|
用安全模板加强Windows的安全(3)
图二
如果是Win 2K,点击“浏览”按钮并选择域的Domain Admins组;如果是XP,点击“浏览”按钮打开的是一个“选择用户”对话框,如图三,但Domain Admins不会出现在列表中,你必须首先点击“对象类型”,选择“组”,点击“确定”返回“选择用户”对话框,选择(或者输入)Domain Admins。按照同样的步骤加入Administrator帐户。
图三
接下来我们设置模板的第二部分,使得任何拥有F:adminstuff文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中,右击“文件系统”,选择“添加文件”,在“添加文件或文件夹”对话框中找到或者输入f:adminstuff目录。
点击“确定”,出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则,加入对本地Administrators组的“完全控制”授权。注意NTFS安全设置对话框里还可以调整高级NTFS选项,例如设置审核功能、所有者权限等。点击“确定”,系统会询问是否把权限设置传播给所有子文件夹和文件,根据需要选择一个选项,点击“确定”。
自CodeRed和Nimda肆虐以来,Indexing服务就引起了人们担忧,在不必使用该服务的系统上,最好的选择就是将它关闭。在控制台左边的窗格中,点击“系统服务”,在右边窗格中右击Indexing服务,选择“属性”(对于XP)或者“安全”(对于Win 2K)。在“Indexing Service属性”对话框中,如图四,选中“在模板中定义这个策略设置”,这时系统显示出“安全设置 Indexing Service”对话框,现在我们不需要设置该对话框的选项,因此点击“取消”返回图四的对话框。在图四对话框中选择“已停用”,然后点击“确定”。
图四
右击控制台左边窗格中的Simple模板,选择“保存”。现在winntsecurity emplates或windowssecurity emplates目录下有了一个Simple.inf文件。
激活安全模板的命令是Secedit,命令语法为:secedit /configure /cfg /db /overwrite /log 。其中templatefilename是模板文本文件的名称(本例是D:windowssecurity emplatessimple.inf),databasefilename是安全数据库文件的名称。
安全模板有点象程序的源代码:人可以阅读,但计算机不能直接识别,就象程序的源代码必须编译成二进制执行文件一样,安全模板也必须转换成二进制格式的安全数据库。Secedit既能够编译模板文件,也能够部署二进制的安全数据库,但我们必须为安全数据库指定路径和文件名称,例如C:securitysimple.db。
最后,Secedit还要报告处理经过和结果,我们要指定一个日志文件的名称,例如C:securitysimple.log。/overwrite选项告诉Secedit覆盖任何同名文件。因此,本例中完整的Secedit命令应该是:secedit /configure /cfg D:windowssecurity emplates simple.inf /db C:securitysimple.db /overwrite /log C:securitysimple.log。这个命令有点长,但显然要比到每一台机器上手工修改各个安全选项方便多了。你不妨试着编辑和部署几个模板,相信这个强大的工具一定会让你爱不释手。
|
