增強(qiáng)win 2003系統(tǒng)安全的工具與配置(2)

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要參數(shù):

　　/db FileName :指定用于執(zhí)行此次分析的數(shù)據(jù)庫。

　　/cfg FileName :指定在執(zhí)行分析前要導(dǎo)入到數(shù)據(jù)庫中的安全模板。安全模板是使用安全模板管理單元創(chuàng)建的。

　　/log FileName :指定一個文件，用于記錄配置過程所處的狀態(tài)。如果未指定，配置數(shù)據(jù)將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。

　　/quiet :指定在執(zhí)行分析過程時不作更多參與。

　　/log logpath : 指定一個文件，該文件用于記錄配置過程所處的狀態(tài)。如未指定，配置數(shù)據(jù)將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。

　　/quiet :指定應(yīng)該在不提示用戶的情況下進(jìn)行配置。

　　使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務(wù)計(jì)劃程序的命令提示符下調(diào)用 Secedit.exe 工具，可以自動創(chuàng)建和應(yīng)用模板，以及分析系統(tǒng)的安全性。也可以從命令提示符下動態(tài)運(yùn)行該命令。當(dāng)必須分析或配置多臺計(jì)算機(jī)的安全性，并且需要在非工作時間執(zhí)行任務(wù)時，Secedit.exe 很有用。要查看該命令的完整語法，請?jiān)诿�令提示符下輸�?secedit /?

　　下面簡單介紹以下子命令:

　　l secedit /analyze :可通過將其與數(shù)據(jù)庫中的基本設(shè)置相比較，分析一臺計(jì)算機(jī)上的安全設(shè)置。

　　l secedit /configure :通過應(yīng)用存儲在數(shù)據(jù)庫中的設(shè)置配置本地計(jì)算機(jī)的安全性設(shè)置。

　　l secedit /export :可將存儲在數(shù)據(jù)庫中的安全性設(shè)置導(dǎo)出。

　　l secedit /import :可將安全性模板導(dǎo)入到數(shù)據(jù)庫以便模板中指定的設(shè)置可應(yīng)用到系統(tǒng)或作為分析系統(tǒng)的依據(jù)。

　　l secedit /validate :驗(yàn)證要導(dǎo)入到分析數(shù)據(jù)庫或系統(tǒng)應(yīng)用程序的安全模板的語法。

　　l secedit /GenerateRollback: 可根據(jù)配置模板生成一個回滾模板。在將配置模板應(yīng)用到計(jì)算機(jī)上時，可以選擇創(chuàng)建回滾模板，該模板在應(yīng)用時會將安全性設(shè)置重置為應(yīng)用配置模板前的值。

　　默認(rèn)情況下幾個安全模板文件如下:

　　·默認(rèn)安全設(shè)置 模板(Setup security.inf)

　　Setup security.inf 模板是在安裝期間針對每臺計(jì)算機(jī)創(chuàng)建的。取決于所進(jìn)行的安裝是完整安裝還是升級，該模板在不同的計(jì)算機(jī)中可能不同。Setup security.inf 代表了在安裝操作系統(tǒng)期間所應(yīng)用的默認(rèn)安全設(shè)置，其中包括對系統(tǒng)驅(qū)動器的根目錄的文件權(quán)限。它可以用在服務(wù)器或客戶端計(jì)算機(jī)上，但不能應(yīng)用于域控制器。此模板的某些部分可應(yīng)用于故障恢復(fù)。請不要通過使用“組策略”來應(yīng)用 Setup security.inf。此模板含有大量數(shù)據(jù)，如果通過組策略來應(yīng)用它，可能會嚴(yán)重降低性能(因?yàn)椴呗允嵌ㄆ谒⑿碌�，這樣做將導(dǎo)致在域中移動大量數(shù)據(jù))。因此，建議在局部應(yīng)用 Setup security.inf 模板。由于 Secedit 命令行工具支持該功能，因此建議使用該工具。

　　·域控制器默認(rèn)安全設(shè)置模板 (DC security.inf)

　　該模板是在服務(wù)器被升級為域控制器時創(chuàng)建的。它反映了文件、注冊表以及系統(tǒng)服務(wù)的默認(rèn)安全設(shè)置。重新應(yīng)用它后，上述范圍的安全設(shè)置將被重新設(shè)置為默認(rèn)值。它可能覆蓋由其他應(yīng)用程序創(chuàng)建的新文件、注冊表和系統(tǒng)服務(wù)的權(quán)限。使用“安全配置和分析”管理單元或 Secedit 命令行工具可以應(yīng)用它。

　　·兼容模板 (compatws.inf)

　　工作站和服務(wù)器的默認(rèn)權(quán)限主要授予三個本地組:Administrators、Power Users 和 Users。Administrators 享有最高的特權(quán)，而 Users 的特權(quán)最低。正因?yàn)槿绱�，可以通過以下方式極大地提高系統(tǒng)所有權(quán)的安全性、可靠性，并降低其總成本:確保最終用戶都是 Users 成員。 部署可由 Users 組的成員成功運(yùn)行的應(yīng)用程序。具有 User 權(quán)限的人可以成功運(yùn)行已加入在 Windows Logo Program for Software 中的應(yīng)用程序。但是，User 可能無法運(yùn)行不符合該計(jì)劃要求的應(yīng)用程序。

　　·高級安全模板 (hisec*.inf)

　　高級安全模板是對加密和簽名作進(jìn)一步限制的安全模板的擴(kuò)展集，這些加密和簽名是進(jìn)行身份認(rèn)證和保證數(shù)據(jù)通過安全通道以及在 SMB 客戶端和服務(wù)器之間進(jìn)行安全傳輸所必需的。例如，安全模板可以使服務(wù)器拒絕 LAN Manager 的響應(yīng)，而高級安全模板則可導(dǎo)致同時對 LAN Manager 和 NTLM 響應(yīng)的拒絕。安全模板可以啟用服務(wù)器端的 SMB 信息包簽名，而高級安全模板則要求這種簽名。此外，高級安全模板還要求對形成域到成員以及域到域的信任關(guān)系的安全通道數(shù)據(jù)進(jìn)行強(qiáng)力加密和簽名。 Hisecdc和Hisecws:高級安全模板。在安全模板的基礎(chǔ)上對加密和簽名作進(jìn)一步的限制。這些加密和簽名是進(jìn)行身份認(rèn)證和保證數(shù)據(jù)在安全的通道中進(jìn)行傳輸所必需的，要求對安全通道數(shù)據(jù)進(jìn)行強(qiáng)力的加密和簽名，從而形成域到成員和成員到域的信任關(guān)系。

　　·系統(tǒng)根目錄安全 模板(Rootsec.inf)

　　Rootsec.inf 可指定根目錄權(quán)限。默認(rèn)情況下，Rootsec.inf 為系統(tǒng)驅(qū)動器根目錄定義這些權(quán)限。如果不小心更改了根目錄權(quán)限，則可利用該模板重新應(yīng)用根目錄權(quán)限，或者通過修改模板對其他卷應(yīng)用相同的根目錄權(quán)限。正如所說明的那樣，該模板并不覆蓋已明確定義在子對象上的權(quán)限，它只是傳遞由子對象繼承的權(quán)限。

　　·無終端服務(wù)器用戶 SID 模板(Notssid.inf)

　　服務(wù)器上的默認(rèn)文件系統(tǒng)和注冊表訪問控制列表可將權(quán)限授予終端服務(wù)器的安全標(biāo)識符 (SID)。僅當(dāng)“終端服務(wù)器 SID”以應(yīng)用程序兼容模式運(yùn)行時，它才能被使用。如果當(dāng)前沒有使用“終端服務(wù)器 SID”，則可以應(yīng)用該模板從文件系統(tǒng)和注冊表位置刪除不需要的“終端服務(wù)器 SID”。然而，從這些默認(rèn)的文件系統(tǒng)和注冊表位置刪除“終端服務(wù)器 SID”的訪問控制項(xiàng)并不會增加系統(tǒng)的安全性。因此請不要刪除“終端服務(wù)器 SID”，而直接以“完整安全”模式運(yùn)行終端服務(wù)器。當(dāng)以“完整安全”模式運(yùn)行時，則不使用“終端服務(wù)器 SID”。

　　上面我們介紹了配置本地計(jì)算機(jī)安全的命令行方法，下面介紹在Windows 圖形界面如何完成。