GCB FAQ - 行政院國家資通安全會報技術服務中心

2.從Windows Server 2003 AD加入信任網站方式：. (1)開啟「群組原則管理」，於GPO上按「右鍵」點選「編輯」，設定路徑："電腦 ... 跳到主要內容 首頁 關於中心 中心簡介 組織架構 最新消息 最新公告 資安新聞 活動訊息 資安防護訊息 漏洞警訊公告 漏洞新聞 重大漏洞專區 共通規範 資通安全技術報告 Windows7終止支援服務專區 勒索軟體防護專區 資安業務與服務 N-ISAC 聯防監控 政府組態基準(GCB) 資安服務 資安服務廠商評鑑 政府機關資安弱點通報機制(VANS)專區 端點偵測及應變機制(EDR)專區 資安訓練與推廣 系列競賽 巡迴研討會 法律彙編 資安職能 資料索取/教材下載 相關連結 國家資通安全會報 國家資通安全通報應變網站 資安治理成熟度評估系統 資通安全作業管考系統 資安影片 資安人才培訓服務網 資安現況調查系統 網站導覽 RSS服務 意見信箱 ::: 首頁 網站導覽 RSS服務 聯絡我們 English 行政院國家資通安全會報技術服務中心 中心簡介 組織架構 最新消息 最新公告 資安新聞 活動訊息 資安防護訊息 漏洞警訊公告 漏洞新聞 重大漏洞專區 共通規範 資通安全技術報告 Windows7終止支援服務專區 勒索軟體防護專區 資安業務與服務 N-ISAC 聯防監控 政府組態基準(GCB) 資安服務 資安服務廠商評鑑 政府機關資安弱點通報機制(VANS)專區 端點偵測及應變機制(EDR)專區 資安訓練與推廣 系列競賽 巡迴研討會 法律彙編 資安職能 資料索取/教材下載 相關連結 國家資通安全會報 國家資通安全通報應變網站 資安治理成熟度評估系統 資通安全作業管考系統 資安影片 資安人才培訓服務網 資安現況調查系統 GCBFAQ 1.LocalGPO匯入失敗(Pathnotfound)之解決方式？ 可選擇下列2種方式其中一種可解決Pathnotfound的問題： 1.移除目錄名稱中的空白，例如將「USGCBAccountPolicy」調整為「USGCBAccountPolicy」。

2.匯入時將資料夾名稱前後加入雙引號，例如："C:\USGCBInternetExplorer8ComputerSettings\{61A09835-BED1-4573-A599-3E87118754CA}"。

2.如何將網站加入信任網站區域，使ActiveX元件能夠執行？ 如因公務執行需求，必須將某些網址加入信任網站清單，請先依機關完成清單審核後，再依照下列步驟操作將網站加入信任網站區域： 1.從單機加入信任網站方式： (1)開啟本機群組編輯器(gpedit.msc)。

(2)選取設定路徑："電腦設定"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。

將「指派網站到區域清單」改為已啟用，並點選「顯示」。

(3)「值名稱」欄位：輸入欲加入到信任的網站區域的網址(例如：http://tw.yahoo.com)。

(4)「值」欄位：輸入2後，按「確定」，並關閉本機群組原則編輯器。

(5)啟用cmd.exe，執行gpupdate/force，更新群組原則設定後，即完成將網站新增至信任網站區域作業。

2.從WindowsServer2003AD加入信任網站方式： (1)開啟「群組原則管理」，於GPO上按「右鍵」點選「編輯」，設定路徑："電腦設定"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"網際網路控制台"=>"安全性畫面"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「已啟用」，並點選「顯示」。

(3)點選「新增」。

(4)「請輸入要新增的項目名稱」欄位：輸入欲加入到信任的網站區域的網址(例如：http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位：輸入2後，按「確定」。

註：若於AD伺服器上找不到「群組原則管理」，請至微軟網站下載安裝GroupPolicyManagementConsole(GPMC)軟體，下載網址：http://www.microsoft.com/zh-tw/download/details.aspx?id=21895。

3.從WindowsServer2008AD加入信任網站方式： (1)開啟「群組原則管理」，於GPO上按「右鍵」點選「編輯」，設定路徑："電腦設定"=>"原則"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"網際網路控制台"=>"安全性網頁"=>"指派網站到區域清單"。

(2)將「指派網站到區域清單」改為「啟用」，並點選「顯示」。

(3)點選「新增」。

(4)「請輸入要新增的項目名稱」欄位：輸入欲加入到信任的網站區域的網址(例如：http://tw.yahoo.com)。

(5)「請輸入要新增的項目值」欄位：輸入2後，按「確定」。

3.如何讓加解密相關程式能夠順利執行(例如:MD5)？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9266-8設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯：使用FIPS140相容加密演算法，包括加密、雜湊以及簽署演算法"」設為停用即可。

4.WindowsServer2003AD伺服器如何匯入從資安科技中心所下載之GPO檔案？ 可依照下列步驟操作可將資安科技中心網站所下載之GPO匯入WindowsServer2003AD伺服器： 1.安裝微軟的安全性規範管理員工具SecurityComplianceManager，下載網址：http://gallery.technet.microsoft.com/LocalGPOmsi-Excellent-MS-2593b2eb，安裝步驟請參考資安科技中心網站-->資安業務與服務-->政府組態基準(GCB)-->檔案下載-->103年政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

2.將所下載之GPO檔案匯入SecurityComplianceManager工具。

3.利用SecurityComplianceManager工具的匯出功能，將步驟2所匯入之GCB設定直接匯出，匯出後的GPO版本即可匯入WindowsServer2003AD伺服器。

4.開啟「群組原則管理」匯入GPO，步驟請參考資安科技中心網站--->資安業務與服務-->政府組態基準(GCB)-->檔案下載-->103年政府組態基準(GCB)實作研習活動教材-->政府共通組態(GCB)教育訓練_實作。

註：若於AD伺服器上找不到「群組原則管理」，請至微軟網站下載安裝GroupPolicyManagementConsole(GPMC)軟體，下載網址：http://www.microsoft.com/zh-tw/download/details.aspx?id=21895。

5.如何在群組原則編輯器中顯示MSS類別的設定？ 可依照下列步驟操作可顯示MSS類別的設定： 1.安裝LOCALGPO程式。

2.按右鍵「以系統管理員身分執行」啟動LOCALGPOCommand程式。

3.在LOCALGPOCommand輸入cscriptLocalGPO.wsf/ConfigSCE執行後，就可以在群組原則編輯器看到MSS類別的設定。

6.如何調整登入畫面不顯示「Warning」訊息？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-8740-3與CCE-8973-0設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息標題"」與「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"互動式登入:給登入使用者的訊息本文"」2項設定值清空，就不會顯示Warning訊息。

7.如何在群組原則中設定「允許主動式內容在我電腦上的檔案中執行」？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整本項設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"安全性功能"=>"本機電腦區域鎖定安全性"=>"InternetExplorer程序"」設為停用即可。

8.電腦套用GCB後如何共用檔案及印表機？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9620-6設定值，方法如下： 1.開啟群組原則編輯器(gpedit.msc) 2.依照路徑：「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」。

3.於「輸入規則」上點選右鍵，選擇「新增規則」。

4.選擇「預先定義」選項，從下拉式選單選擇「檔案及印表機共用」項目。

5.允許有關「網域」設定檔之8條連線規則。

6.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"使用者權限指派"=>"從網路存取這台電腦"」加入欲新增的「使用者群組」。

7.完成後，於命令提示字元(cmd.exe)執行gpupdate/force指令。

9.win7作業系統遠端桌面連線至XP作業系統出現「用戶端無法建立與遠端電腦的連線」訊息時該如何解決？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求使用遠端桌面連線出現下圖之訊息。

必須調整CCE-9266-8設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯：使用FIPS140相容加密演算法，包括加密、雜湊以及簽署演算法"」設為停用即可。

10.如何解決「政府歲計會計資訊管理系統」(GBA)上傳資料失敗？ 使用者執行上傳資料時，在下拉式選單中選擇以SFTP協定傳送即可排除問題。

11.如何解決「公教人員人事管理系統」(Pemis2K)無法進入差勤子系統？ 執行程式時，按右鍵選擇「以系統管理員身分執行」，即可排除問題。

12.如何解決「二代健保補充保費系統」補充保費繳款書列印失敗？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9266-8設定值，方法如下： 1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯：使用FIPS140相容加密演算法，包括加密、雜湊以及簽署演算法"」設為停用。

2.執行程式時，按右鍵選擇「以系統管理員身分執行」。

13.如何解決自然輸入法V10切換輸入法會造成當機？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9266-8設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯：使用FIPS140相容加密演算法，包括加密、雜湊以及簽署演算法"」設為停用即可。

14.使用者電腦無法連線至WindowsServer2000的共享資料夾？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9327-8設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"Microsoft網路用戶端：數位簽章用戶端的通訊(自動)"」設為停用即可。

15.如何在win7電腦開啟遠端桌面連線共用？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9620-6與CCE-9985-3設定值，方法如下： 1.將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"具有進階安全性的Windows防火牆"=>"輸入規則"」，新增防火牆輸入規則：允許「網域」TCP通訊埠3389的輸入連線。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"遠端桌面服務"=>"遠端桌面工作階段主機"=>"連線"=>"允許使用者使用遠端桌面服務從遠端連線"」設為啟用即可。

16.Adobeacrobatprofessional無法進行軟體更新？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9888-9設定值，方法如下： 將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"WindowsInstaller"=>"禁止非系統管理員套用廠商簽署的更新"」設為停用即可。

17.套用GCB後無法觀看HTTPS網址之YouTube影片？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-9266-8設定值，方法如下： 將「"電腦設定"=>"Windows設定"=>"安全性設定"=>"本機原則"=>"安全性選項"=>"系統加密編譯：使用FIPS140相容加密演算法，包括加密、雜湊以及簽署演算法"」設為停用即可。

18.如何讓IE瀏覽器網際網路選項的安全性分頁中自訂等級按鈕可以點選(解除反白)？ 政府組態基準(GCB)之設定值原則上不宜隨意更動，但如因公務執行需求，必須調整CCE-10096-6與CCE-10037-0設定值，方法如下： 1.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"安全性區域：只使用電腦設定"」設為停用。

2.將「"電腦設定"=>"系統管理範本"=>"Windows元件"=>"InternetExplorer"=>"安全性區域：不允許使用者變更原則"」設為停用。

19.使用「筆硯公文系統」操作「線上簽核」功能，出現錯誤訊息？ 使用「筆硯公文系統」操作「線上簽核」功能，出現以下錯誤訊息時，可在執行IE瀏覽器時，按右鍵選擇「以系統管理員身分執行」，便可排除問題。

20.如何使用LocalGPO將GPO備份檔倒入單機版的Win8.1或Win10？ 依據微軟公司官方網站說明，舊版工具LocalGPO預設只支援至Windows8，Windows8.1與Windows10並無法直接使用，且LocalGPO已不再維護，已改使用新版的LGPO工具取代，官網說明與新版LGPO工具下載網址如下：https://blogs.technet.microsoft.com/secguide/2016/01/21/lgpo-exe-local-group-policy-object-utility-v1-0/ 新版LGPO的使用方法說明如下： 1.新版LGPO無須安裝，請至官網下載LGPO.zip後，解壓縮即可。

2.備份電腦現有組態設定：   (1)以系統管理員權限開啟「命令提示字元」。

  (2)切換至LGPO所在目錄(ex:D:\LGPO)。

  (3)備份電腦現有組態設定語法:LGPO.exe/b[絕對路徑](ex:LGPO.exe/b"D:\Backup") 3.部署GCB組態設定(建議於部署前先完成步驟2之備份，以便還原之需求)：   (1)由資安科技中心網站(http://www.nccst.nat.gov.tw/GCB?lang=zh)下載GPO，並解壓至目錄(ex:D:\GCB)。

  (2)以系統管理員權限開啟「命令提示字元」。

  (3)切換至LGPO所在目錄(ex:D:\LGPO)。

  (4)部署GCB組態設定語法：LGPO.exe/g[絕對路徑](ex:LGPO.exe/b"D:\GCB"，此工具會將D:\GCB中所有的GPO檔一次全部匯入系統)。

  (5)使用gpupdate/force更新組態設定，或是重新啟動電腦。

4.還原組態設定：   (1)以系統管理員權限開啟「命令提示字元」。

  (2)輸入指令：RD/S/QС:\Windows\System32\GroupPolicy刪除GroupPolicy資料夾。

  (3)還原已備份之組態設定語法：LGPO.exe/g[絕對路徑](ex:LGPO.exe/b"D:\Backup")。

  (4)使用gpupdate/force更新組態設定，或是重新啟動電腦。

::: 行政院國家資通安全會報技術服務中心 中心簡介 組織架構 最新消息 最新公告 資安新聞 活動訊息 資安防護訊息 漏洞警訊公告 漏洞新聞 重大漏洞專區 共通規範 資通安全技術報告 Windows7終止支援服務專區 勒索軟體防護專區 資安業務與服務 N-ISAC 聯防監控 政府組態基準(GCB) 資安服務 資安服務廠商評鑑 政府機關資安弱點通報機制(VANS)專區 端點偵測及應變機制(EDR)專區 資安訓練與推廣 系列競賽 巡迴研討會 法律彙編 資安職能 資料索取/教材下載 相關連結 國家資通安全會報 國家資通安全通報應變網站 資安治理成熟度評估系統 資通安全作業管考系統 資安影片 資安人才培訓服務網 資安現況調查系統 資安系列競賽 行政院國家資通安全會報技術服務中心/進行轉載或複製請知會本網站取得同意/ 本中心隱私權保護政策/本中心性騷擾申訴管道 地址：10676台北市大安區富陽街116號 電話：(02)2739-1000傳真：(02)2733-1655 建議瀏覽器:本網站支援IE10以上、Firefox及Chrome 更新日期：2022/4/21