用安全模板加强Windows的安全

用安全模板加强Windows的安全(2)

    5．控制本地安全策略设置

　　安全模板能够控制本地安全策略设置。每一台机器都有许多本地安全策略设置，例如是否显示出最后登录系统的用户名称、多长时间修改本地帐户的密码，等等。在NT 4.0中，这些设置通过用户管理器的本地版本（lusrmgr.exe）修改；在Win 2K中，修改工具是本地安全策略管理单元secpol.msc。

　　手工修改这类设置的步骤是：从控制面板的管理工具中启动“本地安全策略”，或者点击“开始”→“运行”，输入secpol.msc，点击“确定”启动本地安全策略管理器。本地安全策略管理器可以用来关闭或启动系统审核功能、调整密码管理策略、授予或者收回用户操作XP和Win2K的许多权限、控制IP安全（IPSec）。实际上，“本地安全策略”管理器可能是Windows默认提供的唯一控制IPSec的工具。

　　以上就是安全模板能够调整的五个方面，所有这些安全选项的调整都只要一个安全模板文件就可以完成。

　　二、如何创建安全模板

　　下面我们从实践应用的角度介绍模板的应用，示范如何为工作站或成员服务器创建一个模板，这个模板主要包括三方面的功能：首先，该安全模板能够控制组的成员，即限制本地的Administrators组只能由本地Administrator帐户和域的Domain Admins组加入；第二，该模板将设置F:adminstuff目录的NTFS权限，只允许本地的Administrators组访问；最后，该模板将禁止Indexing服务。

　　1．设置工具

　　我们知道，安全模板其实就是文本文件，因此从理论上讲，我们可以用记事本来创建安全模板。不过事实上，用记事本创建安全模板的工作量相当大，如果改用微软管理控制台的安全模板管理单元就要方便多了。Windows XP和2K都带有该工具。

　　首先打开一个空的MMC控制台。点击“开始”→“运行”，输入“mmc /a”，按Enter键打开一个空白的MMC控制台。

　　在该控制台中，点击“文件”（对于Win2K，点击“控制台”）→“添加/删除管理单元”，打开“添加/删除管理单元”对话框，点击“添加”打开“添加独立管理单元”对话框，在管理单元清单中选择“安全模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。

在控制台根节点下面有一个安全模板的图标——一台加上了锁的计算机，如图一。扩展该标记，子节点显示出了当前系统安全模板的路径。一般情况下，安全模板位于%systemroot%目录的security emplates文件夹。扩展该路径节点，可以看到一组预制的安全模板；依赖于操作系统的版本和已安装的Service Pack数量，预制安全模板的数量也可能不同。

图一

　　例如，XP系统中有一个名为Setup Security的模板，该模板将注册表和NTFS授权、用户权限、系统服务的状态恢复到安装时的默认设置。如果你在不断试验安全选项的过程中搞乱了各种设置，Setup Security模板可以将所有选项快速恢复到默认状态（当然，如果你想保留某些更改后的安全设置，部署Setup Security模板后这些设置就丢失了）。Win2K系统也有与Setup Security同样的模板，针对工作站、成员服务器、域控制器，模板也有三个版本，分别是： basicws.inf、basiCSv.inf和basicdc.inf。

　　其他预制模板将系统的安全调整到不同的级别。Securedc.inf（适用于域控制器）和securews.inf（适用于成员服务器和工作站）提供较低层次的安全，hisecdc.inf和hisecws.inf模板则提升系统的安全级别——必须指出的是，虽然“提升安全级别”听起来很不错，但在部署hisecdc.inf和hisecws.inf模板之前务必三思而后行，其中一些配置会给XP与Win 2K系统的使用带来麻烦，特别是在Win 2K和XP系统与NT 4.0、Win 9x系统通信方面。

　　如果部署了高安全级别的模板后发现这些模板并不适用，你可以重新部署basic*.inf或Setup Security模板将系统恢复到默认设置。预制的安全模板中还有一个compatws.inf模板，它的作用是将系统的NTFS和ACL设置成安全层次较低的NT 4.0设置；在Win XP和2K上，某些早期的应用程序需要部署compatws.inf模板之后才能顺利运行。

点击任意一个安全模板，右边的窗格显示出可以利用该安全模板控制的安全选项类别：

　　⑴ 帐户策略：控制密码策略、锁定策略、Kerberos策略。

　　⑵ 本地策略：控制审核策略、用户权利指派、安全选项。

　　⑶ 事件日志：控制事件日志设置和NT的事件查看器的行为。

　　⑷ 受限制的组：控制哪些用户能够或者不能够进入各种本地组。

　　⑸ 系统服务：启动、关闭各种系统服务，控制哪些用户有权修改系统服务的启动方式。

　　⑹ 注册表：控制修改或查看各个注册键的权限，启用注册键的修改审核功能。

　　⑺ 文件系统：控制文件夹、文件的NTFS授权。

　　2．创建模板

　　基本知识已经了解得差不多了，下面就让我们从头开始构建一个模板。右击模板的路径（图一是d:windowssecurity emplates，你的Windows可能有所不同），然后选择菜单“新加模板”，输入模板的名称，假设是Simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。下面，作为一个试验，让我们限制Administrators组、设置F:adminstuff的ACL、关闭Indexing服务。所有这些设置都可以在Simple节点下完成。

　　首先，我们要设置一下Administrator组，只允许本地的Administrator帐户和域的Domain Admins组加入Administrators组。扩展左边窗格中的Simple节点，选中“受限制的组”。如果操作系统是XP，右边窗格会显示出“此视图中没有可显示的项目”；如果是Win 2K，右边窗格保持空白。现在右击“受限制的组”节点，选择菜单“添加组”，在新出现的对话框中，点击“浏览”并找到本地工作站或成员服务器的Administrators组。注意，这里我们要加入的是本地的Administrators组，而不是加入域的组；如果你用域的帐户登录工作站，“浏览”对话框将假定你想要从域加入组（而不是假定你要从工作站或成员服务器的本地SAM加入组）。返回“添加成员”对话框后，点击“确定”。如果你使用的是XP，可以看到一个“Administrators属性”对话框；如果是Win 2K，必须右击右边窗格中的Administrators然后选择“安全”才能打开类似的对话框，但Win 2K对话框的标题是“为Administrators配置成员”。

　在这个对话框中，如图二，窗口上方有一个“这个组的成员”清单，窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。