云南龙网

  1. 首页 > 云知道 > >

用安全模板加强Windows的安全( 三 )

云知道



在控制台根节点下面有一个安全模板的图标——一台加上了锁的计算机,如图一 。扩展该标记,子节点显示出了当前系统安全模板的路径 。一般情况下,安全模板位于%systemroot%目录的security emplates文件夹 。扩展该路径节点,可以看到一组预制的安全模板;依赖于操作系统的版本和已安装的Service Pack数量,预制安全模板的数量也可能不同 。


图一 例如,XP系统中有一个名为Setup Security的模板,该模板将注册表和NTFS授权、用户权限、系统服务的状态恢复到安装时的默认设置 。如果你在不断试验安全选项的过程中搞乱了各种设置,Setup Security模板可以将所有选项快速恢复到默认状态(当然,如果你想保留某些更改后的安全设置,部署Setup Security模板后这些设置就丢失了) 。Win2K系统也有与Setup Security同样的模板,针对工作站、成员服务器、域控制器,模板也有三个版本,分别是: basicws.inf、basicsv.inf和basicdc.inf 。其他预制模板将系统的安全调整到不同的级别 。Securedc.inf(适用于域控制器)和securews.inf(适用于成员服务器和工作站)提供较低层次的安全,hisecdc.inf和hisecws.inf模板则提升系统的安全级别——必须指出的是,虽然“提升安全级别”听起来很不错,但在部署hisecdc.inf和hisecws.inf模板之前务必三思而后行,其中一些配置会给XP与Win 2K系统的使用带来麻烦,特别是在Win 2K和XP系统与NT 4.0、Win 9x系统通信方面 。如果部署了高安全级别的模板后发现这些模板并不适用,你可以重新部署basic*.inf或Setup Security模板将系统恢复到默认设置 。预制的安全模板中还有一个compatws.inf模板,它的作用是将系统的NTFS和ACL设置成安全层次较低的NT 4.0设置;在Win XP和2K上,某些早期的应用程序需要部署compatws.inf模板之后才能顺利运行 。
点击任意一个安全模板,右边的窗格显示出可以利用该安全模板控制的安全选项类别:
⑴ 帐户策略:控制密码策略、锁定策略、Kerberos策略 。⑵ 本地策略:控制审核策略、用户权利指派、安全选项 。⑶ 事件日志:控制事件日志设置和NT的事件查看器的行为 。⑷ 受限制的组:控制哪些用户能够或者不能够进入各种本地组 。⑸ 系统服务:启动、关闭各种系统服务,控制哪些用户有权修改系统服务的启动方式 。⑹ 注册表:控制修改或查看各个注册键的权限,启用注册键的修改审核功能 。⑺ 文件系统:控制文件夹、文件的NTFS授权 。2.创建模板 基本知识已经了解得差不多了,下面就让我们从头开始构建一个模板 。右击模板的路径(图一是d:windowssecurity emplates,你的Windows可能有所不同),然后选择菜单“新加模板”,输入模板的名称,假设是Simple 。新的模板将在左边窗格中作为一个节点列出,位于预制的模板之下 。下面,作为一个试验,让我们限制Administrators组、设置F:adminstuff的ACL、关闭Indexing服务 。所有这些设置都可以在Simple节点下完成 。首先,我们要设置一下Administrator组,只允许本地的Administrator帐户和域的Domain Admins组加入Administrators组 。扩展左边窗格中的Simple节点,选中“受限制的组” 。如果操作系统是XP,右边窗格会显示出“此视图中没有可显示的项目”;如果是Win 2K,右边窗格保持空白 。现在右击“受限制的组”节点,选择菜单“添加组”,在新出现的对话框中,点击“浏览”并找到本地工作站或成员服务器的Administrators组 。注意,这里我们要加入的是本地的Administrators组,而不是加入域的组;如果你用域的帐户登录工作站,“浏览”对话框将假定你想要从域加入组(而不是假定你要从工作站或成员服务器的本地SAM加入组) 。返回“添加成员”对话框后,点击“确定” 。如果你使用的是XP,可以看到一个“Administrators属性”对话框;如果是Win 2K,必须右击右边窗格中的Administrators然后选择“安全”才能打开类似的对话框,但Win 2K对话框的标题是“为Administrators配置成员” 。

推荐阅读


上一篇:火车候补票是什么意思

下一篇:杞人忧天的意思和翻译 杞人忧天的意思及翻译