安全模板及安全配置和分析工具的应用

安全模板及安全配置和分析工具的应用

Windows2000

为了提高运行 Windows 2000 Professional 或 Windows 2000 Server 的计算机的安全级别,可以应用 Windows 2000 提供的几种预定义的安全模板。这些安全模板是纯文本文件,可以使用文本编辑器(例如“记事本”)来手动编辑它们。不过,如果要更改这些模板,建议使用“安全模板”Microsoft 管理控制台 (MMC)。本文介绍了如何应用预定义的安全模板。
重要说明:在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。应用安全模板后可能需要恢复这些策略。在对域控制器执行这些步骤之前,请创建一个 SYSVOL 共享的备份。(最好不要应用在域控制器,域控制器通过域策略统一制定)

安全模板

预建的安全模板有以下四类:

・ 基本

・ 安全

・ 高度安全

・ 其他

从基本、安全到高度安全,表示安全模板的安全级别越来越高。其他模板包括兼容性模板、可选组件模板和原始设置安全模板。
基本模板包括:

・ Basicdc:对域控制器应用基本级别的安全。

・ Basicsv:为文件服务器和打印服务器提供基本级别的安全。

・ Basicwk:为工作站提供基本级别的安全。

较高级别的安全模板包括:

・ Securedc:为域控制器提供较高级别的安全。

・ Securews:为工作站提供较高级别的安全。

以下模板为基于 Windows 2000 的计算机提供最高级别的安全,但如果是与其他 Windows 操作系统进行的网络连接,则无法兼容:

・ Hisecdc

・ Hisecws

其他安全模板包括:

・ ocfiless:用于文件服务器。

・ ocfilesw:用于工作站。

・ setup security:应用默认的 Windows 2000 安全配置。

这些安全模板会为可选组件(例如“终端服务”和证书服务)添加安全设置。

如何应用安全模板

可以通过使用“安全配置和分析”管理单元来应用安全模板设置。使用此管理单元时,可以导入安全模板并将其应用于计算机、网站、域或组织单位。可以将安全设置应用于本地计算机配置或“组策略对象”。还可以使用此工具分析本地计算机或“组策略对象”的安全设置。
要应用安全模板设置,请按照以下步骤操作:

1. 在命令提示符处,键入 mmc

2. 单击控制台菜单中的添加/删除管理单元

3. 单击添加/删除管理单元对话框中的添加

4. 在添加独立管理单元对话框中,依次单击安全配置和分析管理单元、添加关闭,然后单击确定

5. 要创建新的安全数据库,请在左窗格中右键单击“安全配置和分析”节点,然后单击打开数据库

6. 在“打开数据库”对话框中键入数据库的名称,然后单击打开

7. 在导入模板对话框中,单击要应用的安全模板,然后单击打开

8. 在左窗格中右键单击“安全配置和分析”节点,然后单击立即配置计算机

注意:可以使用其他名称来保存安全模板,然后将这些模板导入数据库。使用“安全配置和分析”管理单元,您可以对安全模板进行粒式更改,并增量应用这些更改。

Windows2003

Windows Server 2003 中的预定义安全模板

默认安全 (Setup security.inf)
Setup security.inf 模板是在安装过程中创建的,它与特定的计算机有关。根据安装是全新安装还是升级安装,不同计算机的 Setup security.inf 模板也各不相同。Setup security.inf 表示在安装操作系统的过程中应用的默认安全设置,包括对系统驱动器的根的文件权限。它可以用于服务器和客户机,但不能应用到域控制器。您可以将此模板的某些部分用于灾难恢复。
不要使用组策略来应用 Setup security.inf。因为这样做会导致性能下降。
注意:在 Microsoft Windows 2000 中,有另外两个安全模板:ocfiless(用于文件服务器)和 ocfilesw(用于工作站)。在 Windows Server 20003 中,这两个文件被 Setup security.inf 文件取代。

域控制器默认安全 (DC security.inf)
此模板是在服务器提升为域控制器时创建的。它反映了文件、注册表和系统服务的默认安全设置。如果您重新应用此模板,这些设置将设置为默认值。但是,该模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。

兼容 (Compatws.inf)
此模板依照大多数不属于 Windows Logo Program for Software(Windows 软件徽标计划)的程序的要求,更改被授予“Users”组成员的默认文件权限和注册表权限。兼容模板还删除“Power Users”组的所有成员。
注意:不要对域控制器应用兼容模板。

安全 (Secure*.inf)
安全模板定义最不可能对程序兼容性产生影响的增强安全设置。例如,定义加强的密码、锁定和审核设置。另外,这种模板通过将客户端配置为仅发送 NTLMv2 响应而将服务器配置为拒绝 LAN Manager 响应来限制对 LAN Manager 和 NTLM 身份验证协议的使用。
Windows Server 2003 中有两个预定义的安全模板:用于工作站的 Securews.inf 和用于域控制器的 Securedc.inf。有关使用这些模板和其他安全模板的更多信息,请在帮助和支持中心搜索“预定义的安全模板”。

高度安全 (hisec*.inf)
高安全模板还指定了安全模板没有定义的其他限制,例如执行身份验证所需的加密级别和签名以及安全通道上的数据交换和服务器消息块 (SMB) 客户端和服务器之间的数据交换。

系统根安全 (Rootsec.inf)
此模板指定根权限。默认情况下,Rootsec.inf 为系统驱动器的根定义这些权限。如果根目录权限被意外更改,您可以使用此模板来重新应用根目录权限;您也可以修改此模板以便将相同的根权限应用到其他卷。按照指定,该模板不覆盖在子对象上定义的显式权限,它只传播子对象继承的权限。

无终端服务器用户 SID (Notssid.inf)
在终端服务没有运行时可以应用此模板,以便从文件系统和注册表位置删除 Windows Terminal Server 安全标识符 (SID)。执行此操作后系统安全不一定会提高。

重要说明:在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。应用安全模板后可能需要还原这些策略。在对域控制器执行这些步骤之前,请创建 SYSVOL 共享的备份。

应用安全模板

1. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。

2. 在“文件”菜单上,单击“添加/删除管理单元”。

3. 单击“添加”。

4. 在“可用的独立管理单元”列表中,依次单击“安全配置和分析”、“添加”、“关闭”,然后单击“确定”。

5. 在左窗格中,单击“安全配置和分析”,在右窗格中查看说明。

6. 右键单击“安全配置和分析”,然后单击“打开数据库”。

7. 在“文件名”框中,键入数据库文件的名称,然后单击“打开”。

8. 单击要使用的安全模板,然后单击“打开”以将模板中包含的条目导入到数据库中。

9. 在左窗格中右键单击“安全配置和分析”,然后单击“立即配置计算机”。

很多业务应用程序服务器一般都是工作站服务器即独立服务器,如果一台台设置配置所有的工作站服务器的安全策略估计要让人崩溃,所以必须制定一个统一的安全策略然后一台台应用到所有服务器,安全模板包括:账户策略,本地策略,事件日志,受限制的组,系统服务,注册表,文件系统。以windows2003为例:

安全策略设置要求如下(因篇幅原因以账户策略为例,其他如本地策略等根据自己要求设置):

账户策略:

1.密码策略:

密码必须符合复杂性要求

已启用

密码长度最小值

8个字符

密码最长使用期限

90天

密码最短使用期限

1天

强制密码历史

2

用可还原的加密来存储密码

已禁用

2.账户锁定策略:

复位账户锁定计算机

30分钟之后

账户锁定时间

30分钟

账户锁定阀值

5次无效登陆

系统默认的如图:

QQ截图未命名

打开安全模板,选中“Securews”模板(其他模板也行,只要设置成自己要去的都可以),按要求设置,最后另存为2003.inf文件(路径为C:\WINDOWS\security\templates\2003.inf)

2

应用到本地工作站服务器并创建模板数据库文件(将模板数据写入到创建的数据库中):

1.右击“安全配置和分析”―打开数据库―在下面文件名中输入2003―打开

3

2.选择模板文件2003.inf

4

3.右击安全配置和分析―立即配置计算机

6

4. 右击安全配置和分析―立即分析计算机,展开左边节点查看配置已经应用成功。

5

最后结果:

7

将生成的2003.sdb(默认路径:C:\Documents and Settings\Administrator\My Documents\Security\Database)和2003.inf(默认路径:C:\WINDOWS\security\templates)

拷贝到一个共享文件夹内供其他工作服务器使用,其他的工作站服务器使用右击“安全配置和分析”―打开数据库――将共享文件夹内2003.sdb(2003.inf可不需要,因为数据已导入到2003.sdb数据中)文件复制到本地数据库文件夹内打开即可,然后右击“安全配置和分析”―立即配置计算机即可。

你可能感兴趣的:(windows,计算机,控制台,编辑器,记事本)