Windows XP 安全性指南

  • 發行項

第 7 章:結論

更新日期: 2006 年 7 月 26 日

恭喜您! 現在您已讀完本指南,對於如何評估可能影響貴組織所執行的 Microsoft® Windows® XP Professional Service Pack 2 (SP2) 作業系統的電腦安全性的風險,您應該有更清楚的認識。您現在應該已經瞭解如何在可行的基礎結構用戶端電腦中規劃及設計安全性。

本指南包括顧問與系統工程師所提供的資料,他們在各種組織設定中,實作過 Windows XP、Microsoft Windows Server™ 2003 和 Windows 2000 解決方案。指南的設計宗旨是為您提供使用 Windows XP 的最佳實務,而且本指南內的資訊可應用在任何組織上。

安全性是一個重要的主題,無論貴組織的環境為何。然而,很多組織不重視安全性,因為他們認為這會限制企業的靈活性和彈性。當設計良好的安全性成為核心的企業需求,並且在每個資訊技術 (IT) 專案的開端就進行規劃時,正確施行的安全性策略將能協助提升您電腦系統的可用性和效能。相反的,事後才新增到專案中的安全性策略對於可用性、穩定性和管理靈活性,都可能有不利的影響。因此,本指南建議每個組織應把安全性視為最優先的項目之一。

本頁內容

保護用戶端的安全
軟體限制原則
總結

保護用戶端的安全

Windows XP Professional 提供一套完整的安全性解決方案,以對抗桌上型和膝上型電腦所面臨的威脅。雖然未加入網域之電腦的使用者所擁有的安全性選項較少,但是加入網域及獨立的使用者都會因為能夠安全地存取其電腦而獲益。

企業用戶端

當用戶端電腦屬於組織網路的一部分時,網路系統管理員可能透過本指南中所述的 Active Directory® 目錄服務的「群組原則」安全性功能來設定電腦。網路系統管理員套用的任何「群組原則」設定,均優先於使用者在他們電腦上所設定的任何本機設定。「群組原則」允許系統管理員管理包括許多不同類型用戶端電腦的環境。

專業安全性限制功能用戶端

本指南中所述之專業安全性限制功能 (SSLF) 環境,強調存取、服務和基礎結構環境等問題。除了提高安全性控制和使用者驗證,系統管理員對於網路上資源與物件的存取,以及用戶端工作站的存取,均具有強大的控制能力。系統管理員必須保護資料與資源的安全,因此需要這種控制能力,也因此 (無可避免地) 會限制能夠在 SSLF 用戶端電腦上執行的工作。然而,這種限制的功能是必要的,因為在這類環境中,安全性需求日益提高。

獨立用戶端

雖然獨立用戶端電腦可用的安全性原則設定比屬於 Active Directory 網域的用戶端電腦來得少,但是它們還是可以使用主要的安全性功能。適當地設定獨立電腦上的這些原則設定,能協助將弱點遭到利用的風險降到最低。獨立環境會帶來更多的系統管理負荷,因為這些電腦不能透過網域的「群組原則」來管理。然而,使用本指南所述的工具將有助於減少系統管理負荷。

回到頁首

軟體限制原則

軟體限制原則為系統管理員提供方法,識別在網域或獨立環境中執行的軟體,以及控制軟體執行的能力。它可用於封鎖惡意指令碼或程式碼,並防止執行不需要的應用程式。軟體限制原則可針對獨立系統來設定,或是透過以網域為主的「群組原則」來管理,以提升系統完整性和可管理性。

回到頁首

總結

本指南解釋如何在三種不同的環境中,為執行 Windows XP SP2 的電腦進行有效評估、區分優先順序,以及降低安全性風險。其中提供如何為組織的網路基礎結構規劃和設計安全性的方法,並詳細指導如何在本指南定義的環境類型中,評估及減輕電腦的特定弱點。

對於選擇的理由將視組織決定是否要為這三種環境實作不同的原則設定時,所會涉及到的折衷觀點來說明。其中提供詳細資訊,說明特定的原則設定會如何影響功能性、可管理性、效能和可靠性,讓您針對環境中要實作的設定作出明智的決定。

保護網路中用戶端電腦並不是一勞永逸的工作,而是持續的程序,這個認知很重要。組織應納入與安全性相關的工作,以及預算與排程的規劃。在本指南中討論的每一項原則設定的實作,將能提升使用 Windows XP Professional 的大多數組織的安全性。然而,當發現下一個重大的弱點時,這些環境可能很容易再次遭受攻擊。基於這個理由,監視各種資源,掌握您環境中與作業系統、應用程式及裝置有關的最新安全性議題,是一項重要的工作。

製作本指南的每一位成員,都希望您會覺得當中的資料有所幫助、具有參考價值,而且容易理解。

其他資訊

下列連結提供更多與 Windows XP Professional 安全性有關的主題。

下載

下載 Windows XP 安全性指南 (英文)

回到頁首