您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

政府組態基準(GCB)

請以左右鍵切換目的(最左邊)、GCB說明文件(左邊)、GCB部署資源(中左)、教育訓練教材(中右)、數位教材影片(右邊)及FAQ(最右邊)之頁籤。

政府組態基準(Government Configuration Baseline,簡稱GCB)目的在於規範資通訊終端設備(如:個人電腦) 的一致性安全設定(如:密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之疑慮。

1.LocalGPO匯入失敗(Path not found)之解決方式?

可選擇下列2種方式其中一種可解決Path not found的問題:

1.移除目錄名稱中的空白,例如將「USGCB Account Policy」調整為「USGCBAccountPolicy」。

2.匯入時將資料夾名稱前後加入雙引號,例如:"C:\USGCB Internet Explorer 8 Computer Settings\{61A09835-BED1-4573-A599-3E87118754CA}"。

2.如何將網站加入信任網站區域,使Active X元件能夠執行?

如因公務執行需求,必須將某些網址加入信任網站清單,請先依機關完成清單審核後,再依照下列步驟操作將網站加入信任網站區域:

1.從單機加入信任網站方式:

(1)開啟本機群組編輯器(gpedit.msc)。

開啟本機群組編輯器(gpedit.msc)

(2)選取設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。將「指派網站到區域清單」改為已啟用,並點選「顯示」。

將「指派網站到區域清單」改為已啟用,並點選「顯示」

(3)「值名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(4)「值」欄位:輸入2後,按「確定」,並關閉本機群組原則編輯器。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

(5)啟用cmd.exe,執行gpupdate /force,更新群組原則設定後,即完成將網站新增至信任網站區域作業。

啟用cmd.exe,執行gpupdate /force

2.從Windows Server 2003 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性畫面"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「已啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「已啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

3.從Windows Server 2008 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"原則"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

3.如何讓加解密相關程式能夠順利執行(例如:MD5)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

4.Windows Server 2003 AD伺服器如何匯入從資安科技中心所下載之GPO檔案?

可依照下列步驟操作可將資安科技中心網站所下載之GPO匯入Windows Server 2003 AD伺服器:

1.安裝微軟的安全性規範管理員工具Security Compliance Manager,下載網址:http://gallery.technet.microsoft.com/LocalGPOmsi-Excellent-MS-2593b2eb,安裝步驟請參考資安科技中心網站-->資安業務與服務-->政府組態基準(GCB)-->檔案下載-->103年政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

2.將所下載之GPO檔案匯入Security Compliance Manager工具。

將所下載之GPO檔案匯入Security Compliance Manager工具

3.利用Security Compliance Manager工具的匯出功能,將步驟2所匯入之GCB設定直接匯出,匯出後的GPO版本即可匯入Windows Server 2003 AD伺服器。

將步驟2所匯入之GCB設定直接匯出

4.開啟「群組原則管理」匯入GPO,步驟請參考資安科技中心網站--->資安業務與服務-->政府組態基準(GCB)-->檔案下載-->103年政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

5.如何在群組原則編輯器中顯示MSS類別的設定?

可依照下列步驟操作可顯示MSS類別的設定:

1.安裝LOCAL GPO程式。

2.按右鍵「以系統管理員身分執行」啟動LOCAL GPO Command 程式。

3.在LOCAL GPO Command輸入cscript LocalGPO.wsf /ConfigSCE執行後,就可以在群組原則編輯器看到MSS類別的設定。

6.如何調整登入畫面不顯示「Warning」訊息?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-8740-3與CCE-8973-0設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息標題"」與「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息本文"」2項設定值清空,就不會顯示Warning訊息。

7.如何在群組原則中設定「允許主動式內容在我電腦上的檔案中執行」?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整本項設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性功能"=>"本機電腦區域鎖定安全性"=>"Internet Explorer程序"」設為停用即可。

8.電腦套用GCB後如何共用檔案及印表機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6設定值,方法如下:

1.開啟群組原則編輯器(gpedit.msc)

2.依照路徑:「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」。

3.於「輸入規則」上點選右鍵,選擇「新增規則」。

4.選擇「預先定義」選項,從下拉式選單選擇「檔案及印表機共用」項目。

5.允許有關「網域」設定檔之8條連線規則。

6.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"從網路存取這台電腦"」加入欲新增的「使用者群組」。

7.完成後,於命令提示字元(cmd.exe)執行gpupdate /force指令。

9.win7作業系統遠端桌面連線至XP作業系統出現「用戶端無法建立與遠端電腦的連線」訊息時該如何解決?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求使用遠端桌面連線出現下圖之訊息。

使用遠端桌面連線出現的訊息

必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

10.如何解決「政府歲計會計資訊管理系統」(GBA)上傳資料失敗?

使用者執行上傳資料時,在下拉式選單中選擇以SFTP協定傳送即可排除問題。

11.如何解決「公教人員人事管理系統」(Pemis2K)無法進入差勤子系統?

執行程式時,按右鍵選擇「以系統管理員身分執行」,即可排除問題。

12.如何解決「二代健保補充保費系統」補充保費繳款書列印失敗?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用。

2.執行程式時,按右鍵選擇「以系統管理員身分執行」。

13.如何解決自然輸入法V10切換輸入法會造成當機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

14.使用者電腦無法連線至Windows Server 2000的共享資料夾?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9327-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"Microsoft網路用戶端:數位簽章用戶端的通訊(自動)"」設為停用即可。

15.如何在win7電腦開啟遠端桌面連線共用?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6與CCE-9985-3設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」,新增防火牆輸入規則:允許「網域」TCP通訊埠3389的輸入連線。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"遠端桌面服務"=>"遠端桌面工作階段主機"=>"連線"=>"允許使用者使用遠端桌面服務從遠端連線"」設為啟用即可。

16.Adobe acrobat professional無法進行軟體更新?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9888-9設定值,方法如下:

將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Windows Installer"=>"禁止非系統管理員套用廠商簽署的更新"」設為停用即可。

17.套用GCB後無法觀看HTTPS網址之YouTube影片?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

18.如何讓IE瀏覽器網際網路選項的安全性分頁中自訂等級按鈕可以點選(解除反白)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-10096-6與CCE-10037-0設定值,方法如下:

1.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:只使用電腦設定"」設為停用。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:不允許使用者變更原則"」設為停用。

19.使用「筆硯公文系統」操作「線上簽核」功能,出現錯誤訊息?

使用「筆硯公文系統」操作「線上簽核」功能,出現以下錯誤訊息時,可在執行IE瀏覽器時,按右鍵選擇「以系統管理員身分執行」,便可排除問題。

錯誤訊息:CONFIG物件建立失敗:系統呼叫未傳入正確的組態參數,請聯絡系統管理員

20.如何使用LGPO將GPO備份檔倒入單機版的Win8.1或Win10?

依據微軟公司官方網站說明,舊版工具LocalGPO預設只支援至Windows 8,Windows 8.1與Windows 10並無法直接使用,且LocalGPO已不再維護,已改使用新版的LGPO工具取代,官網說明與新版LGPO工具下載網址如下:https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/

新版LGPO的使用方法說明如下:

1.新版LGPO無須安裝,請至官網下載LGPO.zip後,解壓縮即可。

LGPO.zip解壓縮後會有LGPO.exe與LGPO.pdf

2.備份電腦現有組態設定:

(1)以系統管理員權限開啟「命令提示字元」。

(2)切換至LGPO所在目錄(ex:D:\LGPO)。

指令: d:,cd LGPO

(3)備份電腦現有組態設定語法: LGPO.exe /b [絕對路徑](ex: LGPO.exe /b "D:\Backup")

指令:LGPO.exe /b

3.部署GCB組態設定(建議於部署前先完成步驟2之備份,以便還原之需求):

(1)由資安科技中心網站(http://www.nccst.nat.gov.tw/GCB?lang=zh)下載GPO,並解壓至目錄(ex:D:\GCB)。

解壓縮欲使用的GPO壓縮檔

(2)以系統管理員權限開啟「命令提示字元」。

(3)切換至LGPO所在目錄(ex:D:\LGPO)。

d:,cd LGPO

(4)部署GCB組態設定語法:LGPO.exe /g [絕對路徑] (ex: LGPO.exe /g "D:\GCB",此工具會將D:\GCB中所有的GPO檔一次全部匯入系統)。

指令: LGPO.exe /g D:\GCB

(5)使用gpupdate /force更新組態設定,或是重新啟動電腦。

gpupdate /force

4.還原組態設定:

(1)以系統管理員權限開啟「命令提示字元」。

(2)輸入指令:RD /S /Q ?:\Windows\System32\GroupPolicy 刪除GroupPolicy資料夾。

RD /S /Q ?:\Windows\System32\GroupPolicy

(3)還原已備份之組態設定語法:LGPO.exe /g [絕對路徑] (ex: LGPO.exe /g "D:\Backup")。

LGPO.exe /g

(4)使用gpupdate /force更新組態設定,或是重新啟動電腦。

gpupdate /force