如何在活动目录环境下配置WindowsXPSP2网络保护技术目录简介开始之前在管理工作站和WindowsSmallBusinessServer2003上添加修补程序更新现有的组策略对象配置安全中心设置配置Windows防火墙设置配置InternetExplorer安全设置配置Internet通信管理设置配置DCOM访问设置配置RPC设置相关信息简介组策略设置基于您的MicrosoftActiveDirectory组织实施而应用,有助于通过各类用户和计算机内的标准配置设置来保护您的计算机环境。用于MicrosoftWindowsXPServicePack2(SP2)的新组策略网络保护设置包括:Windows防火墙。配置这些策略设置以打开或关闭防火墙、管理程序和端口例外并为特定方案定义例外,例如允许在目标计算机上进行远程管理。InternetExplorer。通过这些新的策略设置,您可以配置MicrosoftInternetExplorer安全设置。此外,通过策略设置,您还可以为不同的过程启用或禁用InternetExplorer安全功能。Internet通信管理。您可以配置这些设置以控制不同组件如何在WindowsXPSP2上通过Internet进行通信,以便执行涉及到组织和Internet内的计算机之间信息交换的任务。DCOM安全。通过配置这些设置,可以控制分布式组件对象模型(DCOM)的安全设置。DCOM基础结构包括新的访问控制限制,有助于尽量减少网络攻击所带来的安全风险。安全中心。通过配置这些设置,可以集中管理Windows安全中心。安全中心是WindowsXPSP2中的新功能,允许您监视组织内的计算机以确保它们得到最新的安全更新,并在计算机遭遇安全风险时提供用户警报。远程过程调用(RPC)。您可以配置RPC策略设置以阻止对系统上的RPC接口的远程匿名访问,并防止对RPC终点映射程序接口的匿名访问。本文档解释了如何部署网络保护组策略设置,以帮助保护WindowsXPSP2客户计算机。有关推荐设置的完整列表,请参阅下面的资源:MicrosoftTechNet网站=35465上的“WindowsXPSecurityGuideAppendixA:AdditionalGuidanceforWindowsXPServicePack2”您可以在活动目录域中执行关于组策略对象(GPO)的任务。其中一些任务可以通过域控制器来运行,但是通常都在包含活动目录管理工具的WindowsXPSP2客户计算机上执行。注:有关如何部署GPO的更多信息,请参阅下面的资源:•MicrosoftWindowsServerSystem网站=35498上的“DesigningaManagedEnvironment:StagingGroupPolicyDeployments”要在活动目录环境下配置网络保护,请配置以下任务:在管理工作站上添加修补程序更新现有的GPO配置安全中心设置配置Windows防火墙设置配置InternetExplorer设置配置Internet通信管理设置配置DCOM安全设置配置RPC设置重要:安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的步骤说明。如果修改了“开始”菜单,操作步骤会略有不同。有关安全相关术语的定义,请参阅下面的资源:Microsoft网站=35468上的“MicrosoftSecurityGlossary”开始之前在使用运行以下任何产品版本的域控制器的活动目录域中,WindowsXPSP2可以用作Windows域客户端:MicrosoftWindowsServer2003MicrosoftWindowsSmallBusinessServer2003MicrosoftWindows2000ServerSP3或更高版本安装修补程序之前,请确保您已备份了计算机,包括注册表的备份。有关如何备份注册表的更多信息,请参阅下面的资源:Microsoft帮助和支持网站=36365上的Microsoft知识库文章322756在管理工作站和WindowsSmallBusinessServer2003上添加修补程序如果您在运行较早版本操作系统或ServicePack(例如附带SP1的WindowsXP或WindowsServer2003)的计算机上管理组策略对象设置,则必须安装修补程序(KB842933),以使策略设置正确地显示在“组策略对象编辑器”中。如果您使用SmallBusinessServer2003(SBS2003),则必须应用附加修补程序(KB872769),因为SBS2003会默认关闭Windows防火墙。修补程序可以解决此问题。注:列出的修补程序并不是Windows更新的一部分,您必须单独安装它们。修补程序必须单独应用于所有受影响的系统。KB842933适用于:MicrosoftWindowsServer2003,WebEditionMicrosoftWindowsServer2003,StandardEditionMicrosoftWindowsServer2003,EnterpriseEditionMicrosoftWindowsServer2003,64-BitEnterpriseEditionMicrosoftWindowsXPProfessionalSP1MicrosoftWindowsSmallBusinessServer2003,PremiumEditionMicrosoftWindowsSmallBusinessServer2003,StandardEditionMicrosoftWindows2000AdvancedServerMicrosoftWindows2000ServerMicrosoftWindows2000ProfessionalKB872769适用于:MicrosoftWindowsSmallBusinessServer2003,StandardEditionMicrosoftWindowsSmallBusinessServer2003,PremiumEdition注:要获得这些修补程序并了解更多信息,请参阅下面的资源:Microsoft帮助和支持网站=35474上的Microsoft知识库文章842933Microsoft帮助和支持网站=35477上的Microsoft知识库文章872769执行此任务的要求凭据:您必须作为域管理员安全组或本地管理员安全组的成员登录到客户计算机。工具:按照知识库文章842933和872769中的解释,正确下载适用于您的操作系统的修补程序。在WindowsSmallBusinessServer2003、Windows2000ServerSP3或更高版本、WindowsXPSP1或WindowsServer2003上添加修补程序842933添加修补程序1.在Windows桌面上单击“开始”,单击“运行”,键入已下载修补程序的路径和文件名,然后单击“确定”。2.在“欢迎使用KB842933安装向导”页面上,单击“下一步”。3.在“许可协议”页面中,单击“我同意”,然后单击“下一步”。4.在“完成KB842933安装向导”页面上单击“完成”,以便完成修补程序安装并重新启动计算机。5.为适用的所有系统(服务器和管理工作站)重复以上步骤。在WindowsSmallBusinessServer2003上添加修补程序872769添加修补程序1.在Windows桌面上单击“开始”,单击“运行”,键入已下载872769修补程序的路径和文件名,然后单击“确定”。2.在“欢迎使用KB872769安装向导”页面上,单击“下一步”。3.在“许可协议”页面中,单击“我同意”,然后单击“下一步”。4.“完成KB872769安装向导”页面上单击“完成”,以便完成修补程序安装并重新启动计算机。更新现有的组策略对象WindowsXPSP2将在管理模板中添加附加设置。要配置这些新设置,每个GPO都必须使用在WindowsXPSP2中找到的新管理模板进行更新。除非更新组策略对象,否则将不能使用与Windows防火墙相关的设置。如果安装WindowsXPSP2的计算机上安装了组策略对象编辑器管理单元,则可以使用Microsoft管理控制台(MMC)来更新GPO。更新GPO之后,您可以针对自己运行WindowsXPSP2的计算机来配置适当的网络保护设置。执行此任务的要求凭据:如果WindowsXPSP2计算机是活动目录域客户端,则必须作为域管理员或组策略Creator/Owner安全组的成员登录。工具:已安装组策略对象编辑器管理单元的Microsoft管理控制台(MMC)。更新组策略对象更新组策略对象1.在WindowsXPSP2桌面上单击“开始”,单击“运行”,键入mmc,然后单击“确定”。2.在“文件”菜单上,单击“添加/删除管理单元”。3.在“独立”选项卡上,单击“添加”。4.在“可用的独立管理单元”列表中单击“组策略对象编辑器”,然后单击“添加”。5.在“选择组策略对象”对话框中,单击“浏览”。图1浏览组策略对象6.在“浏览组策略对象”对话框中,选择您要使用新的Windows防火墙设置来更新的组策略对象。7.单击“确定”,然后单击“完成”以关闭组策略向导。此操作会将新的管理模板应用于选定的GPO。8.在“添加独立管理单元”对话框中,单击“关闭”。9.在“添加/删除管理单元”对话框中,单击“确定”。10.关闭MMC,单击“文件”并退出,不保存对控制设置所作的更改。注:尽管您不保存控制台更改,以上过程也会将来自WindowsXPSP2的新管理模板导入到GPO中。模板必须导入每个已定义的GPO中。11.对要用于将组策略应用到安装WindowsXPSP2的计算机的每个GPO重复这些步骤。注:要为使用活动目录和WindowsXPSP1的网络环境更新您的GPO,Microsoft建议您使用可免费下载的组策略管理控制台。有关更多信息,请参阅下面的资源:MicrosoftWindowsServerSystem网站=35479上的“EnterpriseManagementwiththeGroupPolicyManagementConsole”配置安全中心设置安全中心是WindowsXPSP2中的一项新服务,它提供的中央位置可用于更改安全设置、详细了解安全性,并确保用户的计算机具有Microsoft推荐的最新主要安全设置。在Windows域环境中,您可以使用组策略来允许安全中心监视用户的计算机,从而有助于确保它们具有最新的安全更新,并在用户的计算机可能遭遇风险时通知他们。安装中心服务将作为后台进程运行,并在用户的计算机上检查以下组件的状态:防火墙。安全中心将检查Windows防火墙是已打开还是关闭,同时检查是否存在其它一些软件防火墙。为检查其它防火墙,安全中心将查询特定Windows管理规范(WMI)提供程序,它们已由参与的供应商提供。病毒保护。安全中心将检查是否存在防病毒软件。为检查是否存在防病毒软件,安全中心将查询由参与的供应商提供的特定WMI提供程序。如果提供了信息,安全中心服务还将确定软件是不是最新版本以及是否打开了实时扫描。自动更新。安全中心将检查并确