第1 章：《Windows XP 安全指南》簡介

1、Windows XP 安全指南第 1 章：Windows XP 安全指南簡介更新日期： 2006年07月17日本頁內(nèi)容 HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA HYPERLINK /zh-cn/library/cc163069.aspx#EHAA#EHAA l EHAA#EHAA 概述 HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGAA#EGAA HYPERLINK /zh-cn/library/cc163069.aspx#EGAA#EGAA l EGA

2、A#EGAA 執(zhí)行摘要 HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA HYPERLINK /zh-cn/library/cc163069.aspx#EFAA#EFAA l EFAA#EFAA 本指南的目標(biāo)讀者 HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA HYPERLINK /zh-cn/library/cc163069.aspx#EEAA#EEAA l EEAA#EEAA 本指南討論的范圍 HYPERLINK /zh-cn/library/c

3、c163069.aspx#EDAA#EDAA l EDAA#EDAA HYPERLINK /zh-cn/library/cc163069.aspx#EDAA#EDAA l EDAA#EDAA 本章概述 HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA HYPERLINK /zh-cn/library/cc163069.aspx#ECAA#ECAA l ECAA#ECAA 下載內(nèi)容 HYPERLINK /zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA HYPERLINK /

4、zh-cn/library/cc163069.aspx#EBAA#EBAA l EBAA#EBAA 樣式約定 HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA HYPERLINK /zh-cn/library/cc163069.aspx#EAAA#EAAA l EAAA#EAAA 總結(jié)概述歡迎使用Windows XP 安全指南。本指南旨在提供用于對環(huán)境中特定于 Microsoft Windows XP Professional Service Pack 2 (SP2) 的安全風(fēng)險進行評估和處理的最佳信息。本指南中的章節(jié)提供

5、有關(guān)如何在盡可能的位置配置 Windows XP 中的增強安全設(shè)置和功能，以消除環(huán)境中識別的威脅的詳細信息。本指南主要面向在 WindowsXP 環(huán)境中工作的顧問、設(shè)計人員或系統(tǒng)工程師。Microsoft 工程小組、顧問、支持工程師、合作伙伴以及客戶已經(jīng)審查和批準(zhǔn)了本指南中的信息，從而使得該指南具有下列特點：經(jīng)過證明?；诂F(xiàn)場體驗。具有權(quán)威性。提供最佳可用建議。準(zhǔn)確。經(jīng)過技術(shù)驗證和測試。可操作。提供邁向成功的步驟。相關(guān)。針對現(xiàn)實世界的安全考慮。在各種環(huán)境中實施 Windows XP Professional、Microsoft Windows Server 2003 和 Windows 200

6、0 的咨詢?nèi)藛T和系統(tǒng)工程師開發(fā)了用于確保客戶端計算機和服務(wù)器計算機安全的最佳做法，本指南詳述了這些最佳做法。本指南還提供了分步安全指導(dǎo)、過程和建議，幫助您盡可能增強您的組織中運行 Windows XP Professional SP2 的計算機的安全性。如需更深入了解本文檔中的相關(guān)概念，請參閱“威脅和對策：Windows Server 2003 和 Windows XP 的安全設(shè)置”、“Microsoft WindowsXP Resource Kit”、“Microsoft WindowsServer 2003 Resource Kit”、“Microsoft Windows Security

7、 Resource Kit”以及 Microsoft TechNet。本指南最初是針對 Windows XP SP1 創(chuàng)建的。此更新版本反映 Windows XP SP2 提供的重要安全增強功能，它是通過運行 Windows XP Professional SP2 的計算機進行開發(fā)和測試的。除非另行規(guī)定，否則本指南中對于 Windows XP 的所有引用均是指 Windows XP SP2。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh

8、-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首執(zhí)行摘要無論環(huán)境如何，強烈建議您認真對待安全問題。由于通常沒有將實際間接成本考慮在內(nèi)，許多組織錯誤地低估了他們的信息技術(shù) (IT) 環(huán)境的價值。如果對環(huán)境中的服務(wù)器的攻擊很嚴(yán)重，則會對整個組織造成極大危害。例如，如果攻擊活動迫使公司網(wǎng)站關(guān)閉，從而造成利潤或客戶信任度的巨大損失，公司將面臨喪失盈利能力的危險。評估安全成本時，應(yīng)該將與任何攻擊相關(guān)的間接成本以及喪失 IT 功能的成本包括在內(nèi)。通過與安全相關(guān)的漏洞、風(fēng)險和暴露分析，您可以了解到

9、，網(wǎng)絡(luò)環(huán)境中所有計算機系統(tǒng)都會面臨在安全性與可用性之間取舍權(quán)衡的問題。本指南對 Windows XP SP2 中的主要安全對策、其解決的漏洞以及每個對策實施的潛在負面影響（如果有）進行了說明。此外，本指南還提供了在以下三種常見環(huán)境中加強運行 Windows XP SP2 的計算機的具體建議：企業(yè)客戶端 (EC)。此環(huán)境中的客戶端計算機位于 Active Directory 目錄服務(wù)域中，只需要與運行 Windows 2000 或更高版本的 Windows 操作系統(tǒng)的系統(tǒng)通信。獨立 (SA)。此環(huán)境中的客戶端計算機不是 Active Directory 域的成員，可能需要與運行 Windows

10、NT 4.0 的系統(tǒng)通信。專用安全 - 限制功能 (SSLF)。由于在此環(huán)境中對安全性非常關(guān)注，因此功能上和管理上的明顯損失都在可接受之列。例如，軍事和情報機構(gòu)的計算機在此類環(huán)境中運行。本指南組織成易于訪問的形式，以便您快速找到確定組織中運行 Windows XP SP2 的計算機的適合設(shè)置所需的信息。雖然本指南主要針對企業(yè)客戶，但是其中的許多內(nèi)容適合于任何規(guī)模的組織。為了從本資料中獲取最多有價值的信息，需要閱讀整個指南。編寫本指南的小組希望本指南可以為您提供有用的、信息豐富的和引人入勝的資料。有關(guān)詳細信息，請參閱附加指南 HYPERLINK /china/technet/security/g

11、uidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Windows XP 的安全設(shè)置，該指南可從 /china/technet/security/guidance/secmod48.mspx 下載。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSectio

12、n 返回頁首本指南的目標(biāo)讀者本指南主要面向在企業(yè)環(huán)境中規(guī)劃應(yīng)用程序或基礎(chǔ)結(jié)構(gòu)開發(fā)以及 Windows XP 工作站部署的顧問、安全專家、系統(tǒng)結(jié)構(gòu)設(shè)計人員以及 IT 專業(yè)人員。本指南不面向家庭用戶。本指南是專為從事下列工作的人員而設(shè)計的：系統(tǒng)結(jié)構(gòu)設(shè)計人員和規(guī)劃人員，他們負責(zé)組織中計算機體系結(jié)構(gòu)方面的工作。IT 安全專家，他們關(guān)注如何在組織內(nèi)跨計算平臺提供安全性。業(yè)務(wù)分析師和業(yè)務(wù)決策者 (BDM)，他們的關(guān)鍵業(yè)務(wù)目標(biāo)和要求需要 IT 桌面計算機或便攜式計算機的支持。來自 Microsoft 服務(wù)部門和合作伙伴的顧問，他們需要用于企業(yè)客戶和合作伙伴的知識傳送工具。技能和準(zhǔn)備對于負責(zé)開發(fā)、部署并確保企

13、業(yè)中 Windows XP 客戶端計算機的安全的管理員或結(jié)構(gòu)設(shè)計人員，下列知識和技能是必備條件：擁有 MCSE 2000 或更高證書，有 2 年以上安全相關(guān)經(jīng)驗或同等經(jīng)驗。對公司域和 Active Directory 環(huán)境有深入了解。熟練使用管理工具，包括 MMC、Secedit、Gpupdate 和 Gpresult。有管理組策略的經(jīng)驗。有在企業(yè)環(huán)境中部署應(yīng)用程序和客戶端計算機的經(jīng)驗。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-c

14、n/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首本指南討論的范圍本指南著重介紹如何為運行 Windows XP Professional SP2 的桌面計算機和便攜式計算機創(chuàng)建和維護安全的環(huán)境。本指南闡述如何確保三種不同環(huán)境安全的不同階段以及針對每種環(huán)境中部署的桌面計算機和便攜式計算機的每項設(shè)置的內(nèi)容。信息涵蓋企業(yè)客戶端 (EC) 環(huán)境、獨立 (SA) 環(huán)境以及專用 - 限制功能 (SSLF) 環(huán)境。不對未作為本指南一部分專門推薦的設(shè)置進行介紹。有關(guān) WindowsXP 中所有安全設(shè)置的

15、詳盡論述，請參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Windows XP 的安全設(shè)置，網(wǎng)址為 /china/technet/security/guidance/secmod48.mspx。企業(yè)客戶端企業(yè)客戶端 (EC) 環(huán)境包含 Windows 2000 或 Windows Server 2003 Active Directory 域。此環(huán)境中的客戶端計算機將通過應(yīng)用于站點、域和組織單位 (OU) 的組策略進行管理。組策略提供集中的方法來管理環(huán)境中的安

16、全策略。獨立客戶端環(huán)境獨立客戶端 (SA) 環(huán)境包括無法加入到屬于 Windows NT 4.0 域成員的域或計算機的客戶端計算機。這些客戶端計算機必須通過本地策略設(shè)置進行配置。相比基于 ActiveDirectory 的域中的用戶帳戶和策略的管理而言，獨立計算機的管理可能面臨著更大的挑戰(zhàn)。專用安全 限制功能專用安全 限制功能 (SSLF) 環(huán)境為客戶端計算機提供高級安全設(shè)置。當(dāng)應(yīng)用這些安全策略設(shè)置時，用戶功能可能會顯著減少，因為限制為僅必要任務(wù)所需的那些特定功能。訪問權(quán)限則限于已批準(zhǔn)的應(yīng)用程序、服務(wù)和基礎(chǔ)結(jié)構(gòu)環(huán)境。為清楚明了，SSLF 環(huán)境的安全策略設(shè)置僅適用于極少數(shù)組織（例如軍事和情報結(jié)構(gòu)

17、）的一些系統(tǒng)。這些設(shè)置趨向于通過可管理性和可用性優(yōu)化安全性；它們應(yīng)該僅用于那些危害可能導(dǎo)致重大財務(wù)損失或人員傷亡的計算機。換言之，SSLF 設(shè)置對于大多數(shù)組織來說并不是恰當(dāng)?shù)倪x擇。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首本章概述Windows XP SP2 提供迄今為止最可

18、依賴的 Windows 客戶端版本以及改進的安全和隱私功能。Windows XP 中已經(jīng)提高了總體安全性，以幫助確保組織在更安全的計算環(huán)境中工作。Windows XP 安全指南包含七個章節(jié)，其中二至六章論述創(chuàng)建這種環(huán)境所需的過程。其中每個章節(jié)建立在端到端流程的基礎(chǔ)之上，旨在確?；?Windows XP 的計算機的安全。第 1 章：Windows XP 安全指南簡介本章包括本指南的概述以及對目標(biāo)讀者、本指南中討論的問題和本指南的總體目標(biāo)的說明。第 2 章：配置 Active Directory 域基礎(chǔ)結(jié)構(gòu)您可以使用組策略來管理 Windows Server 2003 和 Windows 200

19、0 域中的用戶和計算機環(huán)境。它是確保 Windows XP 安全的重要工具，可以用來從中央位置在整個網(wǎng)絡(luò)中應(yīng)用和維護一致安全策略。本章論述將組策略應(yīng)用于 Windows XP 客戶端計算機之前必須在域中執(zhí)行的基本步驟。組策略設(shè)置存儲在域控制器上的組策略對象 (GPO) 中。GPO 鏈接到 Active Directory 結(jié)構(gòu)中的站點、域和 OU。由于組策略與 Active Directory 緊密集成，在實現(xiàn)組策略之前有必要對 Active Directory 結(jié)構(gòu)和安全含義進行基本的了解。第 3 章：Windows XP 客戶端安全設(shè)置本章描述可以在 Windows 2000 或 Wind

20、ows Server 2003 Active Directory 域中通過組策略設(shè)置的 Windows XP 客戶端計算機的安全設(shè)置。并沒有為所有可用設(shè)置提供指導(dǎo)，而只是為那些幫助避免環(huán)境遭受最新威脅的設(shè)置提供了指導(dǎo)。該指導(dǎo)還允許用戶繼續(xù)在他們的計算機上執(zhí)行正常作業(yè)功能。配置的設(shè)置應(yīng)基于組織的安全目標(biāo)。第 4 章：Windows XP 管理模板本章討論可以使用管理模板添加到 Windows XP 中的設(shè)置。管理模板是可用來配置基于注冊表的設(shè)置的 Unicode 文件，這些設(shè)置控制許多服務(wù)、應(yīng)用程序和操作系統(tǒng)組件的行為。許多管理模板可以與 Windows XP 一起使用，它們包含數(shù)百個設(shè)置。第

21、5 章：確保獨立 Windows XP 客戶端的安全雖然本指南大部分重點介紹企業(yè)客戶端 (EC) 和專用安全 限制功能 (SSLF) 環(huán)境，但是本章還討論了獨立 Windows XP 客戶端計算機的配置。Microsoft 建議在 Active Directory 域基礎(chǔ)結(jié)構(gòu)中部署 Windows XP，同時認識到不能夠總是這樣做。本章提供有關(guān)如何將建議配置應(yīng)用到不是 Windows 2000 或 Windows Server 2003 域成員的 Windows XP SP2 客戶端計算機的指導(dǎo)。第 6 章：Windows XP 客戶端的軟件限制策略本章提供軟件限制策略的基本概述，該軟件限制策

22、略向管理員提供一套策略驅(qū)動機制，用于標(biāo)識和限制可以在其域中運行的軟件。管理員可以使用軟件限制策略阻止不想要的程序運行，并防止病毒、特洛伊木馬或其他惡意代碼傳播。軟件限制策略與 Active Directory 和組策略完全集成；如果僅應(yīng)用于本地計算機，它們也可以用于沒有 Windows Server 2003 域基礎(chǔ)結(jié)構(gòu)的環(huán)境。第 7 章：結(jié)論最后一章簡要回顧前幾章中論述的內(nèi)容的要點。附錄 A：需要考慮的關(guān)鍵設(shè)置雖然本指南論述了許多安全對策和安全設(shè)置，了解少量安全對策和安全設(shè)置尤其重要。本附錄論述會對運行 Windows XP SP2 的計算機的安全產(chǎn)生最大影響的設(shè)置。附錄 B：測試Windo

23、ws XP 安全指南本附錄闡述如何在實驗室環(huán)境中測試Windows XP 安全指南以確保指導(dǎo)按預(yù)期工作。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首下載內(nèi)容本指南附帶了安全模板、腳本和其他文件的集合，以便于組織輕松評估、測試和實施建議的對策。安全模板是可以通過 Microsof

24、t 管理控制臺 (MMC) 安全配置和分析管理單元導(dǎo)入到基于域的組策略或本地應(yīng)用的文本文件。第 2 章“配置 ActiveDirectory 域基礎(chǔ)結(jié)構(gòu)”中詳細描述了如何完成這些任務(wù)的過程。您可以使用本指南附帶的腳本來在獨立工作站上實施建議的對策。下載內(nèi)容還包括 Microsoft Excel 工作簿“WindowsXP Security Guide Settings”，其說明每個安全模板中包含的設(shè)置。本指南附帶的文件統(tǒng)稱為工具和模板。這些文件包括在包含本指南的自解壓縮 WinZip 壓縮文件中的 .msi 文件中。該指南可從 Microsoft 下載中心獲取，網(wǎng)址為 /fwlink/?Lin

25、kId=14840。執(zhí)行 .msi 文件時，系統(tǒng)將在指定位置創(chuàng)建下列文件夾結(jié)構(gòu)：Windows XP 安全指南工具和模板安全模板。此文件夾包含本指南第 2 章和第 3 章中論述的所有安全模板。它還包含匯總本指南中所有建議的 Excel 電子表格。Windows XP 安全指南工具和模板SCE 更新。此文件夾包含用于按照本指南第 3 章所述自動更新安全配置編輯器用戶界面的腳本和數(shù)據(jù)文件。Windows XP 安全指南工具和模板獨立客戶端。此文件夾包含用于強化獨立計算機的所有示例腳本和模板，將在指南的第 5 章中進行論述。Windows XP 安全指南工具和模板測試工具。此文件夾包含與“附錄 B：

26、測試Windows XP 安全指南”相關(guān)的工具。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首樣式約定本指南使用以下樣式約定。表 1.1 樣式約定元素含義粗體表示完全按顯示鍵入的字符，包括命令、交換機和文件名。用戶界面元素也以粗體顯示。斜體書籍和其他大量出版物的標(biāo)題以斜體顯示。以

27、斜體和尖括號設(shè)置的占位符（例如）表示變量。固定寬度字體定義代碼和腳本示例。注意提醒讀者閱讀補充信息。重要提醒讀者閱讀必要的補充信息。 HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection HYPERLINK /zh-cn/library/cc163069.aspx#mainSection#mainSection l mainSection#mainSection 返回頁首總結(jié)本章介紹WindowsXP 安全指南并匯總指南的各個章節(jié)。在您了解本指南的組織形式之后，就可以開始

28、充分利用 Windows XP SP2 中內(nèi)置的關(guān)鍵安全選項了。有效、成功的安全操作需要本指南中論述的所有方面的努力，不能單靠一方面的提高。因此，強烈建議作為更廣泛縱深防御安全體系結(jié)構(gòu)的一部分實施本指南中適合您的組織的所有建議。更多信息以下鏈接提供有關(guān) Windows XP Professional 安全相關(guān)主題的附加信息。有關(guān)可以在 Microsoft WindowsXP 上進行配置的安全設(shè)置的詳細信息，請參閱附加指南 HYPERLINK /china/technet/security/guidance/secmod48.mspx 威脅和對策：Windows Server 2003 和 Wi

29、ndows XP 的安全設(shè)置，網(wǎng)址為 /china/technet/security/guidance/secmod48.mspx。有關(guān)如何按照本指南所述的方式在服務(wù)器上實施安全的信息，請參閱 HYPERLINK /china/technet/security/guidance/secmod117.mspx Windows Server 2003 安全指南。本指南中的建議設(shè)計為應(yīng)用于需要支持 Windows XP 客戶端計算機的服務(wù)器，這些客戶端計算機是按照其余章節(jié)所述進行配置的?？蓮?/china/technet/security/guidance/secmod117.mspx 獲取。有關(guān)如何在組織中更有效地實施安全風(fēng)險管理的信息，請參閱 HYPERLINK /china/technet/security/guidance/secrisk/srsgch01.mspx 安全風(fēng)險管理指南，網(wǎng)址為 /ch