对于Windows 2003系统管理员来说,最关心的事情莫过于Windows 2003系统的安全了。为了提高系统的安全程度,我们可能对系统进行了多方面的安全设置,但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平,对于这些,我们需要有一个整体的了解和掌握。
一、安全配置和分析以及安全模板的基础知识
1. 安全配置和分析
安全配置和分析概述“安全配置和分析”是分析和配置本地系统安全性的一个工具。包括:
·安全分析
计算机上的操作系统和应用程序的状态是动态的。例如,为了能立刻解决管理或网络问题,您可能需要临时性地更改安全级别。然而,经常无法恢复这种更改。这意味着计算机不能再满足企业安全的要求。常规分析作为企业风险管理程序的一部分,允许管理员跟踪并确保在每台计算机上有足够高的安全级别。管理员可以调整安全级别,最重要的是,检测在系统长期运行过程中出现的任何安全故障。“安全配置和分析”使您能够快速查阅安全分析结果。在当前系统设置的旁边提出建议,用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。“安全配置和分析”也提供了解决分析显示的任何矛盾的功能。
·安全配置
“安全配置和分析”还可以用于直接配置本地系统的安全性。利用个人数据库,可以导入由“安全模板”创建的安全模板,并将这些模板应用于本地计算机。这将立即使用模板中指定的级别配置系统安全性。
2、安全模板
安全模板使用 Microsoft 管理控制台的安全模板管理单元,您可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。安全模板管理单元并不引入新的安全参数,它只是将所有的现有安全属性组织在一起以便于安全管理。将安全模板导入到“组策略”对象中可以通过立即配置域或部门的安全性来简化域管理。要将安全模板应用于本地计算机,可以使用“安全配置和分析”或 Secedit 命令行工具。
安全模板可用于定义以下内容:
·帐户策略
·密码策略
·帐户锁定策略
·Kerberos 策略
·本地策略
·审核策略
·用户权限分配
·安全选项
·事件日志:应用程序、系统和安全的事件日志设置
·受限制的组:安全敏感组的成员资格
·系统服务:系统服务的启动和权限
·注册表:注册表项的权限
·文件系统:文件夹和文件的权限
将每个模板都另存为基于文本的 .inf 文件。这允许您复制、粘贴、导入或导出某些或所有模板属性。在安全模板中可以包含除“Internet 协议”安全和公用密钥策略之外的所有安全属性。