Information & Communication Security Technology Center ::: Skip Navigation Links > 首頁 > 政府組態基準(GCB)-FAQ

GCB FAQ


1.LocalGPO匯入失敗(Path not found)之解決方式?

可選擇下列2種方式其中一種可解決Path not found的問題:

1.移除目錄名稱中的空白,例如將「USGCB Account Policy」調整為「USGCBAccountPolicy」。

2.匯入時將資料夾名稱前後加入雙引號,例如:"C:\USGCB Internet Explorer 8 Computer Settings\{61A09835-BED1-4573-A599-3E87118754CA}"。

2.如何將網站加入信任網站區域,使Active X元件能夠執行?

如因公務執行需求,必須將某些網址加入信任網站清單,請先依機關完成清單審核後,再依照下列步驟操作將網站加入信任網站區域:

1.從單機加入信任網站方式:

(1)開啟本機群組編輯器(gpedit.msc)。

開啟本機群組編輯器(gpedit.msc)

(2)選取設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。將「指派網站到區域清單」改為已啟用,並點選「顯示」。

將「指派網站到區域清單」改為已啟用,並點選「顯示」

(3)「值名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(4)「值」欄位:輸入2後,按「確定」,並關閉本機群組原則編輯器。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

(5)啟用cmd.exe,執行gpupdate /force,更新群組原則設定後,即完成將網站新增至信任網站區域作業。

啟用cmd.exe,執行gpupdate /force

2.從Windows Server 2003 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性畫面"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「已啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「已啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

3.從Windows Server 2008 AD加入信任網站方式:

(1)開啟「群組原則管理」,於GPO上按「右鍵」點選「編輯」,設定路徑:"電腦設定"=>"原則"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「啟用」,並點選「顯示」。

將「指派網站到區域清單」改為「啟用」,並點選「顯示」

(3)點選「新增」。

點選「新增」

(4)「請輸入要新增的項目名稱」欄位:輸入欲加入到信任的網站區域的網址(例如:http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位:輸入2後,按「確定」。

輸入欲加入到信任的網站區域的網址,並在「值」欄位輸入2

3.如何讓加解密相關程式能夠順利執行(例如:MD5)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

4.Windows Server 2003 AD伺服器如何匯入從技服中心網站所下載之GPO檔案?

可依照下列步驟操作可將技服中心網站所下載之GPO匯入Windows Server 2003 AD伺服器:

1.安裝微軟的安全性規範管理員工具Security Compliance Manager,下載網址:http://gallery.technet.microsoft.com/LocalGPOmsi-Excellent-MS-2593b2eb,安裝步驟請參考ICST網站-->政府組態基準(GCB)-->檔案下載-->政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

2.將所下載之GPO檔案匯入Security Compliance Manager工具。

將所下載之GPO檔案匯入Security Compliance Manager工具

3.利用Security Compliance Manager工具的匯出功能,將步驟2所匯入之GCB設定直接匯出,匯出後的GPO版本即可匯入Windows Server 2003 AD伺服器。

將步驟2所匯入之GCB設定直接匯出

4.開啟「群組原則管理」匯入GPO,步驟請參考ICST網站-->政府組態基準(GCB)-->檔案下載-->政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

註:若於AD伺服器上找不到「群組原則管理」,請至微軟網站下載安裝Group Policy Management Console(GPMC)軟體,下載網址:http://www.microsoft.com/zh-tw/download/details.aspx?id=21895

5.如何在群組原則編輯器中顯示MSS類別的設定?

可依照下列步驟操作可顯示MSS類別的設定:

1.安裝LOCAL GPO程式。

2.按右鍵「以系統管理員身分執行」啟動LOCAL GPO Command 程式。

3.在LOCAL GPO Command輸入cscript LocalGPO.wsf /ConfigSCE執行後,就可以在群組原則編輯器看到MSS類別的設定。

6.如何調整登入畫面不顯示「Warning」訊息?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-8740-3與CCE-8973-0設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息標題"」與「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息本文"」2項設定值清空,就不會顯示Warning訊息。

7.如何在群組原則中設定「允許主動式內容在我電腦上的檔案中執行」?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整本項設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性功能"=>"本機電腦區域鎖定安全性"=>"Internet Explorer程序"」設為停用即可。

8.電腦套用GCB後如何共用檔案及印表機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6設定值,方法如下:

1.開啟群組原則編輯器(gpedit.msc)

2.依照路徑:「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」。

3.於「輸入規則」上點選右鍵,選擇「新增規則」。

4.選擇「預先定義」選項,從下拉式選單選擇「檔案及印表機共用」項目。

5.允許有關「網域」設定檔之8條連線規則。

6.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"從網路存取這台電腦"」加入欲新增的「使用者群組」。

7.完成後,於命令提示字元(cmd.exe)執行gpupdate /force指令。

9.win7作業系統遠端桌面連線至XP作業系統出現「用戶端無法建立與遠端電腦的連線」訊息時該如何解決?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求使用遠端桌面連線出現下圖之訊息。

使用遠端桌面連線出現的訊息

必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

10.如何解決「政府歲計會計資訊管理系統」(GBA)上傳資料失敗?

使用者執行上傳資料時,在下拉式選單中選擇以SFTP協定傳送即可排除問題。

11.如何解決「公教人員人事管理系統」(Pemis2K)無法進入差勤子系統?

執行程式時,按右鍵選擇「以系統管理員身分執行」,即可排除問題。

12.如何解決「二代健保補充保費系統」補充保費繳款書列印失敗?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用。

2.執行程式時,按右鍵選擇「以系統管理員身分執行」。

13.如何解決自然輸入法V10切換輸入法會造成當機?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

14.使用者電腦無法連線至Windows Server 2000的共享資料夾?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9327-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"Microsoft網路用戶端:數位簽章用戶端的通訊(自動)"」設為停用即可。

15.如何在win7電腦開啟遠端桌面連線共用?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9620-6與CCE-9985-3設定值,方法如下:

1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」,新增防火牆輸入規則:允許「網域」TCP通訊埠3389的輸入連線。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"遠端桌面服務"=>"遠端桌面工作階段主機"=>"連線"=>"允許使用者使用遠端桌面服務從遠端連線"」設為啟用即可。

16.Adobe acrobat professional無法進行軟體更新?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9888-9設定值,方法如下:

將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Windows Installer"=>"禁止非系統管理員套用廠商簽署的更新"」設為停用即可。

17.套用GCB後無法觀看HTTPS網址之YouTube影片?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-9266-8設定值,方法如下:

將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯:使用FIPS 140相容加密演算法,包括加密、雜湊以及簽署演算法"」設為停用即可。

18.如何讓IE瀏覽器網際網路選項的安全性分頁中自訂等級按鈕可以點選(解除反白)?

政府組態基準(GCB)之設定值原則上不宜隨意更動,但如因公務執行需求,必須調整CCE-10096-6與CCE-10037-0設定值,方法如下:

1.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:只使用電腦設定"」設為停用。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"Internet Explorer"=>"安全性區域:不允許使用者變更原則"」設為停用。

19.使用「筆硯公文系統」操作「線上簽核」功能,出現錯誤訊息?

使用「筆硯公文系統」操作「線上簽核」功能,出現以下錯誤訊息時,可在執行IE瀏覽器時,按右鍵選擇「以系統管理員身分執行」,便可排除問題。

「線上簽核」功能出現錯誤訊息