增強win 2003系統(tǒng)安全的工具與配置

　　Windows Server 2003是微軟的服務(wù)器操作系統(tǒng)，也被稱為較為安全的操作系統(tǒng)，但是還是存在一定的不安全因素，而作為一名系統(tǒng)管理員，最關(guān)心的事情莫過于Windows 2003系統(tǒng)的安全了，那么他們會采取哪些措施，讓win 2003系統(tǒng)的安全有一定的提升呢?當(dāng)然啦，首先要對那些不安全因素有一定的了解與掌握。

　　一、安全配置和分析以及安全模板的基礎(chǔ)知識

　　1. 安全配置和分析

　　安全配置和分析概述“安全配置和分析”是分析和配置本地系統(tǒng)安全性的一個工具。包括:

　　·安全分析

　　計算機上的操作系統(tǒng)和應(yīng)用程序的狀態(tài)是動態(tài)的。例如，為了能立刻解決管理或網(wǎng)絡(luò)問題，您可能需要臨時性地更改安全級別。然而，經(jīng)常無法恢復(fù)這種更改。這意味著計算機不能再滿足企業(yè)安全的要求。常規(guī)分析作為企業(yè)風(fēng)險管理程序的一部分，允許管理員跟蹤并確保在每臺計算機上有足夠高的安全級別。管理員可以調(diào)整安全級別，最重要的是，檢測在系統(tǒng)長期運行過程中出現(xiàn)的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結(jié)果。在當(dāng)前系統(tǒng)設(shè)置的旁邊提出建議，用可視化的標記或注釋突出顯示當(dāng)前設(shè)置與建議的安全級別不匹配的區(qū)域。“安全配置和分析”也提供了解決分析顯示的任何矛盾的功能。

　　·安全配置

　　“安全配置和分析”還可以用于直接配置本地系統(tǒng)的安全性。利用個人數(shù)據(jù)庫，可以導(dǎo)入由“安全模板”創(chuàng)建的安全模板，并將這些模板應(yīng)用于本地計算機。這將立即使用模板中指定的級別配置系統(tǒng)安全性。

　　2、安全模板

　　安全模板使用 Microsoft 管理控制臺的安全模板管理單元，您可以創(chuàng)建計算機或網(wǎng)絡(luò)的安全策略。它是考慮整個系統(tǒng)范圍內(nèi)安全的單點入口點。安全模板管理單元并不引入新的安全參數(shù)，它只是將所有的現(xiàn)有安全屬性組織在一起以便于安全管理。將安全模板導(dǎo)入到“組策略”對象中可以通過立即配置域或部門的安全性來簡化域管理。要將安全模板應(yīng)用于本地計算機，可以使用“安全配置和分析”或 Secedit 命令行工具。

　　安全模板可用于定義以下內(nèi)容:

　　·帳戶策略

　　·密碼策略

　　·帳戶鎖定策略

　　·Kerberos 策略

　　·本地策略

　　·審核策略

　　·用戶權(quán)限分配

　　·安全選項

　　·事件日志:應(yīng)用程序、系統(tǒng)和安全的事件日志設(shè)置

　　·受限制的組:安全敏感組的成員資格

　　·系統(tǒng)服務(wù):系統(tǒng)服務(wù)的啟動和權(quán)限

　　·注冊表:注冊表項的權(quán)限

　　·文件系統(tǒng):文件夾和文件的權(quán)限

　　將每個模板都另存為基于文本的 .inf 文件。這允許您復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┗蛩�有模板屬性。在安全模板中可以包含�?ldquo;Internet 協(xié)議”安全和公用密鑰策略之外的所有安全屬性。

　　3、配置本地計算機安全有兩種方法

　　配置本地計算機安全有兩種方法使用命令行和Windows 圖形界面。這里主要介紹前者。Windows命令行最大的一個特點就是對網(wǎng)絡(luò)管理的便宜性，管理員只需在命令行窗口輸入幾個命令，就可以完成諸多繁雜的操作，達到預(yù)期的目的。而且可以通過一些命令工具判斷網(wǎng)絡(luò)內(nèi)部的物理故障以及網(wǎng)絡(luò)安全問題，實現(xiàn)網(wǎng)絡(luò)管理的自動化和批量化。

　　Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行，雖然提供的都是黑白分明的字符界面，但其本質(zhì)還是有所區(qū)別的。原因在于Windows NT/2000/XP/2003 已經(jīng)徹底脫離了DOS 的桎梏，DOS 只是作為操作系統(tǒng)所提供的虛擬機而存在，換句說，命令行已經(jīng)不再是基礎(chǔ)，而成為了一種工具。然而，我們卻不能因此而小覷了這些貌似簡單的命令行工具。原因很簡單，命令行仍然是我們解決棘手的問題的首先。

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要參數(shù):

　　/db FileName :指定用于執(zhí)行此次分析的數(shù)據(jù)庫。

　　/cfg FileName :指定在執(zhí)行分析前要導(dǎo)入到數(shù)據(jù)庫中的安全模板。安全模板是使用安全模板管理單元創(chuàng)建的。

　　/log FileName :指定一個文件，用于記錄配置過程所處的狀態(tài)。如果未指定，配置數(shù)據(jù)將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。

　　/quiet :指定在執(zhí)行分析過程時不作更多參與。

　　/log logpath : 指定一個文件，該文件用于記錄配置過程所處的狀態(tài)。如未指定，配置數(shù)據(jù)將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。

　　/quiet :指定應(yīng)該在不提示用戶的情況下進行配置。

　　使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務(wù)計劃程序的命令提示符下調(diào)用 Secedit.exe 工具，可以自動創(chuàng)建和應(yīng)用模板，以及分析系統(tǒng)的安全性。也可以從命令提示符下動態(tài)運行該命令。當(dāng)必須分析或配置多臺計算機的安全性，并且需要在非工作時間執(zhí)行任務(wù)時，Secedit.exe 很有用。要查看該命令的完整語法，請在命令提示符下輸入:secedit /?

　　下面簡單介紹以下子命令:

　　l secedit /analyze :可通過將其與數(shù)據(jù)庫中的基本設(shè)置相比較，分析一臺計算機上的安全設(shè)置。

　　l secedit /configure :通過應(yīng)用存儲在數(shù)據(jù)庫中的設(shè)置配置本地計算機的安全性設(shè)置。

　　l secedit /export :可將存儲在數(shù)據(jù)庫中的安全性設(shè)置導(dǎo)出。

　　l secedit /import :可將安全性模板導(dǎo)入到數(shù)據(jù)庫以便模板中指定的設(shè)置可應(yīng)用到系統(tǒng)或作為分析系統(tǒng)的依據(jù)。

　　l secedit /validate :驗證要導(dǎo)入到分析數(shù)據(jù)庫或系統(tǒng)應(yīng)用程序的安全模板的語法。

　　l secedit /GenerateRollback: 可根據(jù)配置模板生成一個回滾模板。在將配置模板應(yīng)用到計算機上時，可以選擇創(chuàng)建回滾模板，該模板在應(yīng)用時會將安全性設(shè)置重置為應(yīng)用配置模板前的值。

　　默認情況下幾個安全模板文件如下:

　　·默認安全設(shè)置 模板(Setup security.inf)

　　Setup security.inf 模板是在安裝期間針對每臺計算機創(chuàng)建的。取決于所進行的安裝是完整安裝還是升級，該模板在不同的計算機中可能不同。Setup security.inf 代表了在安裝操作系統(tǒng)期間所應(yīng)用的默認安全設(shè)置，其中包括對系統(tǒng)驅(qū)動器的根目錄的文件權(quán)限。它可以用在服務(wù)器或客戶端計算機上，但不能應(yīng)用于域控制器。此模板的某些部分可應(yīng)用于故障恢復(fù)。請不要通過使用“組策略”來應(yīng)用 Setup security.inf。此模板含有大量數(shù)據(jù)，如果通過組策略來應(yīng)用它，可能會嚴重降低性能(因為策略是定期刷新的，這樣做將導(dǎo)致在域中移動大量數(shù)據(jù))。因此，建議在局部應(yīng)用 Setup security.inf 模板。由于 Secedit 命令行工具支持該功能，因此建議使用該工具。

　　·域控制器默認安全設(shè)置模板 (DC security.inf)

　　該模板是在服務(wù)器被升級為域控制器時創(chuàng)建的。它反映了文件、注冊表以及系統(tǒng)服務(wù)的默認安全設(shè)置。重新應(yīng)用它后，上述范圍的安全設(shè)置將被重新設(shè)置為默認值。它可能覆蓋由其他應(yīng)用程序創(chuàng)建的新文件、注冊表和系統(tǒng)服務(wù)的權(quán)限。使用“安全配置和分析”管理單元或 Secedit 命令行工具可以應(yīng)用它。

　　·兼容模板 (compatws.inf)

　　工作站和服務(wù)器的默認權(quán)限主要授予三個本地組:Administrators、Power Users 和 Users。Administrators 享有最高的特權(quán)，而 Users 的特權(quán)最低。正因為如此，可以通過以下方式極大地提高系統(tǒng)所有權(quán)的安全性、可靠性，并降低其總成本:確保最終用戶都是 Users 成員。 部署可由 Users 組的成員成功運行的應(yīng)用程序。具有 User 權(quán)限的人可以成功運行已加入在 Windows Logo Program for Software 中的應(yīng)用程序。但是，User 可能無法運行不符合該計劃要求的應(yīng)用程序。

　　·高級安全模板 (hisec*.inf)

　　高級安全模板是對加密和簽名作進一步限制的安全模板的擴展集，這些加密和簽名是進行身份認證和保證數(shù)據(jù)通過安全通道以及在 SMB 客戶端和服務(wù)器之間進行安全傳輸所必需的。例如，安全模板可以使服務(wù)器拒絕 LAN Manager 的響應(yīng)，而高級安全模板則可導(dǎo)致同時對 LAN Manager 和 NTLM 響應(yīng)的拒絕。安全模板可以啟用服務(wù)器端的 SMB 信息包簽名，而高級安全模板則要求這種簽名。此外，高級安全模板還要求對形成域到成員以及域到域的信任關(guān)系的安全通道數(shù)據(jù)進行強力加密和簽名。 Hisecdc和Hisecws:高級安全模板。在安全模板的基礎(chǔ)上對加密和簽名作進一步的限制。這些加密和簽名是進行身份認證和保證數(shù)據(jù)在安全的通道中進行傳輸所必需的，要求對安全通道數(shù)據(jù)進行強力的加密和簽名，從而形成域到成員和成員到域的信任關(guān)系。

　　·系統(tǒng)根目錄安全 模板(Rootsec.inf)

　　Rootsec.inf 可指定根目錄權(quán)限。默認情況下，Rootsec.inf 為系統(tǒng)驅(qū)動器根目錄定義這些權(quán)限。如果不小心更改了根目錄權(quán)限，則可利用該模板重新應(yīng)用根目錄權(quán)限，或者通過修改模板對其他卷應(yīng)用相同的根目錄權(quán)限。正如所說明的那樣，該模板并不覆蓋已明確定義在子對象上的權(quán)限，它只是傳遞由子對象繼承的權(quán)限。

　　·無終端服務(wù)器用戶 SID 模板(Notssid.inf)

　　服務(wù)器上的默認文件系統(tǒng)和注冊表訪問控制列表可將權(quán)限授予終端服務(wù)器的安全標識符 (SID)。僅當(dāng)“終端服務(wù)器 SID”以應(yīng)用程序兼容模式運行時，它才能被使用。如果當(dāng)前沒有使用“終端服務(wù)器 SID”，則可以應(yīng)用該模板從文件系統(tǒng)和注冊表位置刪除不需要的“終端服務(wù)器 SID”。然而，從這些默認的文件系統(tǒng)和注冊表位置刪除“終端服務(wù)器 SID”的訪問控制項并不會增加系統(tǒng)的安全性。因此請不要刪除“終端服務(wù)器 SID”，而直接以“完整安全”模式運行終端服務(wù)器。當(dāng)以“完整安全”模式運行時，則不使用“終端服務(wù)器 SID”。

　　上面我們介紹了配置本地計算機安全的命令行方法，下面介紹在Windows 圖形界面如何完成。

　　二、使用用安全配置和分析工具

　　下面是圖形界面下使用安全配置和分析工具提升windows 2003系統(tǒng)安全詳細步驟:

　　1、使用管理員權(quán)限登錄

　　首先必須以系統(tǒng)管理員或administrators組成員的賬戶身份登錄系統(tǒng)才能完成管理單元的加載以及系統(tǒng)安全性分析和配置操作;注意 :要執(zhí)行該過程，您必須是本地計算機Administrators 組的成員，或者您必須被委派適當(dāng)?shù)臋?quán)限。如果將計算機加入域，Domain Admins 組的成員可能也可以執(zhí)行這個過程。作為安全性的最佳操作，可以考慮使用運行方式來執(zhí)行這個過程。

　　2、打開“安全配置和分析”

　　要打開“安全配置和分析”，請先單擊“開始”，接著單擊“運行”，然后輸入 mmc，最后單擊“確定”。在“文件”菜單上，單擊“打開”，單擊要打開的控制臺，然后單擊“打開”。然后，在控制臺樹中，使用Ctrl+M 快捷鍵打開“添加/刪除管理單元”

　　3、添加“安全配置和分析”管理單元

　　在“添加/刪除管理單元”對話框中，點擊選項頁的“添加”，在彈出的“添加獨立管理單元”對話框中，選擇列表中的“安全配置和分析”項，點擊“添加”。

　　4、完成添加

　　點擊“關(guān)閉”，返回“添加/刪除管理單元”對話框，此時在列表中可以看到新增加了“安全配置和分析”項;點擊“確定”，完成“安全配置和分析” 管理單元的加載。說明:執(zhí)行安全性分析是根據(jù)系統(tǒng)提供的安全模板來實現(xiàn)的，這個過程中，需要用戶打開或新建一個包含安全信息的數(shù)據(jù)庫，并選擇合適的安全模板。

　　5、打開數(shù)據(jù)庫

　　在控制臺窗口中，右鍵點擊控制臺根節(jié)點下的“安全配置和分析”，或者在快捷菜單中選擇“打開數(shù)據(jù)庫”命令;如果是首次對系統(tǒng)進行安全性分析，需要新建一個數(shù)據(jù)庫，在“打開數(shù)據(jù)庫”對話框的“文件名”處為新建的數(shù)據(jù)庫輸入一個名稱，然后點擊“打開”;

　　6、安全模板

　　在彈出的“導(dǎo)入模板”對話框中，可以看到幾個安全模板文件，這些安全模板文件的安全級別以及作用的效果為:

　　預(yù)定義的安全模板預(yù)定義的安全模板是作為創(chuàng)建安全策略的初始點而提供的，這些策略都經(jīng)過自定義設(shè)置以滿足不同的組織要求。可以使用安全模板管理單元對該模板進行自定義。一旦對預(yù)定義的安全模板進行了自定義，就可以用它們配置單臺或數(shù)以千計的計算機的安全�？梢允褂冒踩�配置和分析管理單元、 Secedit 命令行工具，或?qū)⒛０鍖?dǎo)入本地安全策略中來配置單臺計算機�？梢酝ㄟ^將模板導(dǎo)入安全設(shè)置(屬于組策略的擴展)來對多臺計算機進行配置。通過使用“安全配置和分析”管理單元，也可以將安全模板作為分析系統(tǒng)潛在安全漏洞或策略侵犯的基礎(chǔ)。

　　說明:可以通過“安全模板”查看安全模板設(shè)置。*.inf 文件也可以按文本文件查看。這些文件位于:%windir%\Security\Templates。%windir%表示系統(tǒng)目錄如:c:\windows。定義安全模板步驟如下:

　　·打開“安全模板”。

　　·右鍵單擊要存儲新模板的文件夾，然后單擊“新加模板”。

　　·在“模板名”中，鍵入新建安全模板的名稱。

　　·在“描述”中，鍵入新安全模板的說明，然后單擊“確定”。

　　·在控制臺樹中，雙擊新安全模板，以顯示安全區(qū)域，并定位到詳細信息窗格中所要配置的安全設(shè)置。

　　·在詳細信息窗格中，右鍵單擊要配置的安全設(shè)置，然后單擊“屬性”。

　　·選中“在模板中定義這個策略設(shè)置”復(fù)選框，編輯該設(shè)置，然后單擊“確定”。

　　如果再想用其他的安全模板進行安全性分析，可以在“安全配置和分析”節(jié)點上單擊右鍵，點擊快捷菜單中的“導(dǎo)入模板”命令，在“導(dǎo)入模板”對話框中，選擇需要的安全模板文件，同時選擇“導(dǎo)入之前清除這個數(shù)據(jù)庫”選擇框，重復(fù)上述步驟的操作。

　　7、安全分析

　　使用安全模板進行系統(tǒng)安全性分析就可以了。選擇一個適宜的安全模板，如Securews.inf，點擊“打開”;右鍵單擊“安全配置和分析” 項，選擇菜單中的“立即分析計算機”命令，并在“進行分析”對話框中指定保存錯誤日志文件的路徑，點擊“確定”，開始系統(tǒng)安全機制的分析進程

　　8、查看安全分析結(jié)果

　　安全分析進程結(jié)束后，展開“安全配置和分析”節(jié)點下的各項，在右側(cè)窗格的項目列表中，通過項目中顯示的可視化的圖標可以查看哪些安全設(shè)置與系統(tǒng)建議的安全級別匹配，哪些不匹配，密碼策略中有六項策略帶有綠色的對號，表示匹配。如果策略帶有紅色的差號，這表明不匹配。

　　“安全配置和分析”按安全區(qū)顯示分析結(jié)果，并使用可視標志表明問題。它可顯示安全區(qū)中每個安全屬性的當(dāng)前系統(tǒng)配置設(shè)置和基本配置設(shè)置。要更改分析數(shù)據(jù)庫的設(shè)置，請右鍵單擊項目，然后單擊“屬性”。

　　9、配置系統(tǒng)安全機制

　　接著我們可以修改分析結(jié)果中的不匹配策略。然后進行重新分析知道滿意為止。右鍵單擊“安全配置和分析”項，選擇菜單中的“立即配置計算機”命令，并在“配置分析”對話框中指定保存錯誤日志文件的路徑，點擊“確定”，開始系統(tǒng)安全機制的配置進程;完成配置可以選擇“保存”選項完成操作。

　　10、注意事項

　　使用windows 2003的安全配置和分析管理工具，您不僅可以分析系統(tǒng)的安全配置是否適合，同時還可以設(shè)置系統(tǒng)安全配置，從而將您系統(tǒng)的安全狀況掌握在自己手中，但是在使用安全配置和分析管理工具時您需要注意以下兩點:

　　·進行安全性分析和配置時，選擇安全模板一定要適宜，特別是對于系統(tǒng)安全性配置，如果安全模板的級別較低，我們不易發(fā)現(xiàn)存在的安全薄弱環(huán)節(jié);級別太高，可能會影響用戶的習(xí)慣性操作。徹底安全的系統(tǒng)從理論上講不可能，因此我們所指安全性只是在代價與可用性間作平衡。若是用戶提交的每一個變量都要求有生物學(xué)驗證(如指紋鑒定)，則將獲得極高水平的可靠性。但是也會造成用戶登錄就要幾十分鐘。這時用戶就會采取繞過安全驗證的方法。一個系統(tǒng)的可靠性只能由整個鏈條中最薄弱的環(huán)節(jié)來決定。在任何安全系統(tǒng)里面，人是最脆弱的連接，單單技術(shù)本身不能讓系統(tǒng)安全。

　　·如果您使用windows 2000和windows xp也可以使用相似的安全配置和分析工具提升系統(tǒng)安全性能。

　　windows 2003系統(tǒng)提供的“安全配置和分析”管理工具可以幫助我們實現(xiàn)這個目標，它的主要作用是對本地系統(tǒng)的安全性進行分析和配置。“安全配置和分析”管理工具可以根據(jù)系統(tǒng)提供的不同級別的安全模板對當(dāng)前系統(tǒng)的安全設(shè)置進行分析，在分析結(jié)果中，以可視化的標記或注釋突出顯示當(dāng)前的設(shè)置與系統(tǒng)建議的安全級別不匹配的區(qū)域，從而找出系統(tǒng)安全的薄弱環(huán)節(jié)，同時這個工具為我們提供了快速對系統(tǒng)進行安全配置的途徑，用戶只需要選擇相應(yīng)的安全模板，剩下的事情由“安全配置和分析”管理工具自動為您完成，從而輕松地掌控系統(tǒng)的安全。