Windows XP安全模板快速配置安全選項

1 2 下一頁

Windows XP操作系統提供了強大的安全機制，但是如果要一一設置這些安全配置，卻是非常費時、費力的事，那么有沒有一種可以快速配置安全選項的辦法呢？答案是肯定的，用安全模板就能快速、批量地設定所有安全選項。

一、了解安全模板

'安全模板'是一種可以定義安全策略的文件表示方式，它能夠配置賬戶和本地策略、事件日志、受限組、文件系統、注冊表以及系統服務等項目的安全設置。安全模板都以.inf格式的文本文件存在，用戶可以方便地復制、粘貼、導入或導出某些模板。此外，安全模板并不引入新的安全參數，而只是將所有現有的安全屬性組織到一個位置以簡化安全性管理，并且提供了一種快速批量修改安全選項的方法。

系統已經預定義了幾個安全模板以幫助加強系統安全，在默認情況下，這些模板存儲在'%Systemroot%SecurityTemplates'目錄下。它們分別是：

1.Compatws.inf

提供基本的安全策略，執行具有較低級別的安全性但兼容性更好的環境。放松用戶組的默認文件和注冊表權限，使之與多數沒有驗證的應用程序的要求一致。'Power Users'組通常用于運行沒有驗證的應用程序。

2.Hisec*.inf

提供高安全的客戶端策略模板，執行高級安全的環境，是對加密和簽名作進一步限制的安全模板的擴展集，這些加密和簽名是進行身份認證和保證數據通過安全通道以及在SMB客戶機和服務器之間進行安全傳輸所必需的。

3.Rootsec.inf

確保系統根的安全，可以指定由Windows XP Professional所引入的新的根目錄權限。默認情況下，Rootsec.inf為系統驅動器根目錄定義這些權限。如果不小心更改了根目錄權限，則可利用該模板重新應用根目錄權限，或者通過修改模板對其他卷應用相同的根目錄權限。

4.Secure*.inf

定義了至少可能影響應用程序兼容性的增強安全設置，還限制了LAN Manager和NTLM身份認證協議的使用，其方式是將客戶端配置為僅可發送NTLMv2響應，而將服務器配置為可拒絕LAN Manager的響應。

5.Setupsecurity.inf

重新應用默認設置。這是一個針對于特定計算機的模板，它代表在安裝操作系統期間所應用的默認安全設置，其設置包括系統驅動器的根目錄的文件權限，可用于系統災難恢復。

以上就是系統預定義的安全模板，用戶可以使用其中一種安全模板，也可以創建自己需要的新安全模板。

二、管理安全模板

1.安裝安全模板

安全模板文件都是基于文本的.inf文件，可以用文本打開進行編輯，但是這種方法編輯安全模板太復雜了，所以要將安全模板載入到MMC控制臺，以方便使用。

①依次點擊'開始'和'運行'按鈕，鍵入'mmc'并點擊'確定'按鈕就會打開控制臺節點；

②點擊'文件'菜單中的'添加/刪除管理單元'，在打開的窗口中點擊'獨立'標簽頁中的'添加'按鈕；

③在'可用的獨立管理單元'列表中選中'安全模板'，然后點擊'添加'按鈕，最后點擊'關閉'，這樣安全模板管理單元就被添加到MMC控制臺中了。

為了避免退出后再運行MMC時每次都要重新載入，可以點擊'文件'菜單上的'保存'按鈕，將當前設置為保存。

2.建立、刪除安全模板

將安全模板安裝到MMC控制臺后，就會看到系統預定義的那幾個安全模板，你還可以自己建立新的安全模板。

首先打開'控制臺根節點'列表中的'安全模板'，在存儲安全模板文件的文件夾上點擊鼠標右鍵，在彈出的快捷菜單中選擇'新加模板'，這樣就會彈出新建模板窗口，在'模板名稱'中鍵入新建模板的名稱，在'說明'中，鍵入新模板的說明，最后點擊'確定'按鈕。這樣一個新的安全模板就成功建立了。

刪除安全模板非常簡單，打開'安全模板'，在控制臺樹中找到要刪除的模板，在其上面點擊鼠標右鍵，選擇'刪除'即可。

3.應用安全模板

新的安全模板經過配置后，就可以應用了，你必須通過使用'安全配置和分析'管理單元來應用安全模板設置。

①首先要添加'安全配置和分析'管理單元，打開MMC控制臺的'文件'菜單，點擊'添加/刪除管理單元'，在'添加獨立管理單元'列表中選中'安全配置和分析'，并點擊'添加'按鈕，這樣'安全配置和分析'管理單元就被添加到MMC控制臺中了；

②在控制臺樹中的'安全配置和分析'上點擊鼠標右鍵，選擇'打開數據庫'，在彈出的窗口中鍵入新數據庫名，然后點擊'打開'按鈕；

③在安全模板列表窗口中選擇要導入的安全模板，然后點擊'打開'按鈕，這樣該安全模板就被成功導入了；

④在控制臺樹中的'安全配置和分析'上點擊右鍵，然后在快捷菜單中選擇'立即配置計算機'，就會彈出確認錯誤日志文件路徑窗口，點擊'確定'按鈕。

這樣，剛才被導入的安全模板就被成功應用了。

三、設置安全模板

1.設置賬戶策略

賬戶策略之中包括密碼策略、賬戶鎖定策略和Kerberos策略的安全設置，密碼策略為密碼復雜程度和密碼規則的修改提供了一種標準的手段，以便滿足高安全性環境中對密碼的要求。賬戶鎖定策略可以跟蹤失敗的登錄嘗試，并且在必要時可以鎖定相應賬戶。Kerberos策略用于域用戶的賬戶，它們決定了與Kerberos相關的設置，諸如票據的期限和強制實施。

(1)密碼策略

在這里可以配置5種與密碼特征相關的設置，分別是'強制密碼歷史'、'密碼最長使用期限'、'密碼最短使用期限'、'密碼長度最小值'和'密碼必須符合復雜性要求'。

①強制密碼歷史：確定互不相同的新密碼的個數，在重新使用舊密碼之前，用戶必須使用過這么多的密碼，此設置值可介于0和24之間；

②密碼最長使用期限：確定在要求用戶更改密碼之前用戶可以使用該密碼的天數。其值介于0和999之間；如果該值設置為0，則密碼永不過期；

③密碼最短使用期限：確定用戶可以更改新密碼之前這些新密碼必須保留的天數。此設置被設計為與'強制密碼歷史'設置一起使用，這樣用戶就不能很快地重置有次數要求的密碼并更改回舊密碼。該設置值可以介于0和999之間；如果設置為0，用戶可以立即更改新密碼。建議將該值設為2天；

④密碼長度最小值：確定密碼最少可以有多少個字符。該設置值介于0和14個字符之間。如果設置為0，則允許用戶使用空白密碼。建議將該值設置為8個字符；

⑤密碼必須符合復雜性要求：該項啟用后，將對所有的新密碼進行檢查，確保它們滿足復雜密碼的基本要求。如果啟用該設置，則用戶密碼必須符合特定要求，如至少有6個字符、密碼不得包含三個或三個以上來自用戶賬戶名中的字符等。

(2)賬戶鎖定策略

在這里可以設置在指定的時間內一個用戶賬戶允許的登錄嘗試次數，以及登錄失敗后，該賬戶的鎖定時間。

①賬戶鎖定時間：這里的設置決定了一個賬戶在解除鎖定并允許用戶重新登錄之前所必須經過的時間，即被鎖定的用戶不能進行登錄操作的時間，該時間的單位為分鐘，如果將時間設置為0，將會永遠鎖定該賬戶，直到管理員解除賬戶的鎖定；

②賬戶鎖定閥值：確定嘗試登錄失敗多少次后鎖定用戶賬戶。除非管理員進行了重新設置或該賬戶的鎖定期已滿，才能重新使用賬戶。嘗試登錄失敗的次數可設置為1到999之間的值，如果設置為0，則始終不鎖定該賬戶。

2.設置本地策略

本地策略包括審核策略、用戶權限分配和安全選項三項安全設置，其中，審核策略確定了是否將安全事件記錄到計算機上的安全日志中；用戶權利指派確定了哪些用戶或組具有登錄計算機的權利或特權；安全選項確定啟用或禁用計算機的安全設置。

(1)審核策略

審核被啟用后，系統就會在審核日志中收集審核對象所發生的一切事件，如應用程序、系統以及安全的相關信息，因此審核對于保證域的安全是非常重要的。審核策略下的各項值可分為成功、失敗和不審核三種，默認是不審核，若要啟用審核，可在某項上雙擊鼠標，就會彈出'屬性'窗口，首先選中'在模板中定義這些策略設置'，然后按需求選擇'成功'或'失敗'即可。

審核策略包括審核賬戶登錄事件、審核策略更改、審核賬戶管理、審核登錄事件、審核系統事件等，下面分別進行介紹。

①審核策略更改：主要用于確定是否對用戶權限分配策略、審核策略或信任策略作出更改的每一個事件進行審核。建議設置為'成功'和'失敗'；

②審核登錄事件：用于確定是否審核用戶登錄到該計算機、從該計算機注銷或建立與該計算機的網絡連接的每一個實例。如果設定為審核成功，則可用來確定哪個用戶成功登錄到哪臺計算機；如果設為審核失敗，則可以用來檢測入侵，但攻擊者生成的龐大的登錄失敗日志，會造成拒絕服務(Dos)狀態。建議設置為'成功'；

③審核對象訪問：確定是否審核用戶訪問某個對象，例如文件、文件夾、注冊表項、打印機等，它們都指定了自己的系統訪問控制列表(SACL)的事件。建議設置為'失敗'；

④審核過程跟蹤：確定是否審核事件的詳細跟蹤信息，如程序激活、進程退出、間接對象訪問等。如果你懷疑系統被攻擊，可啟用該項，但啟用后會生成大量事件，正常情況下建議將其設置為'無審核'；

⑤審核目錄服務訪問：確定是否審核用戶訪問那些指定有自己的系統訪問控制列表(SACL)的ActiveDirectory對象的事件。啟用后會在域控制器的安全日志中生成大量審核項，因此僅在確實要使用所創建的信息時才應啟用。建議設置為'無審核'；

⑥審核特權使用：該項用于確定是否對用戶行使用戶權限的每個實例進行審核，但除跳過遍歷檢查、調試程序、創建標記對象、替換進程級別標記、生成安全審核、備份文件和目錄、還原文件和目錄等權限。建議設置為'不審核'；

⑦審核系統事件：用于確定當用戶重新啟動或關閉計算機時，或者對系統安全或安全日志有影響的事件發生時，是否予以審核。這些事件信息是非常重要的，所以建議設置為'成功'和'失敗'；

⑧審核賬戶登錄事件：該設置用于確定當用戶登錄到其他計算機(該計算機用于驗證其他計算機中的賬戶)或從中注銷時，是否進行審核。建議設置為'成功'和'失敗'；

⑨審核賬戶管理：用于確定是否對計算機上的每個賬戶管理事件，如重命名、禁用或啟用用戶賬戶、創建、修改或刪除用戶賬戶或管理事件進行審核。建議設置為'成功'和'失敗'。

(2)用戶權利指派

用戶權利指派主要是確定哪些用戶或組被允許做哪些事情。具體設置方法是：

①雙擊某項策略，在彈出'屬性'窗口中，首先選中'在模板中定義這些策略設置'；

②點擊'添加用戶或組'按鈕就會出現'選擇用戶或組'窗口，先點擊'對象類型'選擇對象的類型，再點擊'位置'選擇查找的位置，最后在'輸入對象名稱來選擇'下的空白欄中輸入用戶或組的名稱，輸完后可點擊'檢查名稱'按鈕來檢查名稱是否正確；

③最后點擊'確定'按鈕即可將輸入的對象添加到用戶列表中。

(3)安全選項

在這里可以啟用或禁用計算機的安全設置，如數據的數字簽名、Administrator和Guest賬戶的名稱、軟盤驅動器和CD-ROM驅動器訪問、驅動程序安裝行為和登錄提示等。下面介紹幾個適合于一般用戶使用的設置。

①防止用戶安裝打印機驅動程序。對于要打印到網絡打印機的計算機，網絡打印機的驅動程序必須安裝在本地打印機上。該安全設置確定了允許哪些人安裝作為添加網絡打印機一部分的打印機驅動程序。使用該設置可防止未授權的用戶下載和安裝不可信的打印機驅動程序。

雙擊'設備：防止用戶安裝打印機驅動程序'，會彈出屬性窗口，首先選中'在模板中定義這個策略設置'項，然后將'已啟用'選中，最后點擊'確定'按鈕。這樣則只有管理員和超級用戶才可以安裝作為添加網絡打印機一部分的打印機驅動程序；

②無提示安裝未經簽名的驅動程序。當試圖安裝未經Windows硬件質量實驗室(WHQL)頒發的設備驅動程序時，系統默認會彈出警告窗口，然后讓用戶選擇是否安裝，這樣很麻煩，你可以將其設置為無提示就直接安裝。

雙擊'設備：未簽名驅動程序的安裝操作'項，在出現的屬性窗口中，選中'在模板中定義這個策略設置'項，然后點擊后面的下拉按鈕，選擇'默認安裝'，最后點擊'確定'按鈕即可；

③登錄時顯示消息文字。指定用戶登錄時顯示的文本消息。利用這個警告消息設置，可以警告用戶不得以任何方式濫用公司信息或者警告用戶其操作可能會受到審核，從而更好地保護系統數據。

雙擊'交互式登錄：用戶試圖登錄時消息文字'，進入屬性窗口，先將'在模板中定義這個策略設置'選中，然后在下面的空白輸入框中輸入消息文字，最多可以輸入512個字符，最后點擊'確定'按鈕。這樣，用戶在登錄到控制臺之前就會看到這個警告消息對話框。