICMP 例外屬性。記錄丟棄的數(shù)據(jù)包和勝利的銜接記錄丟棄的數(shù)據(jù)包和勝利的銜接在“域配置文件或“規(guī)范配置文件設(shè)置區(qū)域中，雙擊“Windows 防火墻：允許記錄日志。圖 16 Windows 防火墻：允許記錄日志屬性單擊“已啟用，選擇“記錄被丟棄的數(shù)據(jù)包和“記錄勝利的銜接，鍵入日志文件途徑和稱號(hào)，然后單擊“確定。注：保管日志文件的位置必需得到維護(hù)，以防止刪除或篡改日志。封鎖組戰(zhàn)略編輯器。

39、假設(shè)提示保管控制臺(tái)設(shè)置，請(qǐng)單擊“否。運(yùn)用 GPUpdate 運(yùn)用配置GPUpdate 適用工具將刷新基于活動(dòng)目錄的組戰(zhàn)略設(shè)置，包括平安設(shè)置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設(shè)置運(yùn)用于客戶計(jì)算機(jī)。 默許情況下的刷新周期為 90 分鐘，動(dòng)態(tài)偏向?yàn)?+ 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請(qǐng)運(yùn)用 GPUpdate 適用工具。驗(yàn)證 Windows 防火墻設(shè)置能否已運(yùn)用注：運(yùn)用組戰(zhàn)略來配置 Windows 防火墻時(shí)，設(shè)置能夠不允許本地管理員更改某些方面的配置。 在用戶的本地計(jì)算機(jī)上，Windows 防火墻對(duì)話框中的某些選項(xiàng)卡和選項(xiàng)將無法運(yùn)用。驗(yàn)證 Windows 防火墻設(shè)置能否已運(yùn)

40、用在“平安中心的“管理平安設(shè)置下，單擊“Windows 防火墻。單擊“常規(guī)、“例外和“高級(jí)選項(xiàng)卡，然后驗(yàn)證能否已將需求的配置運(yùn)用于計(jì)算機(jī)上的 Windows 防火墻，然后單擊“確定以封鎖 Windows 防火墻。注：假設(shè)配置設(shè)置未運(yùn)用，您必需排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)。 要排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)，請(qǐng)參閱下面的資源：Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Policy in Windows Server 2003配置 Internet Explorer 平安設(shè)置對(duì)于 Windows X

41、P SP2，您可以為計(jì)算機(jī)以及帶新組戰(zhàn)略設(shè)置的用戶配置管理一切 Internet Explorer 平安設(shè)置。Windows XP SP2 運(yùn)用戰(zhàn)略設(shè)置的兩個(gè)主要區(qū)域：平安功能URL 操作平安功能戰(zhàn)略設(shè)置允許您管理能夠會(huì)影響 Internet Explorer 平安性的特定方案。 在大多數(shù)情況下，您需求防止特定的行為，因此必需確保已啟用平安功能。 例如，惡意代碼能夠會(huì)在本地計(jì)算機(jī)區(qū)域而不是 Internet 區(qū)域中運(yùn)轉(zhuǎn)，從而嘗試提升本人的權(quán)限。 為了協(xié)助 防止此類攻擊，您可以運(yùn)用“維護(hù)域提升戰(zhàn)略設(shè)置。 對(duì)于每種平安功能戰(zhàn)略設(shè)置，您可以經(jīng)過以下方法指定用于控制平安功能行為的戰(zhàn)略設(shè)置：Intern

42、et Explorer 過程定義的過程列表一切過程，無論它們是從哪里啟動(dòng)一致資源定位器 (URL) 操作是指閱讀器可以采取的操作，而這些操作能夠會(huì)導(dǎo)致本地計(jì)算機(jī)出現(xiàn)平安風(fēng)險(xiǎn)，例如嘗試運(yùn)轉(zhuǎn) Java applet 或 ActiveX 控制。 URL 操作與注冊(cè)表中的平安設(shè)置相對(duì)應(yīng)，而這些設(shè)置確定了針對(duì) URL 所在平安區(qū)域中的功能所采取的操作。 URL 操作設(shè)置包括啟用、禁用、提示和其它適用的設(shè)置。要對(duì) Internet Explorer 中的 URL 操作進(jìn)展平安管理，您可以運(yùn)用“Internet 控制面板下的新平安頁組戰(zhàn)略設(shè)置。 經(jīng)過運(yùn)用組戰(zhàn)略來控制 URL 操作的平安性，您可以為組織內(nèi)的一

43、切用戶和計(jì)算機(jī)創(chuàng)建規(guī)范 Internet Explorer 配置。要提供平安性，您可以運(yùn)用平安區(qū)域模板戰(zhàn)略設(shè)置為一切 URL 區(qū)域啟用戰(zhàn)略。 對(duì)于每種 URL 操作模板戰(zhàn)略設(shè)置，您可以指定以下一個(gè)平安級(jí)別：低。 此級(jí)別通常用于包含用戶完全信任的網(wǎng)站的 URL 平安區(qū)域。 這是“受信任的站點(diǎn)區(qū)域的默許平安級(jí)別。中低。 此級(jí)別可用于包含似乎不會(huì)導(dǎo)致?lián)p害計(jì)算機(jī)或數(shù)據(jù)的網(wǎng)站的 URL 平安區(qū)域。 這是 Intranet 區(qū)域的默許平安級(jí)別。中。 此級(jí)別可用于包含既不是可信又不是不可信的網(wǎng)站的 URL 平安區(qū)域。 這是 Internet 區(qū)域的默許平安級(jí)別。高。 此級(jí)別用于包含能夠會(huì)導(dǎo)致?lián)p壞用戶計(jì)算機(jī)或

44、數(shù)據(jù)的網(wǎng)站的 URL 平安區(qū)域。 這是“受限制的站點(diǎn)區(qū)域的默許平安級(jí)別。有關(guān)平安功能控制的詳細(xì)信息，請(qǐng)參閱以下內(nèi)容： Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink/?linkid=35487 上的“Microsoft Windows XP Service Pack 2 中的功能變卦執(zhí)行此義務(wù)的要求憑據(jù)：假設(shè) Windows XP SP2 計(jì)算機(jī)是活動(dòng)目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開“組戰(zhàn)略對(duì)象。工具：已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 Microsoft 管理控制臺(tái) (MMC)。 配置 Internet Explorer 平安設(shè)置配置

45、Internet Explorer 設(shè)置在 Windows XP SP2 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨(dú)立選項(xiàng)卡上，單擊“添加。 在“可用的獨(dú)立管理單元列表中找到并單擊“組戰(zhàn)略對(duì)象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對(duì)象對(duì)話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對(duì)象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導(dǎo)游。單擊“封鎖以退出“添加獨(dú)立管理單元對(duì)話框，然后單擊“確定以退出“添加/刪除管理單元對(duì)話框并前往管理控制臺(tái)。在控制臺(tái)樹中翻開“計(jì)算機(jī)配置、“管理模板、“Windows 組件、“Internet Explor

46、er，然后翻開“平安功能。 圖 18 Internet Explorer 組戰(zhàn)略平安設(shè)置運(yùn)用表 3 中的信息，配置 Internet Explorer 平安設(shè)置。 表 3 Internet Explorer 平安功能設(shè)置設(shè)置描畫默許配置企業(yè)環(huán)境的引薦配置二進(jìn)制行為平安限制戰(zhàn)略控制是防止還是允許二進(jìn)制行為平安限制設(shè)置未配置在 #package#behavior notation 中，將組織的任何已認(rèn)可行為添加到管理員認(rèn)可的行為列表中MK 協(xié)議平安限制經(jīng)過防止 MK 協(xié)議來減小受攻擊面未配置為一切過程啟用本地計(jì)算機(jī)區(qū)域鎖定平安協(xié)助 減輕運(yùn)用本地計(jì)算機(jī)區(qū)域以載入惡意 HTML 代碼的攻擊未配置為一切

47、過程啟用一致性 Mime 處置確定 Internet Explorer 能否要求 Web 效力器提供的一切文件類型信息都堅(jiān)持一致未配置為一切過程啟用Mime 探查平安功能確定 Internet Explorer MIME 窺探能否防止將一種類型的文件提示為更危險(xiǎn)的文件類型未配置為一切過程啟用對(duì)象緩存維護(hù)定義在用戶閱讀一樣的域或新域時(shí)，能否可以訪問對(duì)對(duì)象的援用未配置為一切過程啟用腳本化 Window 平安限制限制彈出式窗口并制止腳本顯示窗口；在這些窗口中，規(guī)范和形狀欄將不會(huì)顯示給用戶，或者會(huì)使其它標(biāo)題和形狀欄變得模糊未配置為一切過程啟用維護(hù)域提升協(xié)助 維護(hù)本地計(jì)算機(jī)平安區(qū)域未配置為一切過程啟用信

48、息欄在安裝的文件或代碼遭到限制時(shí)，管理能否為 Internet Explorer 過程顯示信息欄未配置為一切過程啟用限制 ActiveX 安裝允許您阻止 Internet Explorer 過程的 ActiveX 控件安裝提示未配置為一切過程啟用限制文件下載允許您阻止并非由用戶發(fā)出的文件下載提示未配置為一切過程啟用加載項(xiàng)管理允許您確保加載項(xiàng)列表戰(zhàn)略設(shè)置未列出的任何 Internet Explorer 加載項(xiàng)會(huì)被回絕未配置為一切加載項(xiàng)啟用，除非在加載項(xiàng)列表中特別允許網(wǎng)絡(luò)協(xié)議鎖定為 Internet、intranet、可信站點(diǎn)、受限站點(diǎn)和本地計(jì)算機(jī)平安區(qū)域指定受限制的協(xié)議列表未配置為每個(gè)平安區(qū)域啟

49、用特定協(xié)議展開“Internet 控制面板圖 19 Internet 控制面板設(shè)置啟用每項(xiàng)設(shè)置以防止用戶獲得所列出 Internet Explorer 配置頁面的訪問權(quán)限。 要執(zhí)行此操作，請(qǐng)雙擊每項(xiàng)設(shè)置，單擊“已啟用，然后單擊“確定。展開“平安頁。圖 20 Internet 控制面板平安頁設(shè)置有兩種方法可以配置平安區(qū)域；您可以運(yùn)用模板，或者按照區(qū)域選擇每項(xiàng)設(shè)置。以下之一：運(yùn)用表 4 中的信息，以便運(yùn)用區(qū)域模板來配置每個(gè)平安區(qū)域。 雙擊每個(gè)模板選項(xiàng)，然后單擊“已啟用。運(yùn)用表 5 中的信息，單獨(dú)配置每個(gè)平安區(qū)域表 4 按照平安區(qū)域進(jìn)展 Internet 控制面板設(shè)置設(shè)置引薦的配置引薦的級(jí)別Inte

50、rnet 區(qū)域模板已啟用中Intranet 區(qū)域模板已啟用中低受信任的站點(diǎn)區(qū)域模板已啟用低受限制的站點(diǎn)區(qū)域模板已啟用高本地計(jì)算機(jī)區(qū)域模板已啟用低鎖定的本地計(jì)算機(jī)區(qū)域模板已啟用高表 5 按照平安區(qū)域進(jìn)展 Internet 控制面板設(shè)置設(shè)置描畫默許配置下載已簽名的 ActiveX 控件經(jīng)過包含控件的 HTML 頁面的 URL 區(qū)域，管理簽名 ActiveX 控件的下載。未配置下載未簽名的 ActiveX 控件經(jīng)過包含控件的 HTML 頁面的 URL 區(qū)域，管理未簽名 ActiveX 控件的下載。未配置對(duì)沒有標(biāo)志為平安的 ActiveX 控件進(jìn)展初始化和腳本運(yùn)轉(zhuǎn)經(jīng)過區(qū)域中的 HTML 頁面，管理 A

51、ctiveX 控件和插件的執(zhí)行。未配置運(yùn)轉(zhuǎn) ActiveX 控件和插件針對(duì) URL 平安區(qū)域中的頁面，確定是交換還是執(zhí)行 ActiveX 控件對(duì)象平安性。 只需在區(qū)域中的頁面上能夠產(chǎn)生交互的一切 ActiveX 控件和腳本可以確信不會(huì)破壞平安性時(shí)，才應(yīng)該交換對(duì)象平安性。 這是 URLACTION_ACTIVEX_OVERRIDE_DATA_SAFETY 和 URLACTION_ACTIVEX_OVERRIDE_SCRIPT_SAFETY 的綜合。未配置允許活動(dòng)腳本確定能否運(yùn)轉(zhuǎn) URL 平安區(qū)域中的頁面上的腳本代碼。未配置Java 小程序腳本確定假設(shè)小程序的屬性、方法和事件受腳本影響時(shí)，能否允許

52、 URL 平安區(qū)域中的 HTML 頁面上的腳本代碼運(yùn)用 Java 小程序。未配置對(duì)標(biāo)志為可平安執(zhí)行腳本的 ActiveX 控件執(zhí)行腳本確定能否可以將腳本用于平安的 ActiveX 控件。未配置經(jīng)過域訪問數(shù)據(jù)資源確定能否允許資源經(jīng)過域訪問數(shù)據(jù)源。未配置允許經(jīng)過腳本進(jìn)展粘貼操作確定腳天性否可以執(zhí)行粘貼操作。未配置提交非加密表單數(shù)據(jù)確定能否允許 URL 平安區(qū)域中頁面上的 HTML 表單或提交到區(qū)域中效力器上的表單。 URLACTION_HTML_SUBMIT_FORMS_FROM 和 URLACTION_HTML_SUBMIT_FORMS_TO 標(biāo)志的綜合。未配置允許字體下載確定能否允許 HTML

53、 字體下載。未配置繼續(xù)運(yùn)用用戶數(shù)據(jù)確定能否啟用繼續(xù)運(yùn)用用戶數(shù)據(jù)。未配置跨域閱讀子框架確定能否允許子框架在不同域中導(dǎo)航。未配置運(yùn)用 GPUpdate 運(yùn)用配置GPUpdate 適用工具將刷新基于活動(dòng)目錄的組戰(zhàn)略設(shè)置，包括平安設(shè)置。 配置組戰(zhàn)略之后，您可以等待規(guī)范刷新周期將設(shè)置運(yùn)用于客戶計(jì)算機(jī)。 默許情況下的刷新周期為 90 分鐘，動(dòng)態(tài)偏向?yàn)?+ 或 - 30 分鐘。要在規(guī)范周期之間刷新組戰(zhàn)略，請(qǐng)運(yùn)用 GPUpdate 適用工具。驗(yàn)證 Internet Explorer 平安設(shè)置能否已運(yùn)用注：運(yùn)用組戰(zhàn)略來配置 Internet Explorer 時(shí)，設(shè)置能夠不允許本地管理員更改某些方面的配置。 在

54、用戶的本地計(jì)算機(jī)上，對(duì)話框中的某些選項(xiàng)卡和選項(xiàng)將無法運(yùn)用。驗(yàn)證 Internet Explorer 設(shè)置能否已運(yùn)用在“平安中心的“管理平安設(shè)置下，單擊“Internet 選項(xiàng)。單擊“平安、“隱私和“高級(jí)選項(xiàng)卡，然后驗(yàn)證能否已將需求的配置運(yùn)用于計(jì)算機(jī)上的 Internet Explorer，然后單擊“確定以封鎖“Internet 屬性。注：假設(shè)配置設(shè)置未運(yùn)用，您必需排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)。 要排除組戰(zhàn)略運(yùn)用程序的缺點(diǎn)，請(qǐng)參閱下面的資源：Microsoft 下載中心網(wǎng)站 go.microsoft/fwlink/?linkid=35481 上的“Troubleshooting Group Poli

55、cy in Windows Server 2003配置 Internet 通訊管理設(shè)置Windows XP SP2 提供了新的組戰(zhàn)略設(shè)置，主要設(shè)計(jì)用于控制 Windows XP SP2 中的組件與 Internet 進(jìn)展通訊的方式。 組戰(zhàn)略設(shè)置允許您管理以下功能：聯(lián)機(jī)訂購圖片打印運(yùn)用聯(lián)機(jī)存儲(chǔ)空間發(fā)布到 Web在 Windows XP SP2 中，用戶可以單擊“Windows 資源管理器中的義務(wù)以聯(lián)機(jī)訂購圖片打印“聯(lián)機(jī)打印導(dǎo)游、注冊(cè)獲得提供聯(lián)機(jī)存儲(chǔ)空間的效力“添加網(wǎng)上鄰居導(dǎo)游或發(fā)布可以在閱讀器中查看的文件“Web 發(fā)布導(dǎo)游，還可以執(zhí)行其它義務(wù)。 義務(wù)或?qū)в螌膬蓚€(gè)來源獲得這些效力提供商的稱號(hào)和

56、URL：一個(gè)本地存儲(chǔ)的列表在注冊(cè)表中和一個(gè)存儲(chǔ)在 Microsoft 網(wǎng)站上的列表。 默許情況下，除了顯示注冊(cè)表中列出的提供商外，Windows 還會(huì)顯示 Microsoft Web 站點(diǎn)列表中的提供商。您可以運(yùn)用以下組戰(zhàn)略設(shè)置來控制這些導(dǎo)游和義務(wù)的任務(wù)方式，并控制這些組件與 Internet 進(jìn)展通訊的方式：封鎖文件和文件夾的“發(fā)布到 Web義務(wù)。 此戰(zhàn)略設(shè)置將指定需求發(fā)布工程到 Web 的義務(wù)能否可以經(jīng)過 Windows 文件夾中的“文件和文件夾義務(wù)來運(yùn)用。 義務(wù)包括將此文件發(fā)布到 Web、將此文件夾發(fā)布到 Web 以及將相關(guān)工程發(fā)布到 Web。 封鎖“ Web 發(fā)布和“聯(lián)機(jī)訂購導(dǎo)游的 I

57、nternet 下載。 此戰(zhàn)略設(shè)置將指定 Windows 能否應(yīng)該為Web 發(fā)布導(dǎo)游、“添加網(wǎng)上鄰居導(dǎo)游和“聯(lián)機(jī)打印導(dǎo)游下載提供商的列表。 默許情況下，除了顯示注冊(cè)表中指定的提供商外，Windows 還會(huì)顯示從 Windows 網(wǎng)站中下載的提供商。封鎖“訂購照片圖片義務(wù)。 此戰(zhàn)略設(shè)置將指定“聯(lián)機(jī)訂購照片義務(wù)能否可以經(jīng)過 Windows 文件夾中的“圖片義務(wù)來運(yùn)用。 此設(shè)置將禁用“聯(lián)機(jī)照片訂購導(dǎo)游。這些戰(zhàn)略設(shè)置可用于用戶和計(jì)算機(jī)配置。有關(guān)如何控制運(yùn)用“添加網(wǎng)上鄰居導(dǎo)游和“Web 發(fā)布導(dǎo)游的更多信息，請(qǐng)參閱下面的資源：Microsoft TechNet 網(wǎng)站 go.microsoft/fwlink

58、/?LinkId=35489 上的“Using Windows XP Professional with Service Pack 2 in a Managed Environment: Controlling Communication with the Internet執(zhí)行此義務(wù)的要求憑據(jù)：假設(shè) Windows XP SP2 計(jì)算機(jī)是活動(dòng)目錄域客戶端，那么必需作為域管理員平安組成員登錄，并翻開“組戰(zhàn)略對(duì)象。工具：已安裝組戰(zhàn)略對(duì)象編輯器管理單元的 Microsoft 管理控制臺(tái) (MMC)。配置 Internet 通訊管理設(shè)置在 Windows XP SP2 桌面上單擊“開場(chǎng)，單擊“運(yùn)轉(zhuǎn)，鍵

59、入 mmc，然后單擊“確定。在“文件菜單上，單擊“添加/刪除管理單元。 在“獨(dú)立選項(xiàng)卡上，單擊“添加。 在“可用的獨(dú)立管理單元列表中找到并單擊“組戰(zhàn)略對(duì)象編輯器，然后單擊“添加。 在“選擇組戰(zhàn)略對(duì)象對(duì)話框中，單擊“閱讀。選擇您要配置的組戰(zhàn)略對(duì)象，單擊“確定，然后單擊“完成以退出組戰(zhàn)略導(dǎo)游。單擊“封鎖以退出“添加獨(dú)立管理單元對(duì)話框，然后單擊“確定以退出“添加/刪除管理單元對(duì)話框并前往管理控制臺(tái)。在控制臺(tái)樹中翻開“計(jì)算機(jī)配置、“管理模板、“系統(tǒng)，然后翻開“Internet 通訊管理。圖 22 Internet 通訊管理設(shè)置將“限制 Internet 通訊設(shè)置配置為“已禁用以禁用 Internet

60、通訊設(shè)置下的一切設(shè)置，或者配置為“已啟用以啟用 Internet 通訊設(shè)置下的一切設(shè)置。要單獨(dú)配置每項(xiàng)設(shè)置，請(qǐng)展開“Internet 通訊設(shè)置，然后按照表 6 配置設(shè)置。表 6 引薦的 Internet 通訊設(shè)置設(shè)置描畫引薦設(shè)置封鎖文件和文件夾的“發(fā)布到 Web義務(wù)指定是 Windows 文件夾中的“文件和文件夾義務(wù)能否包含“將這個(gè)文件發(fā)布到 Web、“將這個(gè)文件夾發(fā)布到 Web和“將選擇的工程發(fā)布到 Web義務(wù)已啟用封鎖“Web 發(fā)布和“聯(lián)機(jī)訂購導(dǎo)游的 Internet 下載控制 Windows 能否應(yīng)該為 Web 發(fā)布和聯(lián)機(jī)訂購導(dǎo)游下載提供商的列表已啟用封鎖 Windows Messeng