Windows XP操作系統提供了強大的安全機制,但是如果要一一設置這些安全配置,卻是非常費時、費力的事,那麼有沒有一種可以快速配置安全選項的辦法呢?答案是肯定的,用安全模板就能快速、批量地設定所有安全選項。
一、了解安全模板
“安全模板”是一種可以定義安全策略的文件表示方式,它能夠配置賬戶和本地策略、事件日志、受限組、文件系統、注冊表以及系統服務等項目的安全設置。安全模板都以.inf格式的文本文件存在,用戶可以方便地復制、粘貼、導入或導出某些模板。此外,安全模板並不引入新的安全參數,而只是將所有現有的安全屬性組織到一個位置以簡化安全性管理,並且提供了一種快速批量修改安全選項的方法。(本文是電腦知識網 WWW.SQ120.COM 推薦文章)
系統已經預定義了幾個安全模板以幫助加強系統安全,在默認情況下,這些模板存儲在“%Systemroot%\Security\Templates”目錄下。它們分別是:
1.Compatws.inf
提供基本的安全策略,執行具有較低級別的安全性但兼容性更好的環境。TW.WINGwIT.cOm放松用戶組的默認文件和注冊表權限,使之與多數沒有驗證的應用程序的要求一致。“Power Users”組通常用於運行沒有驗證的應用程序。
2.Hisec*.inf
提供高安全的客戶端策略模板,執行高級安全的環境,是對加密和簽名作進一步限制的安全模板的擴展集,這些加密和簽名是進行身份認證和保證數據通過安全通道以及在SMB客戶機和服務器之間進行安全傳輸所必需的。
3.Rootsec.inf
確保系統根的安全,可以指定由Windows XP Professional所引入的新的根目錄權限。默認情況下,Rootsec.inf為系統驅動器根目錄定義這些權限。如果不小心更改了根目錄權限,則可利用該模板重新應用根目錄權限,或者通過修改模板對其他卷應用相同的根目錄權限。
4.Secure*.inf
定義了至少可能影響應用程序兼容性的增強安全設置,還限制了LAN Manager和NTLM身份認證協議的使用,其方式是將客戶端配置為僅可發送NTLMv2響應,而將服務器配置為可拒絕LAN Manager的響應。
5.Setupsecurity.inf
重新應用默認設置。這是一個針對於特定計算機的模板,它代表在安裝操作系統期間所應用的默認安全設置,其設置包括系統驅動器的根目錄的文件權限,可用於系統災難恢復。
以上就是系統預定義的安全模板,用戶可以使用其中一種安全模板,也可以創建自己需要的新安全模板。
二、管理安全模板
1.安裝安全模板
安全模板文件都是基於文本的.inf文件,可以用文本打開進行編輯,但是這種方法編輯安全模板太復雜了,所以要將安全模板載入到MMC控制台,以方便使用。
①依次點擊“開始”和“運行”按鈕,鍵入“mmc”並點擊“確定”按鈕就會打開控制台節點;
②點擊“文件”菜單中的“添加/刪除管理單元”,在打開的窗口中點擊“獨立”標簽頁中的“添加”按鈕;
③在“可用的獨立管理單元”列表中選中“安全模板”,然後點擊“添加”按鈕,最後點擊“關閉”,這樣安全模板管理單元就被添加到MMC控制台中了,如圖1所示。
圖1
為了避免退出後再運行MMC時每次都要重新載入,可以點擊“文件”菜單上的“保存”按鈕,將當前設置為保存。
2.建立、刪除安全模板
將安全模板安裝到MMC控制台後,就會看到系統預定義的那幾個安全模板,你還可以自己建立新的安全模板。
首先打開“控制台根節點”列表中的“安全模板”,在存儲安全模板文件的文件夾上點擊鼠標右鍵,在彈出的快捷菜單中選擇“新加模板”,這樣就會彈出新建模板窗口,在“模板名稱”中鍵入新建模板的名稱,在“說明”中,鍵入新模板的說明,最後點擊“確定”按鈕。這樣一個新的安全模板就成功建立了。
刪除安全模板非常簡單,打開“安全模板”,在控制台樹中找到要刪除的模板,在其上面點擊鼠標右鍵,選擇“刪除”即可。
3.應用安全模板
新的安全模板經過配置後,就可以應用了,你必須通過使用“安全配置和分析”管理單元來應用安全模板設置。
①首先要添加“安全配置和分析”管理單元,打開MMC控制台的“文件”菜單,點擊“添加/刪除管理單元”,在“添加獨立管理單元”列表中選中“安全配置和分析”,並點擊“添加”按鈕,這樣“安全配置和分析”管理單元就被添加到MMC控制台中了;
②在控制台樹中的“安全配置和分析”上點擊鼠標右鍵,選擇“打開數據庫”,在彈出的窗口中鍵入新數據庫名,然後點擊“打開”按鈕;
③在安全模板列表窗口中選擇要導入的安全模板,然後點擊“打開”按鈕,這樣該安全模板就被成功導入了;
④在控制台樹中的“安全配置和分析”上點擊右鍵,然後在快捷菜單中選擇“立即配置計算機”,就會彈出確認錯誤日志文件路徑窗口,點擊“確定”按鈕。
這樣,剛才被導入的安全模板就被成功應用了。
三、設置安全模板
1.設置賬戶策略
賬戶策略之中包括密碼策略、賬戶鎖定策略和Kerberos策略的安全設置,密碼策略為密碼復雜程度和密碼規則的修改提供了一種標准的手段,以便滿足高安全性環境中對密碼的要求。賬戶鎖定策略可以跟蹤失敗的登錄嘗試,並且在必要時可以鎖定相應賬戶。Kerberos策略用於域用戶的賬戶,它們決定了與Kerberos相關的設置,諸如票據的期限和強制實施。
(1)密碼策略
在這裡可以配置5種與密碼特征相關的設置,分別是“強制密碼歷史”、“密碼最長使用期限”、“密碼最短使用期限”、“密碼長度最小值”和“密碼必須符合復雜性要求”。
①強制密碼歷史:確定互不相同的新密碼的個數,在重新使用舊密碼之前,用戶必須使用過這麼多的密碼,此設置值可介於0和24之間;
②密碼最長使用期限:確定在要求用戶更改密碼之前用戶可以使用該密碼的天數。其值介於0和999之間;如果該值設置為0,則密碼永不過期;
③密碼最短使用期限:確定用戶可以更改新密碼之前這些新密碼必須保留的天數。此設置被設計為與“強制密碼歷史”設置一起使用,這樣用戶就不能很快地重置有次數要求的密碼並更改回舊密碼。該設置值可以介於0和999之間;如果設置為0,用戶可以立即更改新密碼。建議將該值設為2天;
④密碼長度最小值:確定密碼最少可以有多少個字符。該設置值介於0和14個字符之間。如果設置為0,則允許用戶使用空白密碼。建議將該值設置為8個字符;
⑤密碼必須符合復雜性要求:該項啟用後,將對所有的新密碼進行檢查,確保它們滿足復雜密碼的基本要求。如果啟用該設置,則用戶密碼必須符合特定要求,如至少有6個字符、密碼不得包含三個或三個以上來自用戶賬戶名中的字符等。
(2)賬戶鎖定策略
在這裡可以設置在指定的時間內一個用戶賬戶允許的登錄嘗試次數,以及登錄失敗後,該賬戶的鎖定時間。
①賬戶鎖定時間:這裡的設置決定了一個賬戶在解除鎖定並允許用戶重新登錄之前所必須經過的時間,即被鎖定的用戶不能進行登錄操作的時間,該時間的單位為分鐘,如果將時間設置為0,將會永遠鎖定該賬戶,直到管理員解除賬戶的鎖定;
②賬戶鎖定閥值:確定嘗試登錄失敗多少次後鎖定用戶賬戶。除非管理員進行了重新設置或該賬戶的鎖定期已滿,才能重新使用賬戶。嘗試登錄失敗的次數可設置為1到999之間的值,如果設置為0,則始終不鎖定該賬戶。
2.設置本地策略
本地策略包括審核策略、用戶權限分配和安全選項三項安全設置,其中,審核策略確定了是否將安全事件記錄到計算機上的安全日志中;用戶權利指派確定了哪些用戶或組具有登錄計算機的權利或特權;安全選項確定啟用或禁用計算機的安全設置。
(1)審核策略
審核被啟用後,系統就會在審核日志中收集審核對象所發生的一切事件,如應用程序、系統以及安全的相關信息,因此審核對於保證域的安全是非常重要的。審核策略下的各項值可分為成功、失敗和不審核三種,默認是不審核,若要啟用審核,可在某項上雙擊鼠標,就會彈出“屬性”窗口,首先選中“在模板中定義這些策略設置”,然後按需求選擇“成功”或“失敗”即可,如圖2所示。
圖2
審核策略包括審核賬戶登錄事件、審核策略更改、審核賬戶管理、審核登錄事件、審核系統事件等,下面分別進行介紹。
①審核策略更改:主要用於確定是否對用戶權限分配策略、審核策略或信任策略作出更改的每一個事件進行審核。建議設置為“成功”和“失敗”;
②審核登錄事件:用於確定是否審核用戶登錄到該計算機、從該計算機注銷或建立與該計算機的網絡連接的每一個實例。如果設定為審核成功,則可用來確定哪個用戶成功登錄到哪台計算機;如果設為審核失敗,則可以用來檢測入侵,但攻擊者生成的龐大的登錄失敗日志,會造成拒絕服務(DoS)狀態。建議設置為“成功”;
③審核對象訪問:確定是否審核用戶訪問某個對象,例如文件、文件夾、注冊表項、打印機等,它們都指定了自己的系統訪問控制列表(SACL)的事件。建議設置為“失敗”;
④審核過程跟蹤:確定是否審核事件的詳細跟蹤信息,如程序激活、進程退出、間接對象訪問等。如果你懷疑系統被攻擊,可啟用該項,但啟用後會生成大量事件,正常情況下建議將其設置為“無審核”;
⑤審核目錄服務訪問:確定是否審核用戶訪問那些指定有自己的系統訪問控制列表(SACL)的ActiveDirectory對象的事件。啟用後會在域控制器的安全日志中生成大量審核項,因此僅在確實要使用所創建的信息時才應啟用。建議設置為“無審核”;
⑥審核特權使用:該項用於確定是否對用戶行使用戶權限的每個實例進行審核,但除跳過遍歷檢查、調試程序、創建標記對象、替換進程級別標記、生成安全審核、備份文件和目錄、還原文件和目錄等權限。建議設置為“不審核”;
⑦審核系統事件:用於確定當用戶重新啟動或關閉計算機時,或者對系統安全或安全日志有影響的事件發生時,是否予以審核。這些事件信息是非常重要的,所以建議設置為“成功”和“失敗”;
⑧審核賬戶登錄事件:該設置用於確定當用戶登錄到其他計算機(該計算機用於驗證其他計算機中的賬戶)或從中注銷時,是否進行審核。建議設置為“成功”和“失敗”;
⑨審核賬戶管理:用於確定是否對計算機上的每個賬戶管理事件,如重命名、禁用或啟用用戶賬戶、創建、修改或刪除用戶賬戶或管理事件進行審核。建議設置為“成功”和“失敗”。
(2)用戶權利指派
用戶權利指派主要是確定哪些用戶或組被允許做哪些事情。具體設置方法是:
①雙擊某項策略,在彈出“屬性”窗口中,首先選中“在模板中定義這些策略設置”;
②點擊“添加用戶或組”按鈕就會出現“選擇用戶或組”窗口,先點擊“對象類型”選擇對象的類型,再點擊“位置”選擇查找的位置,最後在“輸入對象名稱來選擇”下的空白欄中輸入用戶或組的名稱,輸完後可點擊“檢查名稱”按鈕來檢查名稱是否正確;
③最後點擊“確定”按鈕即可將輸入的對象添加到用戶列表中。
(3)安全選項
在這裡可以啟用或禁用計算機的安全設置,如數據的數字簽名、Administrator和Guest賬戶的名稱、軟盤驅動器和CD-ROM驅動器訪問、驅動程序安裝行為和登錄提示等。下面介紹幾個適合於一般用戶使用的設置。
①防止用戶安裝打印機驅動程序。對於要打印到網絡打印機的計算機,網絡打印機的驅動程序必須安裝在本地打印機上。該安全設置確定了允許哪些人安裝作為添加網絡打印機一部分的打印機驅動程序。使用該設置可防止未授權的用戶下載和安裝不可信的打印機驅動程序。
雙擊“設備:防止用戶安裝打印機驅動程序”,會彈出屬性窗口,首先選中“在模板中定義這個策略設置”項,然後將“已啟用”選中,最後點擊“確定”按鈕。這樣則只有管理員和超級用戶才可以安裝作為添加網絡打印機一部分的打印機驅動程序;
②無提示安裝未經簽名的驅動程序。當試圖安裝未經Windows硬件質量實驗室(WHQL)頒發的設備驅動程序時,系統默認會彈出警告窗口,然後讓用戶選擇是否安裝,這樣很麻煩,你可以將其設置為無提示就直接安裝。
雙擊“設備:未簽名驅動程序的安裝操作”項,在出現的屬性窗口中,選中“在模板中定義這個策略設置”項,然後點擊後面的下拉按鈕,選擇“默認安裝”,最後點擊“確定”按鈕即可;
③登錄時顯示消息文字。指定用戶登錄時顯示的文本消息。利用這個警告消息設置,可以警告用戶不得以任何方式濫用公司信息或者警告用戶其操作可能會受到審核,從而更好地保護系統數據。
雙擊“交互式登錄:用戶試圖登錄時消息文字”,進入屬性窗口,先將“在模板中定義這個策略設置”選中,然後在下面的空白輸入框中輸入消息文字,最多可以輸入512個字符,最後點擊“確定”按鈕。這樣,用戶在登錄到控制台之前就會看到這個警告消息對話框。
3.設置事件日志
這個安全模板是定義與應用程序、安全和系統日志相關的屬性的,如最大的日志大小、對每個日志的訪問權限以及保留設置和方法。其中,應用程序日志負責記錄由程序生成的事件;安全日志根據審核對象記錄安全事件;系統日志記錄操作系統事件。
(1)日志保留天數
這個選項可以設置應用程序、安全性和系統日志可以保留多少天。需要注意的是,僅當以預定的時間間隔對日志進行存檔時才應設置此值,並要確保最大日志大小足夠大,以滿足此時間間隔。這個天數可以是1到365天中的任何一個,用戶可按需要進行設置,建議設置為14天。
(2)日志保留方法
在這裡可以設置達到設定的最大日志文件的處理方法,共有按天數改寫事件、按需要改寫事件和不改寫事件(手動清除日志)三種方式。如果希望將應用程序日志存檔,就要選中“按需要覆蓋事件”;如果希望以預定的時間間隔對日志進行存檔,可選中“按天數覆蓋事件”;如果需要在日志中保留所有事件,可選中“不要改寫事件(手動清除日志)”,在這種情況下,當達到最大日志大小時,將會丟棄新事件日志。
(3)限制本地來賓組訪問日志
在這裡可以設置是否限制來賓訪問應用程序、安全性和系統事件日志。默認設置是允許來賓用戶和空連接可以查看系統日志,但禁止訪問安全日志。
(4)日志最大值
這裡可以設置日志文件的最大值和最小值,可用值的范圍是64KB到4194240KB。如果設置值太小會導致日志經常被填滿,這樣就需要經常性地清理、保存日志;而設置值過大,會占據大量的硬盤空間,所以一定要根據自己的需要進行設置。
4.設置受限制的組
在這裡可以允許管理員對安全性敏感的組定義“成員”和“隸屬組”兩個屬性,其中“成員”定義了哪些用戶屬於以及哪些用戶不屬於受限制的組;“隸屬組”定義了受限制的組屬於其他哪些組。利用本策略,可以控制組中的成員身份,所有未在本策略中指定的成員都會被刪除,而當前不是該組成員的用戶將被添加。
(1)創建受限制的組
首先在控制台樹中的“受限制的組”上點擊鼠標右鍵,選擇“添加組”。然後在“添加組”窗口中鍵入受限制的策略組的名稱,或點擊“浏覽”,在打開的“選擇組”窗口中查找要進行操作的組,最後點擊“確定”按鈕。這時你會發現新的一個組已經被創建成功了。
如果你想將所有受限制的組項從一個模板復制到另一個模板,可以在控制台樹中右鍵點擊“受限制的組”,在彈出的快捷菜單中選擇“復制”,然後在另一個模板中右鍵點擊“受限制的組”,並在彈出的快捷菜單中選擇“粘貼”。
(2)添加用戶
先在詳細信息窗格中,找到要添加用戶的組,然後在上面點擊鼠標右鍵,在彈出的快捷菜單中選擇“屬性”,就會彈出該組的屬性窗口。點擊“這個組的成員”列表框右邊的“添加”按鈕,然後鍵入要添加的成員即可。重復此步驟,可添加更多的成員,如圖3所示。
圖3
同樣,如要將本組添加為任何其他組的成員中,請點擊在“這個組隸屬於”列表框右側的“添加”按鈕,然後在彈出的窗口中鍵入組名稱,最後點擊“確定”即可。
5.設置系統服務
在這裡可以定義所有系統服務的啟動模式和訪問權限,啟動模式包括自動、手動和已禁用,其中自動表示重新啟動計算機時自動啟動;手動表示只有在有人啟動時才啟動;已禁用表示不能啟動該服務。而訪問權限指的是用戶對服務的讀取、寫入、刪除、啟動、暫停和停止等操作。利用這個安全模板可以很方便地設定哪些用戶或組賬戶具有讀取、寫入、刪除的權限,或具有執行繼承設置或審核以及所有權的權限。需要注意的是,禁用某些服務可能會導致系統無法引導,所以如果要禁用系統的服務,請先在非生產系統中進行測試。
那麼如何來配置系統服務設置呢?
①雙擊要配置的服務,就會彈出服務的屬性對話框;
②選中“在模板中定義這個策略配置”項,如果這個策略以前從來沒有被配置過,就會自動出現安全設置對話框。如果沒有自動出現的話,需要點擊“編輯安全設置”按鈕,調出對話框;
③點擊“添加”按鈕,按照添加用戶或組的步驟將想要操作的用戶添加到列表中;
④在“組或用戶名稱”下的列表中選擇某一用戶或組,下面的權限列表中就會列出所有能夠編輯的權限。按照實際需要選擇是允許還是拒絕某項權限,如想編輯特別權限或高級設置,則點擊“高級”按鈕,編輯完成後點擊“確定”按鈕;
⑤在屬性窗口中的“選擇服務啟動模式”下,選擇自動、手動或已停用。
6.設置注冊表
在這裡,允許管理員定義注冊表項的訪問權限(關於DACL)和審核設置(關於SACL)。
DACL即任意訪問控制列表,它賦予或拒絕特定用戶或組訪問某個對象的權限的對象安全描述符的組成部分。只有某個對象的所有者才可以更改DACL中賦予或拒絕的權限,這樣,此對象的所有者就可以自由訪問該對象。SACL即系統訪問控制列表,它表示部分對象的安全描述符的列表,該安全描述符指定了每個用戶或組的哪個事件將被審核。審核事件的例子是文件訪問、登錄嘗試和系統關閉。
(1)設置注冊表安全性
①在控制台樹中,用鼠標右鍵點擊“注冊表”節點,在彈出的快捷菜單中選擇“添加密鑰”;
②在“選擇注冊表項”對話框中,選擇好要添加密鑰的注冊表項,然後點擊“確定”按鈕;
③在“數據庫安全設置”對話框中,為該注冊表項選擇合適的權限,然後點擊“確定”按鈕;
④在“模板安全策略設置”對話框中,選擇需要的繼承權限方式,最後點擊“確定”按鈕。
(2)修改注冊表鍵的權限
①在注冊表項詳細列表中,雙擊要進行修改的注冊表鍵;
②在彈出的“模板安全策略設置”窗口中,選中“配置這個鍵,然後”,下面有兩項:其中“將繼承權傳播到所有子項”項表示所有子鍵都從被設置的鍵處繼承新設置的權限;“用可繼承權代替所有子項上的現有權限”項表示所有子鍵都會被應用新設置的權限。按自己的需要選擇其中一項,如圖4所示。
圖4
③點擊“編輯安全設置”按鈕,然後在彈出的對話框中點擊“高級”按鈕,進入高級安全設置窗口;
④在“高級安全設置”窗口中,點擊“添加”按鈕來增刪用戶,以符合建議的設置標准;
⑤選中要進行操作的用戶或組,然後點擊“編輯”按鈕就會彈出權限設置對話框,首先在“應用到”後的下拉按鈕中選擇正確的設置,如只有該項、該項及子項等。接著在“權限”列表中選擇希望使用的權限,最後點擊“確定”按鈕即可完成設置。
7.設置文件系統
文件系統是指文件命名、存儲和組織的總體結構。Windows XP支持FAT、FAT32和NTFS三種文件系統,在安裝Windows、格式化現有的卷或者安裝新的硬盤時,可選擇文件系統。每個文件系統都有其自己的優點和局限性,其中,NTFS文件系統所能提供的性能、安全性、可靠性是其他文件系統所不具備的。如NTFS可以通過使用標准的事務處理記錄和還原技術來保證卷的一致性。如果系統出現故障,NTFS就會使用日志文件和檢查點信息來恢復文件系統的一致性。而在Windows XP操作系統中,NTFS還可以提供諸如文件和文件夾權限、加密、磁盤配額和壓縮這樣的高級功能。
(1)查看文件系統安全設置
想要手工查看一個特定文件或文件夾的權限,可參考如下操作:
首先打開Windows資源管理器,在要查看的文件或文件夾上點擊鼠標右鍵,在彈出的快捷菜單中選擇“屬性”。然後在屬性窗口中,進入“安全”選項卡,最後點擊“高級”按鈕,在打開的窗口中就可以查看文件或文件夾相關的權限信息了。
(2)為文件設置文件系統安全性
①用右鍵點擊控制台數中的“文件系統”節點,在彈出的快捷菜單中點擊“添加文件”按鈕;
②在“添加文件或文件夾”對話框中,找到要為其添加安全的文件或文件夾,然後點擊“確定”按鈕;
③在出現的“數據庫安全設置”對話框中配置適當的權限,然後點擊“確定”按鈕;
④回到“模板安全策略設置”對話框中,點擊“確定”按鈕即可完成設置。
(3)修改文件系統安全設置
手工逐個修改每個文件和文件夾的權限設置,是非常浪費時間和精力的,通過安全模板可以快速、批量進行設置。
①在窗口右側的面板中,雙擊要改變的文件或文件夾;
②在出現的“模板安全策略設置”窗口中有兩個選項,其中“向所有子文件夾和文件傳播繼承權限”表示該文件夾的子文件夾和文件都被重新配置並全部繼承新的權限;“替換所有帶繼承權限的子文件夾和文件上的現存權限”表示不管那些子文件夾是否具備允許繼承權限,都將會被應用新的權限,並且會從被配置的鍵繼承新的權限。按需要任選一項,然後點擊“編輯安全設置”按鈕,如圖5所示。
圖5
③在“安全設置”窗口中,點擊“高級”按鈕;
④在高級安全設置窗口中,如果父項的權限沒有被繼承,就需要保證“從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目”項沒有被選中,然後點擊“添加”按鈕來修改會受到權限影響的用戶或組,最後選中要進行配置的組或用戶,並點擊“編輯”按鈕;
⑤在文件夾的權限項目窗口中,首先點擊“應用到”後的下拉按鈕,選擇一個合適的應用位置,如只有子文件夾、只有該文件夾等,然後就可以到“權限”列表中配置權限了。最後點擊“確定”按鈕來應用配置的權限。
From:http://tw.wingwit.com/Article/Software/201309/1672.html