《如何在活动目录环境下配置 Windows XP SP2 网络保护技术4989.docx》由会员分享,可在线阅读,更多相关《如何在活动目录环境下配置 Windows XP SP2 网络保护技术4989.docx(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如何在活活动目录录环境下下配置 Winndowws XXP SSP2 网络保保护技术术目录l 简介 l 开始之前前 l 在管理工工作站和和 Wiindoows Smaall Bussineess Serrverr 20003 上添加加修补程程序 l 更新现有有的组策策略对象象 l 配置安全全中心设设置 l 配置 WWinddowss 防火火墙设置置 l 配置 IInteerneet EExplloreer 安安全设置置 l 配置 IInteerneet 通通信管理理设置 l 配置 DDCOMM 访问问设置 l 配置 RRPC 设置 l 相关信息息 简介组策略设设置基于于您的 Miccrosso
2、ftt Acctivve DDireectoory 组织实实施而应应用,有有助于通通过各类类用户和和计算机机内的标标准配置置设置来来保护您您的计算算机环境境。 用用于 MMicrrosooft Winndowws XXP SServvicee Paack 2 (SP22) 的的新组策策略网络络保护设设置包括括:l Winddowss 防火火墙。 配置这这些策略略设置以以打开或或关闭防防火墙、管管理程序序和端口口例外并并为特定定方案定定义例外外,例如如允许在在目标计计算机上上进行远远程管理理。 l Inteerneet EExplloreer。 通过这这些新的的策略设设置,您您可以配配置 MMi
3、crrosooft Intternnet Expplorrer 安全设设置。 此外,通通过策略略设置,您您还可以以为不同同的过程程启用或或禁用 Intternnet Expplorrer 安全功功能。 l Inteerneet 通通信管理理。 您您可以配配置这些些设置以以控制不不同组件件如何在在 Wiindoows XP SP22 上通通过 IInteerneet 进进行通信信,以便便执行涉涉及到组组织和 Intternnet 内的计计算机之之间信息息交换的的任务。l DCOMM 安全全。 通通过配置置这些设设置,可可以控制制分布式式组件对对象模型型 (DDCOMM) 的的安全设设置。 DCO
4、OM 基基础结构构包括新新的访问问控制限限制,有有助于尽尽量减少少网络攻攻击所带带来的安安全风险险。 l 安全中心心。 通通过配置置这些设设置,可可以集中中管理 Winndowws 安安全中心心。 安安全中心心是 WWinddowss XPP SPP2 中中的新功功能,允允许您监监视组织织内的计计算机以以确保它它们得到到最新的的安全更更新,并并在计算算机遭遇遇安全风风险时提提供用户户警报。l 远程过程程调用 (RPPC)。 您可以以配置 RPCC 策略略设置以以阻止对对系统上上的 RRPC 接口的的远程匿匿名访问问,并防防止对 RPCC 终点点映射程程序接口口的匿名名访问。本文档解解释了如如何
5、部署署网络保保护组策策略设置置,以帮帮助保护护 Wiindoows XP SP22 客户户计算机机。 有关推荐荐设置的的完整列列表,请请参阅下下面的资资源:l Micrrosooft TecchNeet 网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3354665 上上的“Winndowws XXP SSecuuritty GGuidde AAppeendiix AA: AAddiitioonall Guuidaancee foor WWinddowss XPP Seerviice Pacck 22”您可以在在活动目目录域中中执行关关于
6、组策策略对象象 (GGPO) 的任任务。 其中一一些任务务可以通通过域控控制器来来运行,但但是通常常都在包包含活动动目录管管理工具具的 WWinddowss XPP SPP2 客客户计算算机上执执行。 注: 有有关如何何部署 GPOO 的更更多信息息,请参参阅下面面的资源源: l Miicroosofft WWinddowss Seerveer SSysttem 网站 htttp:/goo.miicroosofft.ccom/fwllinkk/?llinkkid=354498 上的“Dessignningg a Mannageed EEnviironnmennt: Staaginng GGro
7、uup PPoliicy Depployymennts”要在活动动目录环环境下配配置网络络保护,请请配置以以下任务务: l 在管理工工作站上上添加修修补程序序l 更新现有有的 GGPOl 配置安全全中心设设置l 配置 WWinddowss 防火火墙设置置l 配置 IInteerneet EExplloreer 设设置l 配置 IInteerneet 通通信管理理设置l 配置 DDCOMM 安全全设置l 配置 RRPC 设置重要: 安装操操作系统统时,使使用默认认出现的的“开始”菜单,便便可获得得本文档档中的步步骤说明明。 如如果修改改了“开始”菜单,操操作步骤骤会略有有不同。有关安全全相关术术
8、语的定定义,请请参阅下下面的资资源:l Micrrosooft 网站 htttp:/goo.miicroosofft.ccom/fwllinkk/?LLinkkId=354468 上的“Miccrossoftt Seecurrityy Gllosssaryy”开始之前前在使用运运行以下下任何产产品版本本的域控控制器的的活动目目录域中中,Wiindoows XP SP22 可以以用作 Winndowws 域域客户端端:l Micrrosooft Winndowws SServver 20003l Micrrosooft Winndowws SSmalll BBusiinesss SServver
9、 20003 l Micrrosooft Winndowws 220000 Seerveer SSP3 或更高高版本 安装修补补程序之之前,请请确保您您已备份份了计算算机,包包括注册册表的备备份。有关如何何备份注注册表的的更多信信息,请请参阅下下面的资资源:l Micrrosooft 帮助和和支持网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3363665 上上的 MMicrrosooft 知识库库文章 32227566在管理工工作站和和 Wiindoows Smaall Bussineess Serrverr 20003 上添加加修补
10、程程序如果您在在运行较较早版本本操作系系统或 Serrvicce PPackk(例如如附带 SPP1 的的 Wiindoows XP 或 WWinddowss Seerveer 220033)的计计算机上上管理组组策略对对象设置置,则必必须安装装修补程程序 (KB88429933),以使使策略设设置正确确地显示示在“组策略略对象编编辑器”中。如果您使使用 SSmalll BBusiinesss SServver 20003 (SBSS 20003),则必必须应用用附加修修补程序序 (KKB87727669),因因为 SSBS 20003 会会默认关关闭 WWinddowss 防火火墙。 修补程
11、程序可以以解决此此问题。注:列出出的修补补程序并并不是 Winndowws 更更新的一一部分,您您必须单单独安装装它们。 修补程程序必须须单独应应用于所所有受影影响的系系统。KB84429333 适适用于:l Micrrosooft Winndowws SServver 20003, Webb Edditiion l Micrrosooft Winndowws SServver 20003, Staandaard Ediitioon l Micrrosooft Winndowws SServver 20003, Entterpprisse EEdittionn l Micrrosooft Wi
12、nndowws SServver 20003, 64-Bitt Ennterrpriise Ediitioon l Micrrosooft Winndowws XXP PProffesssionnal SP11 l Micrrosooft Winndowws SSmalll BBusiinesss SServver 20003, Preemiuum EEdittionn l Micrrosooft Winndowws SSmalll BBusiinesss SServver 20003, Staandaard Ediitioon l Micrrosooft Winndowws 220000 A
13、ddvanncedd Seerveer l Micrrosooft Winndowws 220000 Seerveer l Micrrosooft Winndowws 220000 PrrofeessiionaalKB87727669 适适用于:l Micrrosooft Winndowws SSmalll BBusiinesss SServver 20003, Staandaard Ediitioon l Micrrosooft Winndowws SSmalll BBusiinesss SServver 20003, Preemiuum EEdittionn 注:要获获得这些些修补程程序并
14、了了解更多多信息,请请参阅下下面的资资源: l Micrrosooft 帮助和和支持网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3354774 上上的 MMicrrosooft 知识库库文章 84229333l Micrrosooft 帮助和和支持网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3354777 上上的 MMicrrosooft 知识库库文章 87227699执行此任任务的要要求l 凭据:您您必须作作为域管管理员安安全组或或本地管管理员安安全组的的成员登登录到客客户
15、计算算机。l 工具:按按照知识识库文章章 84429333 和和 87727669 中中的解释释,正确确下载适适用于您您的操作作系统的的修补程程序。在 Wiindoows Smaall Bussineess Serrverr 20003、WWinddowss 20000 Serrverr SPP3 或或更高版版本、WWinddowss XPP SPP1 或或 Wiindoows Serrverr 20003 上添加加修补程程序 88429933添加修补补程序1. 在 Wiindoows 桌面上上单击“开始”,单击击“运行”,键入入已下载载修补程程序的路路径和文文件名,然然后单击击“确定”。2.
16、 在“欢迎迎使用 KB88429933 安装向向导”页面上上,单击击“下一步步”。3. 在“许可可协议”页面中中,单击击“我同意意”,然后后单击“下一步步”。4. 在“完成成 KBB84229333 安装装向导”页面上上单击“完成”,以便便完成修修补程序序安装并并重新启启动计算算机。5. 为适用的的所有系系统(服服务器和和管理工工作站)重重复以上上步骤。在 Wiindoows Smaall Bussineess Serrverr 20003 上添加加修补程程序 88727769添加修补补程序1. 在 Wiindoows 桌面上上单击“开始”,单击击“运行”,键入入已下载载 87727669 修
17、修补程序序的路径径和文件件名,然然后单击击“确定”。2. 在“欢迎迎使用 KB88727769 安装向向导”页面上上,单击击“下一步步”。3. 在“许可可协议”页面中中,单击击“我同意意”,然后后单击“下一步步”。4. “完成 KB88727769 安装向向导”页面上上单击“完成”,以便便完成修修补程序序安装并并重新启启动计算算机。更新现有有的组策策略对象象Winddowss XPP SPP2 将将在管理理模板中中添加附附加设置置。 要要配置这这些新设设置,每每个 GGPO 都必须须使用在在 Wiindoows XP SP22 中找找到的新新管理模模板进行行更新。 除非更更新组策策略对象象,否
18、则则将不能能使用与与 Wiindoows 防火墙墙相关的的设置。 如果安装装 Wiindoows XP SP22 的计计算机上上安装了了组策略略对象编编辑器管管理单元元,则可可以使用用 Miicroosofft 管管理控制制台 (MMCC) 来来更新 GPOO。更新 GGPO 之后,您您可以针针对自己己运行 Winndowws XXP SSP2 的计算算机来配配置适当当的网络络保护设设置。执行此任任务的要要求l 凭据:如如果 WWinddowss XPP SPP2 计计算机是是活动目目录域客客户端,则则必须作作为域管管理员或或组策略略 Crreattor/Ownner 安全组组的成员员登录。l
19、 工具:已已安装组组策略对对象编辑辑器管理理单元的的 Miicroosofft 管管理控制制台 (MMCC)。更新组策策略对象象更新组策策略对象象1. 在 Wiindoows XP SP22 桌面面上单击击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件件”菜单上上,单击击“添加/删除管管理单元元”。 3. 在“独立立”选项卡卡上,单单击“添加”。 4. 在“可用用的独立立管理单单元”列表中中单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择择组策略略对象”对话框框中,单单击“浏览”。图 1 浏浏览组策策略对象象6. 在“浏览览组策略略对象”对话
20、框框中,选选择您要要使用新新的 WWinddowss 防火火墙设置置来更新新的组策策略对象象。 7. 单击“确确定”,然后后单击“完成”以关闭闭组策略略向导。 此操作会会将新的的管理模模板应用用于选定定的 GGPO。8. 在“添加加独立管管理单元元”对话框框中,单单击“关闭”。9. 在“添加加/删除除管理单单元”对话框框中,单单击“确定”。10. 关闭 MMMC,单单击“文件”并退出出,不保保存对控控制设置置所作的的更改。注:尽管管您不保保存控制制台更改改,以上上过程也也会将来来自 WWinddowss XPP SPP2 的的新管理理模板导导入到 GPOO 中。 模板必必须导入入每个已已定义的
21、的 GPPO 中中。 11. 对要用于于将组策策略应用用到安装装 Wiindoows XP SP22 的计计算机的的每个 GPOO 重复复这些步步骤。注: 要为使使用活动动目录和和 Wiindoows XP SP11 的网网络环境境更新您您的 GGPO,MMicrrosooft 建议您您使用可可免费下下载的组组策略管管理控制制台。 有关更更多信息息,请参参阅下面面的资源源:l Micrrosooft Winndowws SServver Sysstemm 网站站 htttp:/m/fwwlinnk/?linnkIDD=3554799 上的的“Entterpprisse MManaagemmen
22、tt wiith thee Grroupp Pooliccy MManaagemmentt Coonsoole”配置安全全中心设设置安全中心心是 WWinddowss XPP SPP2 中中的一项项新服务务,它提提供的中中央位置置可用于于更改安安全设置置、详细细了解安安全性,并并确保用用户的计计算机具具有 MMicrrosooft 推荐的的最新主主要安全全设置。 在 Wiindoows 域环境境中,您您可以使使用组策策略来允允许安全全中心监监视用户户的计算算机,从从而有助助于确保保它们具具有最新新的安全全更新,并并在用户户的计算算机可能能遭遇风风险时通通知他们们。 安装中心心服务将将作为后后台
23、进程程运行,并并在用户户的计算算机上检检查以下下组件的的状态: l 防火墙。 安全中中心将检检查 WWinddowss 防火火墙是已已打开还还是关闭闭,同时时检查是是否存在在其它一一些软件件防火墙墙。 为为检查其其它防火火墙,安安全中心心将查询询特定 Winndowws 管管理规范范 (WWMI) 提供供程序,它它们已由由参与的的供应商商提供。l 病毒保护护。 安安全中心心将检查查是否存存在防病病毒软件件。 为为检查是是否存在在防病毒毒软件,安安全中心心将查询询由参与与的供应应商提供供的特定定 WMMI 提提供程序序。 如如果提供供了信息息,安全全中心服服务还将将确定软软件是不不是最新新版本以
24、以及是否否打开了了实时扫扫描。 l 自动更新新。 安安全中心心将检查查并确保保自动更更新已设设置为推推荐的设设置,该该设置将将为用户户的计算算机自动动下载并并安装重重要更新新。 如如果自动动更新已已关闭或或未设置置为推荐荐的设置置,安全全中心将将提供适适当的建建议。如果发现现组件缺缺少或不不符合您您的安全全策略,安安全中心心将在工工具栏的的通知区区域中显显示红色色图标或或在登录录时提供供警告信信息以向向您发出出警告。 此信息息包含用用于打开开安全中中心用户户界面的的链接,它它提供了了关于问问题以及及修复建建议的信信息。如果您运运行的防防火墙或或防病毒毒软件包包件未被被安全中中心检测测到,则则可
25、以将将安全中中心设置置为绕过过该组件件的警告告。对于 WWinddowss 域中中的计算算机,您您可以使使用组策策略设置置来集中中管理安安全中心心功能。 如果您启启用“打开安安全中心心(仅限限域 PPC)”策略设设置,安安全中心心将监视视主要安安全设置置(防火火墙、防防病毒软软件和自自动更新新),并并且在用用户的计计算机遭遭遇风险险时通知知他们。 在默认认情况下下,“打开安安全中心心(仅限限域 PPC)”策略设设置将不不会启用用,这意意味着它它将在安安全中心心关闭时时关闭,通通知和安安全中心心状态部部分都不不会显示示。 执行此任任务的要要求l 凭据:如如果 WWinddowss XPP SPP
26、2 计计算机是是活动目目录域客客户端,则则必须作作为域管管理员安安全组成成员登录录,并打打开“组策略略对象”。l 工具:已已安装组组策略对对象编辑辑器管理理单元的的 Miicroosofft 管管理控制制台 (MMCC)。配置安全全中心设设置如果使用用此设置置,则允允许运行行 Wiindoows XP SP22 的计计算机的的用户使使用安全全中心来来发布关关于防火火墙、防防病毒软软件包件件和自动动更新的的警告。 配置安全全中心设设置1. 在 Wiindoows XP SP22 桌面面上单击击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件件”菜单上上,单击击“添
27、加/删除管管理单元元”。 3. 在“独立立”选项卡卡上,单单击“添加”。 4. 在“可用用的独立立管理单单元”列表中中找到并并单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择择组策略略对象”对话框框中,单单击“浏览”。6. 从列表中中选择您您要配置置的组策策略对象象。 单单击“确定”,然后后单击“完成”以关闭闭组策略略向导。7. 单击“关关闭”以退出出“添加独独立管理理单元”对话框框,然后后单击“确定”以退出出“添加/删除管管理单元元”对话框框并返回回管理控控制台。8. 在控制台台树中打打开“计算机机配置”、“管理模模板”、“Winndowws 组组件”,然后后打开“安全中中
28、心”。图 2 安安全中心心设置9. 双击“启启用安全全中心(仅仅域电脑脑)”,单击击“已启用用”,然后后单击“确定”。 使用 GGPUppdatte 应应用配置置GPUppdatte 实实用工具具将刷新新基于活活动目录录的组策策略设置置,包括括安全设设置。 配置组组策略之之后,您您可以等等待标准准刷新周周期将设设置应用用于客户户计算机机。 默默认情况况下的刷刷新周期期为 990 分分钟,动动态偏差差为 + 或 - 330 分分钟。要在标准准周期之之间刷新新组策略略,请使使用 GGPUppdatte 实实用工具具。验证安全全中心设设置是否否已应用用验证安全全中心设设置是否否已应用用1. 在 Wi
29、indoows XP 桌面上上单击“开始”,然后后单击“控制面面板”。2. 在“选择择一个类类别”下单击击“安全中中心”。3. 验证安全全中心是是否已启启动。注:如果果配置设设置未应应用,您您必须排排除组策策略应用用程序的的故障。 要排除除组策略略应用程程序的故故障,请请参阅下下面的资资源: l Micrrosooft 下载中中心网站站 htttp:/m/fwwlinnk/?linnkidd=3554811 上的的“Trooublleshhoottingg Grroupp Pooliccy iin WWinddowss Seerveer 220033”配置 WWinddowss 防火火墙设置置
30、有三套 Winndowws 防防火墙设设置需要要配置: l 允许通过过验证的的 IPPSecc 旁路路。 此此设置在在组织使使用 IInteerneet 协协议安全全 (IIPSeec) 时使用用,用于于保护通通信量并并启用 Winndowws 防防火墙。l 域配置文文件。 如果计计算机连连接至某某个网络络,而该该网络中中包含的的域控制制器同样样用于这这些计算算机所属属的域,则则会使用用这些设设置。l 标准配置置文件。 如果计计算机未未连接至至您的网网络(例例如在您您携带膝膝上型计计算机时时),则则会使用用这些设设置。如果您不不配置标标准配置置文件设设置,则则默认值值将保留留不变。 Miccr
31、ossoftt 建议议您同时时配置域域和标准准配置文文件设置置,并且且为两个个配置文文件都启启用 WWinddowss 防火火墙。 唯一的的例外是是您准备备使用第第三方主主机防火火墙产品品。如果您准准备使用用第三方方主机防防火墙产产品,则则 Miicroosofft 建建议您禁禁用 WWinddowss 防火火墙。 如果您决决定在整整个组织织网络中中禁用 Winndowws 防防火墙,并并且网络络中混合合包含运运行未安安装 SServvicee Paack 的 WWinddowss XPP SPP2、WWinddowss XPP SPP1 和和 Wiindoows XP 的计算算机,则则应该配
32、配置这些些组策略略设置:l “禁止在在 DNNS 域域网络上上使用 Intternnet 连接防防火墙”设置为为“已启用用”l “域配置置文件 Wiindoows 防火墙墙:保护护所有网网络连接接”设置为为“已禁用用”l “标准配配置文件件 Wiindoows 防火墙墙:保护护所有网网络连接接”设置为为“已禁用用”注:此标标准配置置文件设设置将确确保未使使用 WWinddowss 防火火墙,而而无论计计算机是是否连接接至您的的组织网网络。 为确保保 Wiindoows 防火墙墙未在您您的组织织网络上上使用,但但是计算算机未连连接至网网络时使使用,则则将此设设置更改改为“已启用用”。标准配置置文
33、件设设置比域域配置文文件更受受限制,因因为标准准配置文文件设置置不包括括仅在受受管理域域环境中中使用的的应用程程序和服服务。在 GPPO 中中,域配配置文件件和标准准配置文文件都包包含相同同的 WWinddowss 防火火墙设置置集。 Winndowws XXP SSP2 依靠网网络确定定来应用用正确的的配置文文件。 注:有关关网络确确定的更更多信息息,请参参阅下面面的资源源:l Micrrosooft TecchNeet 网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3354880 上上的“Nettworrk DDeteermiina
34、ttionn Beehavviorr foor NNetwworkk-Reelatted Grooup Pollicyy Seettiingss”本节介绍绍了 GGPO 中可能能使用的的 Wiindoows 防火墙墙设置以以及企业业环境的的推荐设设置,并并演示了了如何启启用四种种类型的的设置。执行此任任务的要要求l 凭据:如如果 WWinddowss XPP SPP2 计计算机是是活动目目录域客客户端,则则必须作作为域管管理员安安全组成成员登录录,并打打开您在在前面任任务中个个修改的的“组策略略对象”。l 工具:已已安装组组策略对对象编辑辑器管理理单元的的 Miicroosofft 管管理控制
35、制台 (MMCC)。注:要打打开 GGPO,请请使用已已安装组组策略对对象编辑辑器管理理单元的的 MMMC,或或者使用用“Acttivee Diirecctorry 用用户和计计算机”控制台台。 要要在 WWinddowss XPP 客户户计算机机上使用用“Acttivee Diirecctorry 用用户和计计算机”控制台台,则必必须通过过 Wiindoows Serrverr 20003 CD 运行 admminppak.msii使用组策策略配置置 Wiindoows 防火墙墙设置使用组策策略对象象编辑器器管理单单元或“Acttivee Diirecctorry 用用户和计计算机”,在适适
36、当的 GPOO 中修修改 WWinddowss 防火火墙设置置。 配置 WWinddowss 防火火墙设置置之后,下下一次刷刷新计算算机配置置组策略略将下载载新的 Winndowws 防防火墙设设置,并并将它们们应用于于运行 Winndowws XXP SSP2 的计算算机。 配置 WWinddowss 防火火墙设置置1. 在 Wiindoows XP SP22 桌面面上单击击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件件”菜单上上,单击击“添加/删除管管理单元元”。 3. 在“独立立”选项卡卡上,单单击“添加”。 4. 在“可用用的独立立管理单单元”列表中
37、中找到并并单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择择组策略略对象”对话框框中,单单击“浏览”。6. 选择您要要配置的的组策略略对象,单单击“确定”,然后后单击“完成”以退出出组策略略向导。7. 单击“关关闭”以退出出“添加独独立管理理单元”对话框框,然后后单击“确定”以退出出“添加/删除管管理单元元”对话框框并返回回管理控控制台。8. 在控制台台树中打打开“计算机机配置”、“管理模模板”、“网络”、“网络连连接”,然后后打开“Winndowws 防防火墙”。 图 4 组组策略中中的 WWinddowss 防火火墙选项项9. 双击“WWinddowss 防火火墙:允允许
38、通过过验证的的 IPPSecc 旁路路”。图 5 允允许通过过验证的的 IPPSecc 旁路路表 1 概述了了允许绕绕过已验验证的 IPSSec 选项。表 1 允允许企业业通过验验证的 IPSSec 旁路设设置设置描述备注未配置此 GPPO 不不会更改改 Wiindoows 防火墙墙的当前前配置已启用Winddowss 防火火墙不会会处理受受 IPPSecc 保护护的通信信,除非非是来自自策略中中列出的的用户或或组。列出用户户和组的的语法使使用 SSDDLL 标准准。 有有关更多多信息,请请参阅下下面的资资源:MSDNN 网站站 htttp:/m/fwwlinnk/?linnkidd=3555
39、033 上的的“Seccuriity Desscriiptoor DDefiinittionn Laanguuagee”已禁用Winddowss 防火火墙将处处理受 IPSSec 保护的的通信。10. 使用表 1 中中的信息息,然后后单击“已启用用”或“已禁用用”。注:如果果您单击击“已启用用”,则可可以创建建一个用用户或组组列表,并并允许他他们向您您的计算算机发送送受 IIPSeec 保保护的通通信。11. 单击“确确定”。 12. 选择“域域配置文文件”或“标准配配置文件件”。图 6 组组策略中中的 WWinddowss 防火火墙设置置表 2 概述了了用于域域和标准准配置文文件的 Winn
40、dowws 防防火墙组组策略推推荐设置置。表 2 用用于企业业的 WWinddowss 防火火墙推荐荐设置设置描述域配置文文件标准配置置文件保护所有有网络连连接指定为所所有网络络连接启启用 WWinddowss 防火火墙已启用已启用不允许例例外指定放弃弃所有进进入的垃垃圾通信信,包括括例外通通信未配置已启用,除除非您必必须配置置程序例例外定义程序序例外按照程序序文件名名定义例例外通信信如果网络络上的计计算机运运行附带带 SPP2 的的 Wiindoows XP,则则启用和和配置由由其使用用的程序序(应用用程序和和服务)如果网络络上的计计算机运运行附带带 SPP2 的的 Wiindoows XP
41、,则则启用和和配置由由其使用用的程序序(应用用程序和和服务)允许本地地程序例例外允许程序序例外的的本地配配置已禁用,除除非您需需要本地地管理员员在本地地配置程程序例外外已禁用允许远程程管理例例外允许使用用工具进进行远程程配置禁用,除除非您希希望能够够使用 MMCC 管理理单元远远程管理理您的计计算机已禁用允许文件件和打印印共享机机例外指定是否否允许文文件和打打印机共共享通信信已禁用,除除非运行行 Wiindoows XP SP22 的计计算机共共享本地地资源已禁用允许 IICMPP 例外外指定允许许的 IICMPP 消息息类型禁用,除除非您希希望使用用 piing 命令排排除故障障已禁用允许远
42、程程桌面例例外指定计算算机是否否可以接接受基于于远程桌桌面的连连接请求求已启用已启用允许 UUPnPP 框架架例外指定计算算机是否否可以接接收垃圾圾 UPPnP 消息已禁用已禁用阻止通知知禁用通知知已禁用已禁用允许记录录日志允许您记记录通信信并配置置日志文文件设置置未配置未配置阻止对多多播或广广播请求求的单播播响应放弃针对对多播或或广播请请求消息息而收到到的单播播数据包包已启用已启用定义端口口例外按照 TTCP 和 UUDP 指定例例外通信信已禁用已禁用允许本地地端口例例外允许端口口例外的的本地配配置已禁用已禁用启用端口口的例外外启用端口口例外1. 在“域配配置文件件”或“标准配配置文件件”设
43、置区区域中,双双击“Winndowws 防防火墙:定义端端口例外外”。图 7 WWinddowss 防火火墙:定定义端口口例外属属性2. 单击“已已启用”,然后后单击“显示”。 图 8 显显示内容容3. 单击“添添加”。图 9 添添加项目目4. 使用以下下语法,键键入您要要阻止或或启用的的端口信信息:portt:trranssporrt:sscoppe:sstattus:namme 此处的 porrt 是是端口号号码,ttrannspoort 是 TTCP 或 UUDP,sscoppe 是是 *(用用于所有有系统)或或允许访访问端口口的计算算机列表表,sttatuus 是是已启用用或已禁禁用,
44、nnamee 是用用作此条条目标签签的文本本字符串串。在使用范范围时,不不支持主主机名称称、域名名系统 (DNNS) 名称或或 DNNS 后后缀。 对于 IPvv4 地地址范围围,您可可以使用用点分隔隔子网掩掩码或前前缀长度度来指定定范围。 在使用用点分隔隔子网掩掩码时,您您可以将将范围指指定为 IPvv4 网网络 IID(例例如 110.447.881.00/2555.2255.2555.0),或或者通过过使用范范围内的的某个 IPvv4 地地址(例例如 110.447.881.2231/2555.2555.2255.0)来来指定。 在使用用网络前前缀长度度时,您您可以将将范围指指定为 IP
45、vv4 网网络 IID(例例如 110.447.881.00/244),或或者通过过使用范范围内的的某个 IPvv4 地地址(例例如 110.447.881.2231/24)来来指定。有关 TTCP/IP 地址和和子网的的详细信信息,请请参阅下下面的资资源:Micrrosooft 帮助和和支持网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3363770 上上的 MMicrrosooft 知识库库文章 16440155注:如果果来源列列表中的的条目之之间存在在任何空空格或其其它任何何无效字字符,则则范围将将被忽略略,而设设置也将将表现为为
46、已被禁禁用。 保存更更改之前前,请双双击您的的范围语语法。此实例使使用名为为 WeebTeest 的端口口例外,并并为所有有连接启启用 TTCP 端口 80。5. 单击“确确定”以关闭闭“添加项项目”。图 100 显示内内容6. 单击“确确定”以关闭闭“显示内内容”。7. 单击“关关闭”以关闭闭“Winndowws 防防火墙:定义端端口例外外属性”。注:如果果已选定定“不允许许例外”,则会会忽略任任何端口口例外。启用程序序的例外外启用程序序例外1. 在“域配配置文件件”或“标准配配置文件件”设置区区域中,双双击“Winndowws 防防火墙:定义程程序例外外”。图 111 Winndowws 防防火墙:定义程程序例外外属性2. 单击“已已启用”,然后后单击“显示”。图 122 显示内内容3. 单击“添添加”。图 133 添加项项目4. 使用以下下语法,键键入您要要阻止或或启用的的程序信信息:pathh:sccopee:stt