上一篇
下一篇
Windows XP 安全指南
作者:伟伟 日期:2007-07-27
任何 IT 环境与其最薄弱的链接具有相同的安全性。不幸的是,客户端操作系统在安全项目过程中常常被忽略。当您的组织计划实施带有 Service Pack 2 (SP2) 的 Microsoft® Windows® XP Professional 时,请确保安全是部署规划不可分割的一部分。
尽管 Windows XP 的默认安装非常安全,但是切记,您的环境中客户端计算机的安全性、可用性和功能之间存在权衡。透彻理解这些权衡之后,您的组织就可以最大限度地增强 Windows XP 部署的安全性。
本指南提供有关在下列三种不同环境中如何强化运行 Windows XP SP2 的计算机的特定建议:
• 企业客户端 (EC)。此环境中的客户端计算机位于 Active Directory® 目录服务域中,只需要与运行 Windows 2000 或更高版本的 Windows 操作系统的系统通信。
• 独立 (SA)。此环境中的客户端计算机不是 Active Directory 域的成员,可能需要与运行 Windows NT® 4.0 的系统通信。
• 专用安全 - 限制功能 (SSLF)。由于在此环境中对安全性非常关注,因此功能上和管理上的明显损失都在可接受之列。例如,军事和情报机构的计算机在此类环境中运行。
本页内容
本指南的目标读者
内容介绍
相关资源
向我们提供您的反馈意见
咨询和支持服务
本指南的目标读者
本指南主要面向负责企业环境中 Windows XP 工作站的应用程序或基础结构开发和部署的规划阶段的顾问、安全专家、系统结构设计人员和 IT 专业人员。本指南不面向家庭用户。
安全专家和 IT 设计人员可能需要有关本指南中所述的安全设置的更为详细的信息。可以在附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置中找到此信息,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
返回页首
内容介绍
Windows XP 提供迄今为止最可依赖的 Windows 客户端版本以及改进的安全和隐私功能。Windows XP 中已经提高了总体安全性,以帮助确保组织在更安全的计算环境中工作。《Windows XP 安全指南》包含七个章节,其中二至六章论述创建这种环境所需的过程。其中每个章节建立在端到端流程的基础之上,旨在确保基于 Windows XP 的计算机的安全。
图 1 《Windows XP 安全指南》各章概述
查看大图
第 1 章:《Windows XP 安全指南》简介
本章包括本指南的概述以及对目标读者、本指南中讨论的问题和本指南的总体目标的说明。
第 2 章:配置 Active Directory 域基础结构
您可以使用组策略来管理 Windows Server 2003 和 Windows 2000 域中的用户和计算机环境。它是确保 Windows XP 安全的重要工具,可以用来从中央位置在整个网络中应用和维护一致安全策略。本章论述将组策略应用于 Windows XP 客户端计算机之前必须在域中执行的基本步骤。
组策略设置存储在域控制器上的组策略对象 (GPO) 中。GPO 链接到 Active Directory 结构中的站点、域和 OU。由于组策略与 Active Directory 紧密集成,在实施组策略之前有必要对 Active Directory 结构和安全含义进行基本的了解。
第 3 章:Windows XP 客户端安全设置
本章描述可以在 Windows 2000 或 Windows Server 2003 Active Directory 域中通过组策略设置的 Windows XP 客户端计算机的安全设置。并没有为所有可用设置提供指导,而只是为那些帮助避免环境遭受最新威胁的设置提供了指导。该指导还允许用户继续在他们的计算机上执行正常作业功能。配置的设置应基于组织的安全目标。
第 4 章:Windows XP 管理模板
本章讨论可以使用管理模板添加到 Windows XP 中的设置。管理模板是可用来配置基于注册表的设置的 Unicode 文件,这些设置控制许多服务、应用程序和操作系统组件的行为。许多管理模板可以与 Windows XP 一起使用,它们包含数百个设置。
第 5 章:确保独立 Windows XP 客户端的安全
虽然本指南大部分重点介绍企业客户端 (EC) 和专用安全 – 限制功能 (SSLF) 环境,但是本章还讨论了独立 Windows XP 客户端计算机的配置。Microsoft 建议在 Active Directory 域基础结构中部署 Windows XP,同时认识到不能够总是这样做。本章提供有关如何将建议配置应用到不是 Windows 2000 或 Windows Server 2003 域成员的 Windows XP SP2 客户端计算机的指导。
第 6 章:Windows XP 客户端的软件限制策略
本章提供软件限制策略的基本概述,该软件限制策略向管理员提供一套策略驱动机制,用于标识和限制可以在其域中运行的软件。管理员可以使用软件限制策略阻止不想要的程序运行,并防止病毒、特洛伊木马或其他恶意代码传播。软件限制策略与 Active Directory 和组策略完全集成;如果仅应用于本地计算机,它们也可以用于没有 Windows Server 2003 域基础结构的环境。
第 7 章:结论
最后一章简要回顾前几章中论述的内容的要点。
附录 A:需要考虑的关键设置
虽然本指南论述了许多安全对策和安全设置,了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows XP SP2 的计算机的安全产生最大影响的设置。
附录 B:测试《Windows XP 安全指南》
本附录阐述如何在实验室环境中测试《Windows XP 安全指南》以确保指导按预期工作。
返回页首
相关资源
有关本指南中指定的安全设置的其他信息,请下载附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
阅读 Microsoft Solutions for Security and Compliance (MSSC) 小组的其他安全解决方案。
返回页首
向我们提供您的反馈意见
Microsoft Solutions for Security and Compliance (MSSC) 小组欢迎您提供有关此解决方案以及其他解决方案的想法。
有意见吗?请在IT 专业人员的安全解决方案网络日志上告诉我们。
或者通过电子邮件将反馈发送到以下地址:SecWish@microsoft.com。 我们通常会响应发送到此邮箱的反馈。
我们期待着您的反馈。
返回页首
咨询和支持服务
有许多服务可有助于组织的安全活动。使用以下链接可以帮助您找到所需的服务:
对于 Microsoft 金牌服务认证伙伴、Microsoft 技术认证培训中心、Microsoft 认证伙伴以及独立软件供应商 (ISV) 提供的使用 Microsoft 技术的产品,应在以下网址搜索Microsoft Resource Directory:http://directory.microsoft.com/resourcedirectory/Solutions.aspx。
要查找适合于您的组织需要的咨询和支持服务,请在以下网址访问Microsoft Services:http://support.microsoft.com/msservices。
尽管 Windows XP 的默认安装非常安全,但是切记,您的环境中客户端计算机的安全性、可用性和功能之间存在权衡。透彻理解这些权衡之后,您的组织就可以最大限度地增强 Windows XP 部署的安全性。
本指南提供有关在下列三种不同环境中如何强化运行 Windows XP SP2 的计算机的特定建议:
• 企业客户端 (EC)。此环境中的客户端计算机位于 Active Directory® 目录服务域中,只需要与运行 Windows 2000 或更高版本的 Windows 操作系统的系统通信。
• 独立 (SA)。此环境中的客户端计算机不是 Active Directory 域的成员,可能需要与运行 Windows NT® 4.0 的系统通信。
• 专用安全 - 限制功能 (SSLF)。由于在此环境中对安全性非常关注,因此功能上和管理上的明显损失都在可接受之列。例如,军事和情报机构的计算机在此类环境中运行。
本页内容
本指南的目标读者
内容介绍
相关资源
向我们提供您的反馈意见
咨询和支持服务
本指南的目标读者
本指南主要面向负责企业环境中 Windows XP 工作站的应用程序或基础结构开发和部署的规划阶段的顾问、安全专家、系统结构设计人员和 IT 专业人员。本指南不面向家庭用户。
安全专家和 IT 设计人员可能需要有关本指南中所述的安全设置的更为详细的信息。可以在附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置中找到此信息,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
返回页首
内容介绍
Windows XP 提供迄今为止最可依赖的 Windows 客户端版本以及改进的安全和隐私功能。Windows XP 中已经提高了总体安全性,以帮助确保组织在更安全的计算环境中工作。《Windows XP 安全指南》包含七个章节,其中二至六章论述创建这种环境所需的过程。其中每个章节建立在端到端流程的基础之上,旨在确保基于 Windows XP 的计算机的安全。
图 1 《Windows XP 安全指南》各章概述
查看大图
第 1 章:《Windows XP 安全指南》简介
本章包括本指南的概述以及对目标读者、本指南中讨论的问题和本指南的总体目标的说明。
第 2 章:配置 Active Directory 域基础结构
您可以使用组策略来管理 Windows Server 2003 和 Windows 2000 域中的用户和计算机环境。它是确保 Windows XP 安全的重要工具,可以用来从中央位置在整个网络中应用和维护一致安全策略。本章论述将组策略应用于 Windows XP 客户端计算机之前必须在域中执行的基本步骤。
组策略设置存储在域控制器上的组策略对象 (GPO) 中。GPO 链接到 Active Directory 结构中的站点、域和 OU。由于组策略与 Active Directory 紧密集成,在实施组策略之前有必要对 Active Directory 结构和安全含义进行基本的了解。
第 3 章:Windows XP 客户端安全设置
本章描述可以在 Windows 2000 或 Windows Server 2003 Active Directory 域中通过组策略设置的 Windows XP 客户端计算机的安全设置。并没有为所有可用设置提供指导,而只是为那些帮助避免环境遭受最新威胁的设置提供了指导。该指导还允许用户继续在他们的计算机上执行正常作业功能。配置的设置应基于组织的安全目标。
第 4 章:Windows XP 管理模板
本章讨论可以使用管理模板添加到 Windows XP 中的设置。管理模板是可用来配置基于注册表的设置的 Unicode 文件,这些设置控制许多服务、应用程序和操作系统组件的行为。许多管理模板可以与 Windows XP 一起使用,它们包含数百个设置。
第 5 章:确保独立 Windows XP 客户端的安全
虽然本指南大部分重点介绍企业客户端 (EC) 和专用安全 – 限制功能 (SSLF) 环境,但是本章还讨论了独立 Windows XP 客户端计算机的配置。Microsoft 建议在 Active Directory 域基础结构中部署 Windows XP,同时认识到不能够总是这样做。本章提供有关如何将建议配置应用到不是 Windows 2000 或 Windows Server 2003 域成员的 Windows XP SP2 客户端计算机的指导。
第 6 章:Windows XP 客户端的软件限制策略
本章提供软件限制策略的基本概述,该软件限制策略向管理员提供一套策略驱动机制,用于标识和限制可以在其域中运行的软件。管理员可以使用软件限制策略阻止不想要的程序运行,并防止病毒、特洛伊木马或其他恶意代码传播。软件限制策略与 Active Directory 和组策略完全集成;如果仅应用于本地计算机,它们也可以用于没有 Windows Server 2003 域基础结构的环境。
第 7 章:结论
最后一章简要回顾前几章中论述的内容的要点。
附录 A:需要考虑的关键设置
虽然本指南论述了许多安全对策和安全设置,了解少量安全对策和安全设置尤其重要。本附录论述会对运行 Windows XP SP2 的计算机的安全产生最大影响的设置。
附录 B:测试《Windows XP 安全指南》
本附录阐述如何在实验室环境中测试《Windows XP 安全指南》以确保指导按预期工作。
返回页首
相关资源
有关本指南中指定的安全设置的其他信息,请下载附加指南威胁和对策:Windows Server 2003 和 Windows XP 的安全设置,网址为 http://www.microsoft.com/china/technet/security/guidance/secmod48.mspx。
阅读 Microsoft Solutions for Security and Compliance (MSSC) 小组的其他安全解决方案。
返回页首
向我们提供您的反馈意见
Microsoft Solutions for Security and Compliance (MSSC) 小组欢迎您提供有关此解决方案以及其他解决方案的想法。
有意见吗?请在IT 专业人员的安全解决方案网络日志上告诉我们。
或者通过电子邮件将反馈发送到以下地址:SecWish@microsoft.com。 我们通常会响应发送到此邮箱的反馈。
我们期待着您的反馈。
返回页首
咨询和支持服务
有许多服务可有助于组织的安全活动。使用以下链接可以帮助您找到所需的服务:
对于 Microsoft 金牌服务认证伙伴、Microsoft 技术认证培训中心、Microsoft 认证伙伴以及独立软件供应商 (ISV) 提供的使用 Microsoft 技术的产品,应在以下网址搜索Microsoft Resource Directory:http://directory.microsoft.com/resourcedirectory/Solutions.aspx。
要查找适合于您的组织需要的咨询和支持服务,请在以下网址访问Microsoft Services:http://support.microsoft.com/msservices。
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: 659
发表评论
