《如何在活动目录环境下配置 Windows XP SP2 网络保护技术31292.docx》由会员分享,可在线阅读,更多相关《如何在活动目录环境下配置 Windows XP SP2 网络保护技术31292.docx(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如何在活动目录环境下配置 Windows XP SP2 网络保护技术目录l 简介 l 开始之前 l 在管理工作作站和 Winndowws SSmalll BBusiinesss SServver 20003 上上添加修修补程序序 l 更新现有的的组策略略对象 l 配置安全中中心设置置 l 配置 Wiindoows 防火墙墙设置 l 配置 Innterrnett Exxploorerr 安全全设置 l 配置 Innterrnett 通信信管理设设置 l 配置 DCCOM 访问设设置 l 配置 RPPC 设设置 l 相关信息 简介组策略设置置基于您您的 MMicrrosooft Acttivee
2、Diirecctorry 组组织实施施而应用用,有助助于通过过各类用用户和计计算机内内的标准准配置设设置来保保护您的的计算机机环境。 用于 Miccrossoftt Wiindoows XP Serrvicce PPackk 2 (SPP2) 的新组组策略网网络保护护设置包包括:l Windoows 防火墙墙。 配配置这些些策略设设置以打打开或关关闭防火火墙、管管理程序序和端口口例外并并为特定定方案定定义例外外,例如如允许在在目标计计算机上上进行远远程管理理。 l Interrnett Exxploorerr。 通通过这些些新的策策略设置置,您可可以配置置 Miicroosofft IInte
3、erneet EExplloreer 安安全设置置。 此此外,通通过策略略设置,您您还可以以为不同同的过程程启用或或禁用 Intternnet Expplorrer 安全功功能。 l Interrnett 通信信管理。 您可以以配置这这些设置置以控制制不同组组件如何何在 WWinddowss XPP SPP2 上上通过 Intternnet 进行通通信,以以便执行行涉及到到组织和和 Innterrnett 内的的计算机机之间信信息交换换的任务务。l DCOM 安全。 通过配配置这些些设置,可可以控制制分布式式组件对对象模型型 (DDCOMM) 的的安全设设置。 DCOOM 基基础结构构包括新新
4、的访问问控制限限制,有有助于尽尽量减少少网络攻攻击所带带来的安安全风险险。 l 安全中心。 通过配配置这些些设置,可可以集中中管理 Winndowws 安安全中心心。 安安全中心心是 WWinddowss XPP SPP2 中中的新功功能,允允许您监监视组织织内的计计算机以以确保它它们得到到最新的的安全更更新,并并在计算算机遭遇遇安全风风险时提提供用户户警报。l 远程过程调调用 (RPCC)。 您可以以配置 RPCC 策略略设置以以阻止对对系统上上的 RRPC 接口的的远程匿匿名访问问,并防防止对 RPCC 终点点映射程程序接口口的匿名名访问。本文档解释释了如何何部署网网络保护护组策略略设置,
5、以以帮助保保护 WWinddowss XPP SPP2 客客户计算算机。 有关推荐设设置的完完整列表表,请参参阅下面面的资源源:l Microosofft TTechhNett 网站站 htttp:/m/fwwlinnk/?linnkidd=3554655 上的的“Winndowws XXP SSecuuritty GGuidde AAppeendiix AA: AAddiitioonall Guuidaancee foor WWinddowss XPP Seerviice Pacck 22”您可以在活活动目录录域中执执行关于于组策略略对象 (GPPO) 的任务务。 其其中一些些任务可可以通过
6、过域控制制器来运运行,但但是通常常都在包包含活动动目录管管理工具具的 WWinddowss XPP SPP2 客客户计算算机上执执行。 注: 有关关如何部部署 GGPO 的更多多信息,请请参阅下下面的资资源: l Miccrossoftt Wiindoows Serrverr Syysteem 网网站 hhttpp:/go.miccrossoftt.coom/ffwliink/?liinkiid=3354998 上上的“Dessignningg a Mannageed EEnviironnmennt: Staaginng GGrouup PPoliicy Depployymennts”要在活动
7、目目录环境境下配置置网络保保护,请请配置以以下任务务: l 在管理工作作站上添添加修补补程序l 更新现有的的 GPPOl 配置安全中中心设置置l 配置 Wiindoows 防火墙墙设置l 配置 Innterrnett Exxploorerr 设置置l 配置 Innterrnett 通信信管理设设置l 配置 DCCOM 安全设设置l 配置 RPPC 设设置重要: 安安装操作作系统时时,使用用默认出出现的“开始”菜单,便便可获得得本文档档中的步步骤说明明。 如如果修改改了“开始”菜单,操操作步骤骤会略有有不同。有关安全相相关术语语的定义义,请参参阅下面面的资源源:l Microosofft 网网站
8、 hhttpp:/go.miccrossoftt.coom/ffwliink/?LiinkIId=3354668 上上的“Miccrossoftt Seecurrityy Gllosssaryy”开始之前在使用运行行以下任任何产品品版本的的域控制制器的活活动目录录域中,WWinddowss XPP SPP2 可可以用作作 Wiindoows 域客户户端:l Microosofft WWinddowss Seerveer 220033l Microosofft WWinddowss Smmalll Buusinnesss Seerveer 220033 l Microosofft WWinddo
9、wss 20000 Serrverr SPP3 或或更高版版本 安装修补程程序之前前,请确确保您已已备份了了计算机机,包括括注册表表的备份份。有关如何备备份注册册表的更更多信息息,请参参阅下面面的资源源:l Microosofft 帮帮助和支支持网站站 htttp:/m/fwwlinnk/?linnkidd=3663655 上的的 Miicroosofft 知知识库文文章 33227756在管理工作作站和 Winndowws SSmalll BBusiinesss SServver 20003 上上添加修修补程序序如果您在运运行较早早版本操操作系统统或 SServvicee Paack(例例如
10、附带带 SSP1 的 WWinddowss XPP 或 Winndowws SServver 20003)的的计算机机上管理理组策略略对象设设置,则则必须安安装修补补程序 (KBB84229333),以以使策略略设置正正确地显显示在“组策略略对象编编辑器”中。如果您使用用 Smmalll Buusinnesss Seerveer 220033 (SSBS 20003),则则必须应应用附加加修补程程序 (KB88727769),因为为 SBBS 220033 会默默认关闭闭 Wiindoows 防火墙墙。 修修补程序序可以解解决此问问题。注:列出的的修补程程序并不不是 WWinddowss 更新
11、新的一部部分,您您必须单单独安装装它们。 修补程程序必须须单独应应用于所所有受影影响的系系统。KB84229333 适用用于:l Microosofft WWinddowss Seerveer 220033, WWeb Ediitioon l Microosofft WWinddowss Seerveer 220033, SStanndarrd EEdittionn l Microosofft WWinddowss Seerveer 220033, EEnteerprrisee Edditiion l Microosofft WWinddowss Seerveer 220033, 664-BB
12、it Entterpprisse EEdittionn l Microosofft WWinddowss XPP Prrofeessiionaal SSP1 l Microosofft WWinddowss Smmalll Buusinnesss Seerveer 220033, PPremmiumm Edditiion l Microosofft WWinddowss Smmalll Buusinnesss Seerveer 220033, SStanndarrd EEdittionn l Microosofft WWinddowss 20000 Advvancced Serrverr l
13、Microosofft WWinddowss 20000 Serrverr l Microosofft WWinddowss 20000 ProofesssioonallKB87227699 适用用于:l Microosofft WWinddowss Smmalll Buusinnesss Seerveer 220033, SStanndarrd EEdittionn l Microosofft WWinddowss Smmalll Buusinnesss Seerveer 220033, PPremmiumm Edditiion 注:要获得得这些修修补程序序并了解解更多信信息,请请参阅下下面
14、的资资源: l Microosofft 帮帮助和支支持网站站 htttp:/m/fwwlinnk/?linnkidd=3554744 上的的 Miicroosofft 知知识库文文章 88429933l Microosofft 帮帮助和支支持网站站 htttp:/m/fwwlinnk/?linnkidd=3554777 上的的 Miicroosofft 知知识库文文章 88727769执行此任务务的要求求l 凭据:您必必须作为为域管理理员安全全组或本本地管理理员安全全组的成成员登录录到客户户计算机机。l 工具:按照照知识库库文章 84229333 和 87227699 中的的解释,正正确下载载
15、适用于于您的操操作系统统的修补补程序。在 Winndowws SSmalll BBusiinesss SServver 20003、WWinddowss 20000 Serrverr SPP3 或或更高版版本、WWinddowss XPP SPP1 或或 Wiindoows Serrverr 20003 上添加加修补程程序 88429933添加修补程程序1. 在 Winndowws 桌桌面上单单击“开始”,单击击“运行”,键入入已下载载修补程程序的路路径和文文件名,然然后单击击“确定”。2. 在“欢迎使使用 KKB84429333 安安装向导导”页面上上,单击击“下一步步”。3. 在“许可协协
16、议”页面中中,单击击“我同意意”,然后后单击“下一步步”。4. 在“完成 KB88429933 安装向向导”页面上上单击“完成”,以便便完成修修补程序序安装并并重新启启动计算算机。5. 为适用的所所有系统统(服务务器和管管理工作作站)重重复以上上步骤。在 Winndowws SSmalll BBusiinesss SServver 20003 上上添加修修补程序序 87727669添加修补程程序1. 在 Winndowws 桌桌面上单单击“开始”,单击击“运行”,键入入已下载载 87727669 修修补程序序的路径径和文件件名,然然后单击击“确定”。2. 在“欢迎使使用 KKB87727669
17、 安安装向导导”页面上上,单击击“下一步步”。3. 在“许可协协议”页面中中,单击击“我同意意”,然后后单击“下一步步”。4. “完成 KKB87727669 安安装向导导”页面上上单击“完成”,以便便完成修修补程序序安装并并重新启启动计算算机。更新现有的的组策略略对象Windoows XP SP22 将在在管理模模板中添添加附加加设置。 要配置置这些新新设置,每每个 GGPO 都必须须使用在在 Wiindoows XP SP22 中找找到的新新管理模模板进行行更新。 除非更更新组策策略对象象,否则则将不能能使用与与 Wiindoows 防火墙墙相关的的设置。 如果安装 Winndowws X
18、XP SSP2 的计算算机上安安装了组组策略对对象编辑辑器管理理单元,则则可以使使用 MMicrrosooft 管理控控制台 (MMMC) 来更新新 GPPO。更新 GPPO 之之后,您您可以针针对自己己运行 Winndowws XXP SSP2 的计算算机来配配置适当当的网络络保护设设置。执行此任务务的要求求l 凭据:如果果 Wiindoows XP SP22 计算算机是活活动目录录域客户户端,则则必须作作为域管管理员或或组策略略 Crreattor/Ownner 安全组组的成员员登录。l 工具:已安安装组策策略对象象编辑器器管理单单元的 Miccrossoftt 管理理控制台台 (MMMC
19、)。更新组策略略对象更新组策略略对象1. 在 Winndowws XXP SSP2 桌面上上单击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件”菜单上上,单击击“添加/删除管管理单元元”。 3. 在“独立”选项卡卡上,单单击“添加”。 4. 在“可用的的独立管管理单元元”列表中中单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择组组策略对对象”对话框框中,单单击“浏览”。图 1 浏览览组策略略对象6. 在“浏览组组策略对对象”对话框框中,选选择您要要使用新新的 WWinddowss 防火火墙设置置来更新新的组策策略对象象。 7. 单击“确定定”
20、,然后后单击“完成”以关闭闭组策略略向导。 此操作会将将新的管管理模板板应用于于选定的的 GPPO。8. 在“添加独独立管理理单元”对话框框中,单单击“关闭”。9. 在“添加/删除管管理单元元”对话框框中,单单击“确定”。10. 关闭 MMMC,单单击“文件”并退出出,不保保存对控控制设置置所作的的更改。注:尽管您您不保存存控制台台更改,以以上过程程也会将将来自 Winndowws XXP SSP2 的新管管理模板板导入到到 GPPO 中中。 模模板必须须导入每每个已定定义的 GPOO 中。 11. 对要用于将将组策略略应用到到安装 Winndowws XXP SSP2 的计算算机的每每个 G
21、GPO 重复这这些步骤骤。注: 要要为使用用活动目目录和 Winndowws XXP SSP1 的网络络环境更更新您的的 GPPO,MMicrrosooft 建议您您使用可可免费下下载的组组策略管管理控制制台。 有关更更多信息息,请参参阅下面面的资源源:l Microosofft WWinddowss Seerveer SSysttem 网站 htttp:/goo.miicroosofft.ccom/fwllinkk/?llinkkID=354479 上的“Entterpprisse MManaagemmentt wiith thee Grroupp Pooliccy MManaagemmen
22、tt Coonsoole”配置安全中中心设置置安全中心是是 Wiindoows XP SP22 中的的一项新新服务,它它提供的的中央位位置可用用于更改改安全设设置、详详细了解解安全性性,并确确保用户户的计算算机具有有 Miicroosofft 推推荐的最最新主要要安全设设置。 在 Winndowws 域域环境中中,您可可以使用用组策略略来允许许安全中中心监视视用户的的计算机机,从而而有助于于确保它它们具有有最新的的安全更更新,并并在用户户的计算算机可能能遭遇风风险时通通知他们们。 安装中心服服务将作作为后台台进程运运行,并并在用户户的计算算机上检检查以下下组件的的状态: l 防火墙。 安全中中
23、心将检检查 WWinddowss 防火火墙是已已打开还还是关闭闭,同时时检查是是否存在在其它一一些软件件防火墙墙。 为为检查其其它防火火墙,安安全中心心将查询询特定 Winndowws 管管理规范范 (WWMI) 提供供程序,它它们已由由参与的的供应商商提供。l 病毒保护。 安全中中心将检检查是否否存在防防病毒软软件。 为检查查是否存存在防病病毒软件件,安全全中心将将查询由由参与的的供应商商提供的的特定 WMII 提供供程序。 如果提提供了信信息,安安全中心心服务还还将确定定软件是是不是最最新版本本以及是是否打开开了实时时扫描。 l 自动更新。 安全中中心将检检查并确确保自动动更新已已设置为为
24、推荐的的设置,该该设置将将为用户户的计算算机自动动下载并并安装重重要更新新。 如如果自动动更新已已关闭或或未设置置为推荐荐的设置置,安全全中心将将提供适适当的建建议。如果发现组组件缺少少或不符符合您的的安全策策略,安安全中心心将在工工具栏的的通知区区域中显显示红色色图标或或在登录录时提供供警告信信息以向向您发出出警告。 此信息息包含用用于打开开安全中中心用户户界面的的链接,它它提供了了关于问问题以及及修复建建议的信信息。如果您运行行的防火火墙或防防病毒软软件包件件未被安安全中心心检测到到,则可可以将安安全中心心设置为为绕过该该组件的的警告。对于 Wiindoows 域中的的计算机机,您可可以使
25、用用组策略略设置来来集中管管理安全全中心功功能。 如果您启用用“打开安安全中心心(仅限限域 PPC)”策略设设置,安安全中心心将监视视主要安安全设置置(防火火墙、防防病毒软软件和自自动更新新),并并且在用用户的计计算机遭遭遇风险险时通知知他们。 在默认认情况下下,“打开安安全中心心(仅限限域 PPC)”策略设设置将不不会启用用,这意意味着它它将在安安全中心心关闭时时关闭,通通知和安安全中心心状态部部分都不不会显示示。 执行此任务务的要求求l 凭据:如果果 Wiindoows XP SP22 计算算机是活活动目录录域客户户端,则则必须作作为域管管理员安安全组成成员登录录,并打打开“组策略略对象”
26、。l 工具:已安安装组策策略对象象编辑器器管理单单元的 Miccrossoftt 管理理控制台台 (MMMC)。配置安全中中心设置置如果使用此此设置,则则允许运运行 WWinddowss XPP SPP2 的的计算机机的用户户使用安安全中心心来发布布关于防防火墙、防防病毒软软件包件件和自动动更新的的警告。 配置安全中中心设置置1. 在 Winndowws XXP SSP2 桌面上上单击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件”菜单上上,单击击“添加/删除管管理单元元”。 3. 在“独立”选项卡卡上,单单击“添加”。 4. 在“可用的的独立管管理单元元”列
27、表中中找到并并单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择组组策略对对象”对话框框中,单单击“浏览”。6. 从列表中选选择您要要配置的的组策略略对象。 单击“确定”,然后后单击“完成”以关闭闭组策略略向导。7. 单击“关闭闭”以退出出“添加独独立管理理单元”对话框框,然后后单击“确定”以退出出“添加/删除管管理单元元”对话框框并返回回管理控控制台。8. 在控制台树树中打开开“计算机机配置”、“管理模模板”、“Winndowws 组组件”,然后后打开“安全中中心”。图 2 安全全中心设设置9. 双击“启用用安全中中心(仅仅域电脑脑)”,单击击“已启用用”,然后后单击“确定”
28、。 使用 GPPUpddatee 应用用配置GPUpddatee 实用用工具将将刷新基基于活动动目录的的组策略略设置,包包括安全全设置。 配置组组策略之之后,您您可以等等待标准准刷新周周期将设设置应用用于客户户计算机机。 默默认情况况下的刷刷新周期期为 990 分分钟,动动态偏差差为 + 或 - 330 分分钟。要在标准周周期之间间刷新组组策略,请请使用 GPUUpdaate 实用工工具。验证安全中中心设置置是否已已应用验证安全中中心设置置是否已已应用1. 在 Winndowws XXP 桌桌面上单单击“开始”,然后后单击“控制面面板”。2. 在“选择一一个类别别”下单击击“安全中中心”。3.
29、 验证安全中中心是否否已启动动。注:如果配配置设置置未应用用,您必必须排除除组策略略应用程程序的故故障。 要排除除组策略略应用程程序的故故障,请请参阅下下面的资资源: l Microosofft 下下载中心心网站 htttp:/goo.miicroosofft.ccom/fwllinkk/?llinkkid=354481 上的“Trooublleshhoottingg Grroupp Pooliccy iin WWinddowss Seerveer 220033”配置 Wiindoows 防火墙墙设置有三套 WWinddowss 防火火墙设置置需要配配置: l 允许通过验验证的 IPSSec
30、旁路。 此设置置在组织织使用 Intternnet 协议安安全 (IPSSec) 时使使用,用用于保护护通信量量并启用用 Wiindoows 防火墙墙。l 域配置文件件。 如如果计算算机连接接至某个个网络,而而该网络络中包含含的域控控制器同同样用于于这些计计算机所所属的域域,则会会使用这这些设置置。l 标准配置文文件。 如果计计算机未未连接至至您的网网络(例例如在您您携带膝膝上型计计算机时时),则则会使用用这些设设置。如果您不配配置标准准配置文文件设置置,则默默认值将将保留不不变。 Miccrossoftt 建议议您同时时配置域域和标准准配置文文件设置置,并且且为两个个配置文文件都启启用 WW
31、inddowss 防火火墙。 唯一的的例外是是您准备备使用第第三方主主机防火火墙产品品。如果您准备备使用第第三方主主机防火火墙产品品,则 Miccrossoftt 建议议您禁用用 Wiindoows 防火墙墙。 如果您决定定在整个个组织网网络中禁禁用 WWinddowss 防火火墙,并并且网络络中混合合包含运运行未安安装 SServvicee Paack 的 WWinddowss XPP SPP2、WWinddowss XPP SPP1 和和 Wiindoows XP 的计算算机,则则应该配配置这些些组策略略设置:l “禁止在 DNSS 域网网络上使使用 IInteerneet 连连接防火火墙
32、”设置为为“已启用用”l “域配置文文件 Wiindoows 防火墙墙:保护护所有网网络连接接”设置为为“已禁用用”l “标准配置置文件 Wiindoows 防火墙墙:保护护所有网网络连接接”设置为为“已禁用用”注:此标准准配置文文件设置置将确保保未使用用 Wiindoows 防火墙墙,而无无论计算算机是否否连接至至您的组组织网络络。 为为确保 Winndowws 防防火墙未未在您的的组织网网络上使使用,但但是计算算机未连连接至网网络时使使用,则则将此设设置更改改为“已启用用”。标准配置文文件设置置比域配配置文件件更受限限制,因因为标准准配置文文件设置置不包括括仅在受受管理域域环境中中使用的的
33、应用程程序和服服务。在 GPOO 中,域域配置文文件和标标准配置置文件都都包含相相同的 Winndowws 防防火墙设设置集。 Winndowws XXP SSP2 依靠网网络确定定来应用用正确的的配置文文件。 注:有关网网络确定定的更多多信息,请请参阅下下面的资资源:l Microosofft TTechhNett 网站站 htttp:/m/fwwlinnk/?linnkidd=3554800 上的的“Nettworrk DDeteermiinattionn Beehavviorr foor NNetwworkk-Reelatted Grooup Pollicyy Seettiingss”本
34、节介绍了了 GPPO 中中可能使使用的 Winndowws 防防火墙设设置以及及企业环环境的推推荐设置置,并演演示了如如何启用用四种类类型的设设置。执行此任务务的要求求l 凭据:如果果 Wiindoows XP SP22 计算算机是活活动目录录域客户户端,则则必须作作为域管管理员安安全组成成员登录录,并打打开您在在前面任任务中个个修改的的“组策略略对象”。l 工具:已安安装组策策略对象象编辑器器管理单单元的 Miccrossoftt 管理理控制台台 (MMMC)。注:要打开开 GPPO,请请使用已已安装组组策略对对象编辑辑器管理理单元的的 MMMC,或或者使用用“Acttivee Diirec
35、ctorry 用用户和计计算机”控制台台。 要要在 WWinddowss XPP 客户户计算机机上使用用“Acttivee Diirecctorry 用用户和计计算机”控制台台,则必必须通过过 Wiindoows Serrverr 20003 CD 运行 admminppak.msii使用组策略略配置 Winndowws 防防火墙设设置使用组策略略对象编编辑器管管理单元元或“Acttivee Diirecctorry 用用户和计计算机”,在适适当的 GPOO 中修修改 WWinddowss 防火火墙设置置。 配置 Wiindoows 防火墙墙设置之之后,下下一次刷刷新计算算机配置置组策略略将下
36、载载新的 Winndowws 防防火墙设设置,并并将它们们应用于于运行 Winndowws XXP SSP2 的计算算机。 配置 Wiindoows 防火墙墙设置1. 在 Winndowws XXP SSP2 桌面上上单击“开始”,单击击“运行”,键入入 mmmc,然然后单击击“确定”。2. 在“文件”菜单上上,单击击“添加/删除管管理单元元”。 3. 在“独立”选项卡卡上,单单击“添加”。 4. 在“可用的的独立管管理单元元”列表中中找到并并单击“组策略略对象编编辑器”,然后后单击“添加”。 5. 在“选择组组策略对对象”对话框框中,单单击“浏览”。6. 选择您要配配置的组组策略对对象,单单
37、击“确定”,然后后单击“完成”以退出出组策略略向导。7. 单击“关闭闭”以退出出“添加独独立管理理单元”对话框框,然后后单击“确定”以退出出“添加/删除管管理单元元”对话框框并返回回管理控控制台。8. 在控制台树树中打开开“计算机机配置”、“管理模模板”、“网络”、“网络连连接”,然后后打开“Winndowws 防防火墙”。 图 4 组策策略中的的 Wiindoows 防火墙墙选项9. 双击“Wiindoows 防火墙墙:允许许通过验验证的 IPSSec 旁路”。图 5 允许许通过验验证的 IPSSec 旁路表 1 概概述了允允许绕过过已验证证的 IIPSeec 选选项。表 1 允许许企业通通
38、过验证证的 IIPSeec 旁旁路设置置设置描述备注未配置此 GPOO 不会会更改 Winndowws 防防火墙的的当前配配置已启用Windoows 防火墙墙不会处处理受 IPSSec 保护的的通信,除除非是来来自策略略中列出出的用户户或组。列出用户和和组的语语法使用用 SDDDL 标准。 有关更更多信息息,请参参阅下面面的资源源:MSDN 网站 htttp:/goo.miicroosofft.ccom/fwllinkk/?llinkkid=355503 上的“Seccuriity Desscriiptoor DDefiinittionn Laanguuagee”已禁用Windoows 防火墙
39、墙将处理理受 IIPSeec 保保护的通通信。10. 使用表 11 中的的信息,然然后单击击“已启用用”或“已禁用用”。注:如果您您单击“已启用用”,则可可以创建建一个用用户或组组列表,并并允许他他们向您您的计算算机发送送受 IIPSeec 保保护的通通信。11. 单击“确定定”。 12. 选择“域配配置文件件”或“标准配配置文件件”。图 6 组策策略中的的 Wiindoows 防火墙墙设置表 2 概概述了用用于域和和标准配配置文件件的 WWinddowss 防火火墙组策策略推荐荐设置。表 2 用于于企业的的 Wiindoows 防火墙墙推荐设设置设置描述域配置文件件标准配置文文件保护所有网网
40、络连接接指定为所有有网络连连接启用用 Wiindoows 防火墙墙已启用已启用不允许例外外指定放弃所所有进入入的垃圾圾通信,包包括例外外通信未配置已启用,除除非您必必须配置置程序例例外定义程序例例外按照程序文文件名定定义例外外通信如果网络上上的计算算机运行行附带 SP22 的 Winndowws XXP,则则启用和和配置由由其使用用的程序序(应用用程序和和服务)如果网络上上的计算算机运行行附带 SP22 的 Winndowws XXP,则则启用和和配置由由其使用用的程序序(应用用程序和和服务)允许本地程程序例外外允许程序例例外的本本地配置置已禁用,除除非您需需要本地地管理员员在本地地配置程程序
41、例外外已禁用允许远程管管理例外外允许使用工工具进行行远程配配置禁用,除非非您希望望能够使使用 MMMC 管理单单元远程程管理您您的计算算机已禁用允许文件和和打印共共享机例例外指定是否允允许文件件和打印印机共享享通信已禁用,除除非运行行 Wiindoows XP SP22 的计计算机共共享本地地资源已禁用允许 ICCMP 例外指定允许的的 ICCMP 消息类类型禁用,除非非您希望望使用 pinng 命命令排除除故障已禁用允许远程桌桌面例外外指定计算机机是否可可以接受受基于远远程桌面面的连接接请求已启用已启用允许 UPPnP 框架例例外指定计算机机是否可可以接收收垃圾 UPnnP 消消息已禁用已禁
42、用阻止通知禁用通知已禁用已禁用允许记录日日志允许您记录录通信并并配置日日志文件件设置未配置未配置阻止对多播播或广播播请求的的单播响响应放弃针对多多播或广广播请求求消息而而收到的的单播数数据包已启用已启用定义端口例例外按照 TCCP 和和 UDDP 指指定例外外通信已禁用已禁用允许本地端端口例外外允许端口例例外的本本地配置置已禁用已禁用启用端口的的例外启用端口例例外1. 在“域配置置文件”或“标准配配置文件件”设置区区域中,双双击“Winndowws 防防火墙:定义端端口例外外”。图 7 Wiindoows 防火墙墙:定义义端口例例外属性性2. 单击“已启启用”,然后后单击“显示”。 图 8 显
43、示示内容3. 单击“添加加”。图 9 添加加项目4. 使用以下语语法,键键入您要要阻止或或启用的的端口信信息:port:traanspportt:sccopee:sttatuus:nnamee 此处的 pportt 是端端口号码码,trranssporrt 是是 TCCP 或或 UDDP,sscoppe 是是 *(用用于所有有系统)或或允许访访问端口口的计算算机列表表,sttatuus 是是已启用用或已禁禁用,nnamee 是用用作此条条目标签签的文本本字符串串。在使用范围围时,不不支持主主机名称称、域名名系统 (DNNS) 名称或或 DNNS 后后缀。 对于 IPvv4 地地址范围围,您可可
44、以使用用点分隔隔子网掩掩码或前前缀长度度来指定定范围。 在使用用点分隔隔子网掩掩码时,您您可以将将范围指指定为 IPvv4 网网络 IID(例例如 110.447.881.00/2555.2255.2555.0),或或者通过过使用范范围内的的某个 IPvv4 地地址(例例如 110.447.881.2231/2555.2555.2255.0)来来指定。 在使用用网络前前缀长度度时,您您可以将将范围指指定为 IPvv4 网网络 IID(例例如 110.447.881.00/244),或或者通过过使用范范围内的的某个 IPvv4 地地址(例例如 110.447.881.2231/24)来来指定。有
45、关 TCCP/IIP 地地址和子子网的详详细信息息,请参参阅下面面的资源源:Microosofft 帮帮助和支支持网站站 htttp:/m/fwwlinnk/?linnkidd=3663700 上的的 Miicroosofft 知知识库文文章 11640015注:如果来来源列表表中的条条目之间间存在任任何空格格或其它它任何无无效字符符,则范范围将被被忽略,而而设置也也将表现现为已被被禁用。 保存更更改之前前,请双双击您的的范围语语法。此实例使用用名为 WebbTesst 的的端口例例外,并并为所有有连接启启用 TTCP 端口 80。5. 单击“确定定”以关闭闭“添加项项目”。图 10 显显示内
46、容容6. 单击“确定定”以关闭闭“显示内内容”。7. 单击“关闭闭”以关闭闭“Winndowws 防防火墙:定义端端口例外外属性”。注:如果已已选定“不允许许例外”,则会会忽略任任何端口口例外。启用程序的的例外启用程序例例外1. 在“域配置置文件”或“标准配配置文件件”设置区区域中,双双击“Winndowws 防防火墙:定义程程序例外外”。图 11 WWinddowss 防火火墙:定定义程序序例外属属性2. 单击“已启启用”,然后后单击“显示”。图 12 显显示内容容3. 单击“添加加”。图 13 添添加项目目4. 使用以下语语法,键键入您要要阻止或或启用的的程序信信息:path:scoope:staatuss:naame 此处的 ppathh 是程程序路径径和文件件名,sscoppe 是是 *(用用于所有有系统)或或允许访访问程序序的计算算机列表表,sttatuus 是是已