《如何在活动目录环境下配置 Windows XP SP2 网络保护技术》由会员分享,可在线阅读,更多相关《如何在活动目录环境下配置 Windows XP SP2 网络保护技术(33页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页如何在活动目录环境下配置 Windows XP SP2 网络保护技术目录l 简介 l 开始之前 l 在管理工作站和 Windows Small Business Server 2003 上添加修补程序 l 更新现有的组策略对象 l 配置安全中心设置 l 配置 Windows 防火墙设置 l 配置 Internet Explorer 安全设置 l 配置 Internet 通信管理设置 l 配置 DCOM 访问设置 l 配置 RPC 设置 l 相关信息 简介组策略设置基于您的 Microsoft Active Dire
2、ctory 组织实施而应用,有助于通过各类用户和计算机内的标准配置设置来保护您的计算机环境。 用于 Microsoft Windows XP Service Pack 2 (SP2) 的新组策略网络保护设置包括:l Windows 防火墙。 配置这些策略设置以打开或关闭防火墙、管理程序和端口例外并为特定方案定义例外,例如允许在目标计算机上进行远程管理。 l Internet Explorer。 通过这些新的策略设置,您可以配置 Microsoft Internet Explorer 安全设置。 此外,通过策略设置,您还可以为不同的过程启用或禁用 Internet Explorer 安全功能。
3、l Internet 通信管理。 您可以配置这些设置以控制不同组件如何在 Windows XP SP2 上通过 Internet 进行通信,以便执行涉及到组织和 Internet 内的计算机之间信息交换的任务。l DCOM 安全。 通过配置这些设置,可以控制分布式组件对象模型 (DCOM) 的安全设置。 DCOM 基础结构包括新的访问控制限制,有助于尽量减少网络攻击所带来的安全风险。 l 安全中心。 通过配置这些设置,可以集中管理 Windows 安全中心。 安全中心是 Windows XP SP2 中的新功能,允许您监视组织内的计算机以确保它们得到最新的安全更新,并在计算机遭遇安全风险时提供
4、用户警报。l 远程过程调用 (RPC)。 您可以配置 RPC 策略设置以阻止对系统上的 RPC 接口的远程匿名访问,并防止对 RPC 终点映射程序接口的匿名访问。本文档解释了如何部署网络保护组策略设置,以帮助保护 Windows XP SP2 客户计算机。 有关推荐设置的完整列表,请参阅下面的资源:l Microsoft TechNet 网站 http:/ 上的“Windows XP Security Guide Appendix A: Additional Guidance for Windows XP Service Pack 2”您可以在活动目录域中执行关于组策略对象 (GPO) 的任务
5、。 其中一些任务可以通过域控制器来运行,但是通常都在包含活动目录管理工具的 Windows XP SP2 客户计算机上执行。 注: 有关如何部署 GPO 的更多信息,请参阅下面的资源: l Microsoft Windows Server System 网站 http:/ 上的“Designing a Managed Environment: Staging Group Policy Deployments”要在活动目录环境下配置网络保护,请配置以下任务: l 在管理工作站上添加修补程序l 更新现有的 GPOl 配置安全中心设置l 配置 Windows 防火墙设置l 配置 Internet E
6、xplorer 设置l 配置 Internet 通信管理设置l 配置 DCOM 安全设置l 配置 RPC 设置重要: 安装操作系统时,使用默认出现的“开始”菜单,便可获得本文档中的步骤说明。 如果修改了“开始”菜单,操作步骤会略有不同。有关安全相关术语的定义,请参阅下面的资源:l Microsoft 网站 http:/ 上的“Microsoft Security Glossary”开始之前在使用运行以下任何产品版本的域控制器的活动目录域中,Windows XP SP2 可以用作 Windows 域客户端:l Microsoft Windows Server 2003l Microsoft Wi
7、ndows Small Business Server 2003 l Microsoft Windows 2000 Server SP3 或更高版本 安装修补程序之前,请确保您已备份了计算机,包括注册表的备份。有关如何备份注册表的更多信息,请参阅下面的资源:l Microsoft 帮助和支持网站 http:/ 上的 Microsoft 知识库文章 322756在管理工作站和 Windows Small Business Server 2003 上添加修补程序如果您在运行较早版本操作系统或 Service Pack(例如附带 SP1 的 Windows XP 或 Windows Server 2
8、003)的计算机上管理组策略对象设置,则必须安装修补程序 (KB842933),以使策略设置正确地显示在“组策略对象编辑器”中。如果您使用 Small Business Server 2003 (SBS 2003),则必须应用附加修补程序 (KB872769),因为 SBS 2003 会默认关闭 Windows 防火墙。 修补程序可以解决此问题。注:列出的修补程序并不是 Windows 更新的一部分,您必须单独安装它们。 修补程序必须单独应用于所有受影响的系统。KB842933 适用于:l Microsoft Windows Server 2003, Web Edition l Microso
9、ft Windows Server 2003, Standard Edition l Microsoft Windows Server 2003, Enterprise Edition l Microsoft Windows Server 2003, 64-Bit Enterprise Edition l Microsoft Windows XP Professional SP1 l Microsoft Windows Small Business Server 2003, Premium Edition l Microsoft Windows Small Business Server 20
10、03, Standard Edition l Microsoft Windows 2000 Advanced Server l Microsoft Windows 2000 Server l Microsoft Windows 2000 ProfessionalKB872769 适用于:l Microsoft Windows Small Business Server 2003, Standard Edition l Microsoft Windows Small Business Server 2003, Premium Edition 注:要获得这些修补程序并了解更多信息,请参阅下面的资源
11、: l Microsoft 帮助和支持网站 http:/ 上的 Microsoft 知识库文章 842933l Microsoft 帮助和支持网站 http:/ 上的 Microsoft 知识库文章 872769执行此任务的要求l 凭据:您必须作为域管理员安全组或本地管理员安全组的成员登录到客户计算机。l 工具:按照知识库文章 842933 和 872769 中的解释,正确下载适用于您的操作系统的修补程序。在 Windows Small Business Server 2003、Windows 2000 Server SP3 或更高版本、Windows XP SP1 或 Windows Ser
12、ver 2003 上添加修补程序 842933添加修补程序1. 在 Windows 桌面上单击“开始”,单击“运行”,键入已下载修补程序的路径和文件名,然后单击“确定”。2. 在“欢迎使用 KB842933 安装向导”页面上,单击“下一步”。3. 在“许可协议”页面中,单击“我同意”,然后单击“下一步”。4. 在“完成 KB842933 安装向导”页面上单击“完成”,以便完成修补程序安装并重新启动计算机。5. 为适用的所有系统(服务器和管理工作站)重复以上步骤。在 Windows Small Business Server 2003 上添加修补程序 872769添加修补程序1. 在 Windo
13、ws 桌面上单击“开始”,单击“运行”,键入已下载 872769 修补程序的路径和文件名,然后单击“确定”。2. 在“欢迎使用 KB872769 安装向导”页面上,单击“下一步”。3. 在“许可协议”页面中,单击“我同意”,然后单击“下一步”。4. “完成 KB872769 安装向导”页面上单击“完成”,以便完成修补程序安装并重新启动计算机。更新现有的组策略对象Windows XP SP2 将在管理模板中添加附加设置。 要配置这些新设置,每个 GPO 都必须使用在 Windows XP SP2 中找到的新管理模板进行更新。 除非更新组策略对象,否则将不能使用与 Windows 防火墙相关的设置
14、。 如果安装 Windows XP SP2 的计算机上安装了组策略对象编辑器管理单元,则可以使用 Microsoft 管理控制台 (MMC) 来更新 GPO。更新 GPO 之后,您可以针对自己运行 Windows XP SP2 的计算机来配置适当的网络保护设置。执行此任务的要求l 凭据:如果 Windows XP SP2 计算机是活动目录域客户端,则必须作为域管理员或组策略 Creator/Owner 安全组的成员登录。l 工具:已安装组策略对象编辑器管理单元的 Microsoft 管理控制台 (MMC)。更新组策略对象更新组策略对象1. 在 Windows XP SP2 桌面上单击“开始”,
15、单击“运行”,键入 mmc,然后单击“确定”。2. 在“文件”菜单上,单击“添加/删除管理单元”。 3. 在“独立”选项卡上,单击“添加”。 4. 在“可用的独立管理单元”列表中单击“组策略对象编辑器”,然后单击“添加”。 5. 在“选择组策略对象”对话框中,单击“浏览”。图 1 浏览组策略对象6. 在“浏览组策略对象”对话框中,选择您要使用新的 Windows 防火墙设置来更新的组策略对象。 7. 单击“确定”,然后单击“完成”以关闭组策略向导。 此操作会将新的管理模板应用于选定的 GPO。8. 在“添加独立管理单元”对话框中,单击“关闭”。9. 在“添加/删除管理单元”对话框中,单击“确定”。10. 关闭 MMC,单击“文件”并退出,不保存对控制设置所作的更改。注:尽管您不
