增強(qiáng)win 2003系統(tǒng)安全的工具與配置

　　Windows Server 2003是微軟的服務(wù)器操作系統(tǒng)，也被稱為較為安全的操作系統(tǒng)，但是還是存在一定的不安全因素，而作為一名系統(tǒng)管理員，最關(guān)心的事情莫過于Windows 2003系統(tǒng)的安全了，那么他們會(huì)采取哪些措施，讓win 2003系統(tǒng)的安全有一定的提升呢?當(dāng)然啦，首先要對(duì)那些不安全因素有一定的了解與掌握。

　　一、安全配置和分析以及安全模板的基礎(chǔ)知識(shí)

　　1. 安全配置和分析

　　安全配置和分析概述“安全配置和分析”是分析和配置本地系統(tǒng)安全性的一個(gè)工具。包括:

　　·安全分析

　　計(jì)算機(jī)上的操作系統(tǒng)和應(yīng)用程序的狀態(tài)是動(dòng)態(tài)的。例如，為了能立刻解決管理或網(wǎng)絡(luò)問題，您可能需要臨時(shí)性地更改安全級(jí)別。然而，經(jīng)常無法恢復(fù)這種更改。這意味著計(jì)算機(jī)不能再滿足企業(yè)安全的要求。常規(guī)分析作為企業(yè)風(fēng)險(xiǎn)管理程序的一部分，允許管理員跟蹤并確保在每臺(tái)計(jì)算機(jī)上有足夠高的安全級(jí)別。管理員可以調(diào)整安全級(jí)別，最重要的是，檢測(cè)在系統(tǒng)長(zhǎng)期運(yùn)行過程中出現(xiàn)的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結(jié)果。在當(dāng)前系統(tǒng)設(shè)置的旁邊提出建議，用可視化的標(biāo)記或注釋突出顯示當(dāng)前設(shè)置與建議的安全級(jí)別不匹配的區(qū)域。“安全配置和分析”也提供了解決分析顯示的任何矛盾的功能。

　　·安全配置

　　“安全配置和分析”還可以用于直接配置本地系統(tǒng)的安全性。利用個(gè)人數(shù)據(jù)庫，可以導(dǎo)入由“安全模板”創(chuàng)建的安全模板，并將這些模板應(yīng)用于本地計(jì)算機(jī)。這將立即使用模板中指定的級(jí)別配置系統(tǒng)安全性。

　　2、安全模板

　　安全模板使用 Microsoft 管理控制臺(tái)的安全模板管理單元，您可以創(chuàng)建計(jì)算機(jī)或網(wǎng)絡(luò)的安全策略。它是考慮整個(gè)系統(tǒng)范圍內(nèi)安全的單點(diǎn)入口點(diǎn)。安全模板管理單元并不引入新的安全參數(shù)，它只是將所有的現(xiàn)有安全屬性組織在一起以便于安全管理。將安全模板導(dǎo)入到“組策略”對(duì)象中可以通過立即配置域或部門的安全性來簡(jiǎn)化域管理。要將安全模板應(yīng)用于本地計(jì)算機(jī)，可以使用“安全配置和分析”或 Secedit 命令行工具。

　　安全模板可用于定義以下內(nèi)容:

　　·帳戶策略

　　·密碼策略

　　·帳戶鎖定策略

　　·Kerberos 策略

　　·本地策略

　　·審核策略

　　·用戶權(quán)限分配

　　·安全選項(xiàng)

　　·事件日志:應(yīng)用程序、系統(tǒng)和安全的事件日志設(shè)置

　　·受限制的組:安全敏感組的成員資格

　　·系統(tǒng)服務(wù):系統(tǒng)服務(wù)的啟動(dòng)和權(quán)限

　　·注冊(cè)表:注冊(cè)表項(xiàng)的權(quán)限

　　·文件系統(tǒng):文件夾和文件的權(quán)限

　　將每個(gè)模板都另存為基于文本的 .inf 文件。這允許您復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┗蛩�有模板屬性。在安全模板中可以包含�?ldquo;Internet 協(xié)議”安全和公用密鑰策略之外的所有安全屬性。

　　3、配置本地計(jì)算機(jī)安全有兩種方法

　　配置本地計(jì)算機(jī)安全有兩種方法使用命令行和Windows 圖形界面。這里主要介紹前者。Windows命令行最大的一個(gè)特點(diǎn)就是對(duì)網(wǎng)絡(luò)管理的便宜性，管理員只需在命令行窗口輸入幾個(gè)命令，就可以完成諸多繁雜的操作，達(dá)到預(yù)期的目的。而且可以通過一些命令工具判斷網(wǎng)絡(luò)內(nèi)部的物理故障以及網(wǎng)絡(luò)安全問題，實(shí)現(xiàn)網(wǎng)絡(luò)管理的自動(dòng)化和批量化。

　　Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行，雖然提供的都是黑白分明的字符界面，但其本質(zhì)還是有所區(qū)別的。原因在于Windows NT/2000/XP/2003 已經(jīng)徹底脫離了DOS 的桎梏，DOS 只是作為操作系統(tǒng)所提供的虛擬機(jī)而存在，換句說，命令行已經(jīng)不再是基礎(chǔ)，而成為了一種工具。然而，我們卻不能因此而小覷了這些貌似簡(jiǎn)單的命令行工具。原因很簡(jiǎn)單，命令行仍然是我們解決棘手的問題的首先。