政府組態基準 (GCB) 實作研習活動 (Internet Explorer 8) 國家資通安全會報技術服務中心
大綱 前言 IE 8 政府組態基準項目分類 IE 8 政府組態基準套用規則說明 IE 8 政府組態基準設定項目說明 問題與討論 2
IE 8 前言 Computer Settings(110) User Settings(5) 3
IE 8 政府組態基準項目分類 (1/2) Internet Explorer 網際網路控制台 \ 進階分頁 安全性功能 安全性網頁 內部網路區域 本機電腦區域 受限制的網站區域 信任的網站區域 網際網路區域 鎖定的內部網路區域 鎖定的本機電腦區域 鎖定的受限制的網站區域 鎖定的信任網站區域 鎖定的網際網路區域 4
IE 8 政府組態基準項目分類 (2/2) IE 8 系統安全性基準分類 組態設定數量 Internet Explorer(Computer Setting) 18 Internet Explorer(User Setting) 5 網際網路控制台 \ 進階分頁 6 安全性功能 7 安全性網頁 1 安全性網頁 \ 內部網路區域 1 安全性網頁 \ 本機電腦區域 1 安全性網頁 \ 受限制網站區域 38 安全性網頁 \ 信任的網站區域 1 安全性網頁 \ 網際網路區域 31 安全性網頁 \ 鎖定的內部網路區域 1 安全性網頁 \ 鎖定的本機電腦區域 1 安全性網頁 \ 鎖定的受限制的網站區域 1 安全性網頁 \ 鎖定的信任網站區域 1 安全性網頁 \ 鎖定的網際網路區域 2 合計 115 5
IE 8 政府組態基準套用規則說明 Internet Explorer 網際網路控制台 \ 進階分頁安全性功能 網際網路 (31) 內部 (1) 信任 (1) 本機 (1) 受限制網站 (38) 6
IE 8 政府組態基準設定項目說明
Internet Explorer (Computer Setting)
安全性區域 : 不允許使用者變更 原則 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 安全性區域 : 不允許使用者變更原則 建議值 啟用 說明 啟用這個原則,[ 網際網路選項 ] 對話方塊的 [ 安全性 ] 索引標籤中的 [ 自訂等級 ] 按鈕和安全性層級滑桿將會停用 9
安全性區域 : 不允許使用者變更 原則 (2/3) 設定路徑截圖 10
安全性區域 : 不允許使用者變更 原則 (3/3) 設定完成結果截圖 IE8\ 工具 \[ 網際網路選項 ] \[ 安全性 ] 索引標籤中的各網路區域的 [ 自訂等級 ] 按鈕和安全性等層級滑桿將會停用 11
關閉安全性設定檢查功能 (1/4) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 關閉安全性設定檢查功能 建議值 停用 說明 如果停用或未設定這個原則設定, 就會執行安全性設定檢查 12
關閉安全性設定檢查功能 (2/4) 設定路徑截圖 13
關閉安全性設定檢查功能 (3/4) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 安全性 \ 網際網路 \ 自訂等級 \Active X 控制項與外掛程式 \ 將未標示成安全的 ActiveX 控制項初始化並執行指令碼 設 尚未設定 或 已停用, 則會出現警告不安全的訊息 14
關閉安全性設定檢查功能 (4/4) 設定完成結果截圖 15
不允許使用者啟用或停用附加元 件 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 不允許使用者啟用或停用附加元件 建議值 啟用 說明 啟用這個原則設定, 使用者無法透過附加元件管理員啟用或停用附加元件 16
不允許使用者啟用或停用附加元 件 (2/3) 設定路徑截圖 17
不允許使用者啟用或停用附加元件 (3/3) 設定完成結果截圖 IE8\ 工具 \ 管理附加元件 無法停用或啟用附加元件 18
停用 [ 設定記錄 ] (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 刪除瀏覽歷程記錄 \ 停用 [ 設定記錄 ] 建議值 啟用 網頁保留在紀錄中的天數 :40 天 說明 啟用這個原則設定, 使用者將無法設定 Internet Explorer 在 [ 歷程記錄清單 ] 中保留已瀏覽網頁的天數 19
停用 [ 設定記錄 ] (2/3) 設定路徑截圖 20
停用 [ 設定記錄 ] (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 一般 \ 瀏覽歷程記錄 \ 設定 \ 歷程記錄 \ 畫面保留天數 (K) 為灰色不能修改, 若在組態設定為 40 天, 則在此應也為 40 天 21
關閉設定檢查更新的時間間隔 ( 天 ) (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路設定 \ 元件更新 \ 定期檢查 Internet Explorer 和網際網路工具更新 \ 關閉設定檢查更新的時間間隔 ( 天 ) 建議值 啟用 檢查更新的時間間隔 : 30( 天 ) 說明 啟用這個原則設定, 使用者將無法設定檢查更新的時間間隔 您必須指定檢查更新的時間間隔 22
關閉設定檢查更新的時間間隔 ( 天 ) (2/2) 設定路徑截圖 23
Internet Explorer (User Setting)
停用表單自動完成功能 (1/3) 設定路徑 使用者設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 停用表單自動完成功能 建議值 啟用 說明 啟用這個設定, 當使用者填寫表單時將不會向使用者建議相符項目 使用者不能變更它 25
停用表單自動完成功能 (2/3) 設定路徑截圖 26
停用表單自動完成功能 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 內容 \ 自動完成 \ 設定 \ 表單 為灰色, 使用者不能修改 27
開啟表單上使用者名稱和密碼的 自動完成功能 (1/3) 設定路徑 使用者設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 開啟表單上使用者名稱和密碼的自動完成功能 建議值 停用 說明 停用這個設定, 則使用者無法變更 [ 表單上的使用者名稱和密碼 ] 或 [ 提示我儲存密碼 ] 表單上使用者名稱和密碼的 [ 自動完成 ] 功能將會關閉 使用者也無法選擇被提示儲存密碼 28
開啟表單上使用者名稱和密碼的 自動完成功能 (2/3) 設定路徑截圖 29
開啟表單上使用者名稱和密碼的 自動完成功能 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 內容 \ 自動完成 \ 設定 \ 表單上的使用者名稱和密碼及儲存前先詢問我 為灰色不能修改 30
網際網路控制台 \ 進階分頁
檢查已下載程式的簽章 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 進階分頁 \ 檢查已下載程式的簽章 建議值 啟用 說明 啟用這個原則設定,Internet Explorer 將會在下載到使用者電腦前檢查可執行檔程式的數位簽章並顯示其識別身分 32
檢查已下載程式的簽章 (2/3) 設定路徑截圖 33
檢查已下載程式的簽章 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 進階 \ 檢查已下載程式的簽章 應為灰色不能修改 34
即使簽章無效也允許執行或安裝 軟體 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 進階分頁 \ 即使簽章無效也允許執行或安裝軟體 建議值 停用 說明 這個原則設定可管理即使簽章無效時, 使用者是否能安裝或執行諸如 ActiveX 控制項和檔案下載的軟體 停用這個原則設定, 使用者無法安裝或執行具有無效簽 章的檔案 35
即使簽章無效也允許執行或安裝 軟體 (2/3) 設定路徑截圖 36
即使簽章無效也允許執行或安裝 軟體 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 進階 \ 即使簽章無效也允許執行或安裝軟體 應為灰色不能修改 37
允許在使用者電腦上執行 CD 的 主動式內容 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 進階分頁 \ 允許在使用者電腦上執行 CD 的主動式內容 建議值 停用 說明 停用這個原則設定, 需要先提示才會執行 CD 上的主動式內容 38
允許在使用者電腦上執行 CD 的 主動式內容 (2/3) 設定路徑截圖 39
允許在使用者電腦上執行 CD 的 主動式內容 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際網路選項 \ 進階 \ 允許在使用者電腦上執行 CD 的主動式內容 應為灰色不能修改 40
自動檢查 Internet Explorer 更新 (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 進階分頁 \ 自動檢查 Internet Explorer 更新 建議值 停用 說明 停用這個原則設定,Internet Explorer 不會檢查網際網路是否有新版本瀏覽器, 因此不會提示使用者安裝 41
自動檢查 Internet Explorer 更新 (2/2) 設定路徑截圖 42
安全性功能
Internet Explorer 程序 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 安全性功能 \ 限制檔案下載 \Internet Explorer 程序 建議值 啟用 說明 啟用這個原則設定, 將會封鎖 Internet Explorer 程序的非使用者起始之檔案下載提示 44
Internet Explorer 程序 (2/3) 設定路徑截圖 45
Internet Explorer 程序 (3/3) 設定完成結果截圖 46
Internet Explorer 程序 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 安全性功能 \ 限制 ActiveX 安裝 \ Internet Explorer 程序 建議值 啟用 說明 啟用這個原則設定, 將會封鎖 Internet Explorer 程序的 ActiveX 控制項安裝提示 47
Internet Explorer 程序 (2/3) 設定路徑截圖 48
Internet Explorer 程序 (3/3) 設定完成結果截圖 49
安全性網頁 \ 內部網站區域 安全性網頁 \ 信任的網站區域
JAVA 權限 (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 內部網路區域 \JAVA 權限 建議值 啟用 JAVA 權限 : 高安全性 說明 [ 高安全性 ] 可讓程式在其沙箱中執行 51
JAVA 權限 (2/2) 設定路徑截圖 52
安全性網頁 \ 本機電腦區域
JAVA 權限 (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 本機電腦區域 \JAVA 權限 建議值 啟用 JAVA 權限 : 停用 JAVA 說明 停用這個原則設定,Java 程式將無法執行 54
JAVA 權限 (2/2) 設定路徑截圖 55
安全性網頁 \ 網際網路區域
開啟受保護模式 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 開啟受保護模式 建議值 啟用 啟用 說明 受保護模式是一項功能, 可使惡意軟體更難安裝到使用者的電腦中 啟用這個原則設定, 將會開啟受保護模式 使用者將無 法關閉受保護模式 57
開啟受保護模式 (2/3) 設定路徑截圖 58
開啟受保護模式 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 啟動受保護模式 為灰色, 不能修改 59
將檔案上傳到伺服器時包括本機 目錄路徑 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 將檔案上傳 到伺服器時包括本機目錄路徑 建議值 啟用 停用 說明 如果傳送本機路徑資訊, 可能會不小心對伺服器揭露某 些資訊 停用此原則設定, 當透過 HTML 表單上傳檔案時, 將會 移除路徑資訊 60
將檔案上傳到伺服器時包括本機 目錄路徑 (2/3) 設定路徑截圖 61
將檔案上傳到伺服器時包括本機 目錄路徑 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 雜項 \ 將檔案上傳到伺服器時包括本機目錄路徑 已選 停用 並且為灰色不能修改 62
開啟跨網站指令碼 (XSS) 篩選器 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 開啟跨網站指令碼 (XSS) 篩選器 建議值 啟用 啟用 說明 啟用此原則設定,XSS 篩選器將針對此區域中的網站啟用, 同時 XSS 篩選器會嘗試封鎖跨網站指令碼插入 63
開啟跨網站指令碼 (XSS) 篩選器 (2/3) 設定路徑截圖 64
開啟跨網站指令碼 (XSS) 篩選器 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 指令碼處理 \ 將檔案上傳到伺服器時包括本機目錄路徑 已選 啟用, 並且為灰色不能修改 65
使用快顯封鎖程式 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 使用快顯封鎖程式 建議值 啟用 啟用 說明 啟用這個原則設定, 將會封鎖大部分擾人的快顯視窗 66
使用快顯封鎖程式 (2/3) 設定路徑截圖 67
使用快顯封鎖程式 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 雜項 \ 使用快顯封鎖程式 已選 啟用, 並且為灰色不能修改 68
允許透過指令碼執行剪貼簿的剪 下 複製或貼上作業 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 允許透過指令碼執行剪貼簿的剪下 複製或貼上作業 建議值 啟用 停用 說明 停用這個原則設定, 指令碼將無法執行剪貼簿操作 69
允許透過指令碼執行剪貼簿的剪 下 複製或貼上作業 (2/3) 設定路徑截圖 70
允許透過指令碼執行剪貼簿的剪 下 複製或貼上作業 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 指令碼處理 \ 允許程式設計剪貼簿存取 --> 已選 停用, 並且為灰色不能修改 71
存取跨網域的資料來源 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 存取跨網域的資料來源 建議值 啟用 停用 說明 停用這個原則設定, 使用者便無法將網頁載入使用 MSXML 或 ADO 的區域中, 以存取該區域內來自另一網站的資料 72
存取跨網域的資料來源 (2/3) 設定路徑截圖 73
存取跨網域的資料來源 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 雜項 \ 跨網域的資料來源 已選 停用, 並且為灰色不能修改 74
自動提示檔案下載 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 自動提示檔案下載 建議值 啟用 啟用 說明 啟用這個設定, 使用者將會收到檔案下載對話方塊, 指出將要嘗試自動下載 75
自動提示檔案下載 (2/3) 設定路徑截圖 76
自動提示檔案下載 (3/3) 設定路徑截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 下載 \ 自動提示下載檔案 已選 啟用, 並且為灰色不能修改 77
啟動程式和不安全的檔案 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 網際網路區域 \ 啟動程式和不安全的檔案建議值 建議值 啟用 提示 說明 如果下拉式方塊是設定為 [ 提示 ], 將在開啟檔案之前顯示安全性提示 78
啟動程式和不安全的檔案 (2/3) 設定路徑截圖 79
啟動程式和不安全的檔案 (3/3) 設定路徑截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 網際網路 \ 自訂等級 \ 雜項 \ 自動提示下載檔案 已選 停用, 並且為灰色不能修改 80
安全性網頁 \ 受限制的網站區域
自動提示檔案下載 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 受限制的網站區域 \ 自動提示檔案下載 建議值 啟用 停用 說明 停用或未設定這個設定, 則無法執行非使用者啟動的檔案下載, 而且使用者只會看到 [ 資訊列 ], 而不會收到檔案下載對話方塊 接下來, 使用者可以按一下 [ 資訊列 ], 以允許檔案下載提示 82
自動提示檔案下載 (2/3) 設定路徑截圖 83
自動提示檔案下載 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 限制的網站 \ 自訂等級 \ 下載 \ 自動提示下載檔案 已選 停用, 並且為灰色不能修改 84
啟動程式和不安全的檔案 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 受限制的網站區域 \ 啟動程式和不安全的檔案 建議值 啟用 停用 說明 停用此原則設定, 將不會開啟檔案 85
啟動程式和不安全的檔案 (2/3) 設定路徑截圖 86
啟動程式和不安全的檔案 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 限制的網站 \ 自訂等級 \ 雜項 \ 自動提示下載檔案 --> 已選 停用, 並且為灰色, 不能修改 87
允許檔案下載 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 受限制的網站區域 \ 允許檔案下載 建議值 啟用 停用 說明 停用這個原則設定, 則無法從受限制網站區域下載檔案 88
允許檔案下載 (2/3) 設定路徑截圖 89
允許檔案下載 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 限制的網站 \ 自訂等級 \ 下載 \ 檔案下載 --> 已選 停用, 並且為灰色不能修改 90
執行 ActiveX 控制項及外掛程式 (1/3) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 受限制的網站區域 \ 執行 ActiveX 控制項及外掛程式 建議值 啟用 停用 說明 停用這個原則設定, 控制項和外掛程式將無法執行 91
執行 ActiveX 控制項及外掛程式 (2/3) 設定路徑截圖 92
執行 ActiveX 控制項及外掛程式 (3/3) 設定完成結果截圖 IE8\ 工具 \ 網際選項 \ 安全性 \ 限制的網站 \ 自訂等級 \ActiveX 控制項與外掛程式 \ 執行 ActiveX 控制項及外掛程式 已選 停用, 並且為灰色不能修改 93
安全性網頁 \ 鎖定的內部網站區域安全性網頁 \ 鎖定的信任的網站區域安全性網頁 \ 鎖定的受限制的網站區域安全性網頁 \ 鎖定的網際網路區域安全性網頁 \ 鎖定的本機電腦區域
JAVA 權限 (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 鎖定的內部網站區域 \JAVA 權限 建議值 啟用 JAVA 權限 : 停用 JAVA 說明 停用這個原則設定,Java 程式將無法執行 95
JAVA 權限 (2/2) 設定路徑截圖 96
安全性網頁 \ 鎖定的網際網路區 域
下載已簽署的 ActiveX 控制項 (1/2) 設定路徑 電腦設定 \ 系統管理範本 \Windows 元件 \Internet Explorer\ 網際網路控制台 \ 安全性網頁 \ 鎖定的網際網路區域 \ 下載已簽署的 ActiveX 控制項 建議值 啟用 停用 說明 停用這個原則設定, 就無法下載已簽署的 ActiveX 控制項 98
下載已簽署的 ActiveX 控制項 (2/2) 設定路徑截圖 99
各區域之組態設定彙整表 (1/4) IE 8 系統安全性基準分類 內部網路區域 本機電腦區域 受限制網站區域 信任的網站區域 網際網路區域 JAVA 權限 高安全性 停用 JAVA 停用 JAVA 高安全性 停用 JAVA 開啟受保護模式 尚未設定 尚未設定 啟用 尚未設定 啟用 將檔案上傳到伺服器時包括本機目 尚未設定 尚未設定 停用 尚未設定 停用 錄路徑 開啟跨網站指令碼 (XSS) 篩選 尚未設定 尚未設定 啟用 尚未設定 啟用 器 使用快顯封鎖程式 尚未設定 尚未設定 啟用 尚未設定 啟用 100
各區域之組態設定彙整表 (2/4) IE 8 系統安全性基準分類 內部網路區域 本機電腦區域 受限制網站區域 信任的網站區域 網際網路區域 允許透過指令碼執行剪貼簿的剪下 複製或貼上作業存取跨網域的資料來源自動提示檔案下載啟動程式和不安全的檔案 尚未設定 尚未設定 停用 尚未設定 停用 尚未設定 尚未設定 停用 尚未設定 停用 尚未設定 尚未設定 停用 尚未設定 啟用 尚未設定 尚未設定 停用 尚未設定 提示 101
各區域之組態設定彙整表 (3/4) IE 8 系統安全性基準分類 內部網路區域 本機電腦區域 受限制網站區域 信任的網站區域 網際網路區域 允許檔案下載 尚未設定 尚未設定 停用 尚未設定 尚未設定 執行 ActiveX 控制項及外掛 尚未設定 尚未設定 停用 尚未設定 尚未設定 程式 下載已簽署的 ActiveX 控制項 尚未設定 尚未設定 停用 尚未設定 停用 102
各區域之組態設定彙整表 (4/4) IE 8 系統安全性基準分類 鎖定的內部網路區域 鎖定的本機電腦區域 鎖定的受限制的網站區域 鎖定的信任網站區域 鎖定的網際網路區域 JAVA 權限停用 JAVA 停用 JAVA 停用 JAVA 停用 JAVA 停用 JAVA 下載已簽署的 ActiveX 控制項 尚未設定尚未設定尚未設定尚未設定停用 103
報告完畢 敬請指教 104