教你如何用安全模板加強Windows的安全

　　Windows NT家族的操作系統(tǒng)——Windows XP、Windows 2000、NT 4.0和NT 3.x一直以缺乏安全性飽受爭議。但實際上，這些操作系統(tǒng)（包括Novell Netware和各種UNIX變種）都具有相當好的安全性，它們都裝備了數(shù)以千計的“鎖”——這是一些操作系統(tǒng)用來確保安全性的部件，能夠讓我們作出只允許用戶A可以在對象B上實施動作C之類的規(guī)定。

　　NT和Netware之間的區(qū)別在于，雖然兩種操作系統(tǒng)都提供了這類鎖，但一個新裝的Netware系統(tǒng)中這些鎖默認是鎖上的，管理員根據(jù)需要有選擇地打開某些鎖；而在一個新裝的N T操作系統(tǒng)中，大部分的鎖默認處于打開狀態(tài)，管理員的任務(wù)是關(guān)閉某些可能引起安全隱患的鎖。（Windows Server 2003的情況有所不同，它的設(shè)計改用了Netware策略。相比之下，Win 2K默認鎖上的選項要多于NT 4.0，而新裝的XP又比Win 2K Pro有更多的安全限制。）

　　對于NT系列平臺的管理員來說，這些鎖帶來的是一個兩難的局面：從理論上看，它們確實提供了保障服務(wù)器和工作站安全的機制；但實際操作起來卻要耗費大量的時間。XP是一個優(yōu)秀的操作系統(tǒng)，但如果要我們檢查每一臺機器，依次調(diào)整數(shù)十種授權(quán)和權(quán)限選項來保證系統(tǒng)的安全，很多人會把XP或其他NT系列的操作系統(tǒng)看成代價昂貴和浪費時間的代名詞。我們需要一種快速配置安全選項的辦法，它能夠根據(jù)要求自動批量設(shè)定所有與安全有關(guān)的配置。

　　這種辦法確實存在，它就是安全模板。安全模板是一種ASCII文本文件，它定義了本地權(quán)限、安全配置、本地組成員、服務(wù)、文件和目錄授權(quán)、注冊表授權(quán)等方面的信息。創(chuàng)建好安全模板之后，我們只要一個命令就可以將它定義的信息應(yīng)用/部署到系統(tǒng)，所有它定義的安全配置都立即生效——原本需要數(shù)小時修補注冊表、倒騰管理控制臺“計算機管理”單元以及其他管理工具才能完成的工作，現(xiàn)在只需數(shù)秒就可以搞定。

　　安全模板并非Windows Server 2003或XP獨創(chuàng)的功能，第一次提出這個概念的是NT 4.0 SP 4。安全模板是每一個管理員都必須了解的重要工具。安全模板不會讓你修改不能通過其他方式修改的安全選項，它只是提供了一種快速批量修改安全選項的辦法。凡是可以利用安全模板設(shè)置的安全選項，同樣可以使用Windows的GUI工具手工修改，但后者耗費的時間肯定多得多。

　　一、安全模板可以批量修改的五類和安全有關(guān)的設(shè)置

　　1．管理組

　　模板能夠調(diào)整本地的組成員。如果你的用戶使用的是NT系列的桌面系統(tǒng)，或許你也在為這樣的問題煩惱：授予用戶哪些控制桌面系統(tǒng)的權(quán)限才合適？有的公司讓每一位用戶都擁有本地管理員權(quán)限，有些則授予Power Users權(quán)限，還有的只授予Users權(quán)限。

　　如果限制了用戶對自己桌面系統(tǒng)的管理權(quán)限，可以肯定的是，某些時候你不得不放寬限制，至少是臨時性地放寬。例如，假設(shè)設(shè)置一個工作站時只允許本地的Administrator帳戶成為本地Administrators組的成員，后來有一個維護人員為了方便“臨時”地將普通用戶帳戶提升為Administrators組的成員，本來他打算稍后恢復(fù)原來的設(shè)置，但后來卻忘記了。如果我們定義了一個“只有Administrator才能加入本地Administrators組”的安全模板，只要重新應(yīng)用一下這個模板就可以防止其他用戶進入Administrators組。

　　當然，模板不是隨時jian視安全設(shè)置選項確實已被采納的守護神，確保安全設(shè)置策略已被執(zhí)行的最好辦法是定期重新應(yīng)用整個模板，或者創(chuàng)建一個組策略來應(yīng)用模板（組策略大約每隔90分鐘重新應(yīng)用自己的設(shè)置信息）。凡是安全模板能夠做到的事情，組策略同樣都能夠做到，但如果使用組策略的話就要有一個Active Directory（AD）域，而模板卻沒有這方面的要求。

　　2．調(diào)整NTFS權(quán)限

　　安全模板能夠調(diào)整NTFS權(quán)限。例如，假設(shè)我們想要授予C:Stuff目錄System/完全控制和Aministrators/完全控制的NTFS權(quán)限，但禁止任何其他用戶訪問，模板可以方便地設(shè)定這些授權(quán)和限制。

　　另外，由于模板可以應(yīng)用到多臺機器（倘若使用組策略的話），我們可以將同樣的NTFS授權(quán)應(yīng)用到整個域。如果你和大多數(shù)NT管理員一樣，那么也一定對NT默認的目錄權(quán)限（Everyone/完全控制）大為不滿，并決定加強ACL設(shè)置。但是，這個過程很容易出錯，以至于把ACL調(diào)整到?jīng)]有一個人能夠正常使用機器的地步。因此最好先做一些試驗，找出適當?shù)钠胶恻c，然后將平衡點的權(quán)限配置用模板表達出來，再將模板應(yīng)用到所有的系統(tǒng)。

　　3．啟用和禁用服務(wù)

　　模板可以啟用或關(guān)閉服務(wù)，控制誰有權(quán)啟動或關(guān)閉服務(wù)。你想要關(guān)閉大部分機器的IIS服務(wù)，只留下個別服務(wù)器運行IIS嗎？這可不是一件輕松的工作，因為默認情況下，Win 2K和NT 4.0會把IIS安裝到所有服務(wù)器上（可喜的是，Windows Server 2003改正了這一做法。）除了IIS，你可能還希望禁止許多其他不必要的服務(wù)，可能還想對Server、Computer Browser、Index、Wireless Zero Configuration之類的服務(wù)痛下殺手，但是，到每一臺機器上逐個禁用這些服務(wù)實在太麻煩了，好在模板能夠幫助我們迅速完成這些工作。

　　安全模板允許我們停止（針對服務(wù)運行的狀態(tài)）以及禁用（針對服務(wù)的啟動方式）服務(wù)。當你開始了解模板時，會驚奇地發(fā)現(xiàn)模板允許我們控制哪些人有權(quán)開啟和關(guān)閉服務(wù)——了解Windows服務(wù)的ACL的人可能不是很多，但模板卻提供了調(diào)整這些ACL的途徑。例如，如果你想讓Mary有權(quán)開啟和關(guān)閉Server服務(wù)，卻又不想讓Mary成為管理員，現(xiàn)在可以通過模板來設(shè)置。

　　4．調(diào)整注冊表授權(quán)

　　安全模板允許我們調(diào)整注冊表的授權(quán)。注冊表包含了大量只能讀取、不能修改的信息。例如，假設(shè)有一個NT 4.0的工作站安裝了，現(xiàn)在把它升級到了Win 2K，但卻發(fā)現(xiàn)用戶需要本地管理員權(quán)限才能運行。注冊表中究竟發(fā)生了什么事情才導(dǎo)致如此怪異的現(xiàn)象？

　　注重細節(jié)的應(yīng)用程序會在兩個注冊鍵下面保存其配置信息：HKEY_LOCAL_MACHINESOFTWARE和HKEY_CURRENT_USERSoftware。具有管理員權(quán)限的用戶負責(zé)初始的安裝以及大部分的配置，這些配置信息保存在HKEY_LOCAL_MACHINESOFTWARE注冊鍵下。但是，每一個用戶又必須根據(jù)自己的需要和愛好調(diào)整應(yīng)用程序，應(yīng)用程序需要一個適當?shù)奈恢脕肀４孢@部分配置信息。如果應(yīng)用程序把所有的配置信息都保存在HKEY_LOCAL_MACHINESOFTWARE，普通用戶每次要修改配置時都要找管理員才行。

　　正是考慮到該問題，注重細節(jié)的應(yīng)用程序會把非關(guān)鍵性的配置選項（用戶個人的配置選項）保存在HKEY_CURRENT_USERSoftware注冊鍵下，所以我們應(yīng)該讓用戶擁有對該注冊鍵的寫入權(quán)限。也就是說，如果用戶沒有管理員權(quán)限，那么他至少要有HKEY_LOCAL_MACHINESOFTWARE注冊鍵的讀取權(quán)限、HKEY_CURRENT_USERSoftware注冊鍵的讀取和寫入權(quán)限。

　　遺憾的是，許多軟件廠商還沒有重視HKEY_LOCAL_MACHINESOFTWARE、HKEY_CURRENT_USERSoftware這兩個注冊鍵的區(qū)別，而是把所有配置信息都保存到了HKEY_LOCAL_MACHINESOFTWARE注冊鍵下。在NT 4.0下，這種處置辦法不會引起問題，因為NT 4.0默認允許所有用戶寫入HKEY_LOCAL_MACHINE，由于NT 4.0控制HKEY_LOCAL_MACHINE的ACL非常寬松，所以即使普通用戶也不會遇到問題。但在Win 2K中，注冊表ACL的默認配置已經(jīng)變化，非管理員的用戶只有讀取HKEY_LOCAL_MACHINE的權(quán)限，所以用戶必須以本地管理員身份登錄才能正常運行。

　　如何解決這類問題呢？獲取一份應(yīng)用軟件的新版本，或者將XP、Win2K的注冊表ACL放寬到NT 4.0的程序。如果采用后面的解決辦法，我們既可以用注冊表編輯器（對于XP或Windows Server 2003，使用Regedit，對于Win2K，使用Regedt32）手工執(zhí)行修改，也可以用模板來調(diào)整注冊表的授權(quán)。

　　其實，我們根本不必自己創(chuàng)建修改注冊表授權(quán)的模板，微軟已經(jīng)提供了一個：winntsecurity emplatescompatws.inf。微軟提供的另一個模板winntsecurity emplatesasicws.inf能夠把注冊表授權(quán)恢復(fù)到Win 2K的默認狀態(tài)。

　　5．控制本地安全策略設(shè)置

　　安全模板能夠控制本地安全策略設(shè)置。每一臺機器都有許多本地安全策略設(shè)置，例如是否顯示出最后登錄系統(tǒng)的用戶名稱、多長時間修改本地帳戶的密碼，等等。在NT 4.0中，這些設(shè)置通過用戶管理器的本地版本（lusrmgr.exe）修改；在Win 2K中，修改工具是本地安全策略管理單元secpol.msc。

　　手工修改這類設(shè)置的步驟是：從控制面板的管理工具中啟動“本地安全策略”，或者點擊“開始”→“運行”，輸入secpol.msc，點擊“確定”啟動本地安全策略管理器。本地安全策略管理器可以用來關(guān)閉或啟動系統(tǒng)審核功能、調(diào)整密碼管理策略、授予或者收回用戶操作XP和Win2K的許多權(quán)限、控制IP安全（IPSec）。實際上，“本地安全策略”管理器可能是Windows默認提供的唯一控制IPSec的工具。

　　以上就是安全模板能夠調(diào)整的五個方面，所有這些安全選項的調(diào)整都只要一個安全模板文件就可以完成。

　　二、如何創(chuàng)建安全模板

　　下面我們從實踐應(yīng)用的角度介紹模板的應(yīng)用，示范如何為工作站或成員服務(wù)器創(chuàng)建一個模板，這個模板主要包括三方面的功能：首先，該安全模板能夠控制組的成員，即限制本地的Administrators組只能由本地Administrator帳戶和域的Domain Admins組加入；第二，該模板將設(shè)置F:adminstuff目錄的NTFS權(quán)限，只允許本地的Administrators組訪問；最后，該模板將禁止Indexing服務(wù)。

　　1．設(shè)置工具

　　我們知道，安全模板其實就是文本文件，因此從理論上講，我們可以用記事本來創(chuàng)建安全模板。不過事實上，用記事本創(chuàng)建安全模板的工作量相當大，如果改用微軟管理控制臺的安全模板管理單元就要方便多了。Windows XP和2K都帶有該工具。

　　首先打開一個空的MMC控制臺。點擊“開始”→“運行”，輸入“mmc /a”，按Enter鍵打開一個空白的MMC控制臺。

　　在該控制臺中，點擊“文件”（對于Win2K，點擊“控制臺”）→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框，點擊“添加”打開“添加獨立管理單元”對話框，在管理單元清單中選擇“安全模板”，依次點擊“添加”、“關(guān)閉”、“確定”。接下來就可以開始設(shè)置安全模板了。

　　在控制臺根節(jié)點下面有一個安全模板的圖標——一臺加上了鎖的計算機，如圖一。擴展該標記，子節(jié)點顯示出了當前系統(tǒng)安全模板的路徑。一般情況下，安全模板位于%systemroot%目錄的security emplates文件夾。擴展該路徑節(jié)點，可以看到一組預(yù)制的安全模板；依賴于操作系統(tǒng)的版本和已安裝的Service Pack數(shù)量，預(yù)制安全模板的數(shù)量也可能不同。

　　<IMG src="patws.inf模板，它的作用是將系統(tǒng)的NTFS和ACL設(shè)置成安全層次較低的NT 4.0設(shè)置；在Win XP和2K上，某些早期的應(yīng)用程序需要部署compatws.inf模板之后才能順利運行。

　　點擊任意一個安全模板，右邊的窗格顯示出可以利用該安全模板控制的安全選項類別：

　�、� 帳戶策略：控制密碼策略、鎖定策略、Kerberos策略。

　�、� 本地策略：控制審核策略、用戶權(quán)利指派、安全選項。

　　⑶ 事件日志：控制事件日志設(shè)置和NT的事件查看器的行為。

　　⑷ 受限制的組：控制哪些用戶能夠或者不能夠進入各種本地組。

　　⑸ 系統(tǒng)服務(wù)：啟動、關(guān)閉各種系統(tǒng)服務(wù)，控制哪些用戶有權(quán)修改系統(tǒng)服務(wù)的啟動方式。

　　⑹ 注冊表：控制修改或查看各個注冊鍵的權(quán)限，啟用注冊鍵的修改審核功能。

　�、� 文件系統(tǒng)：控制文件夾、文件的NTFS授權(quán)。

　　2．創(chuàng)建模板

　　基本知識已經(jīng)了解得差不多了，下面就讓我們從頭開始構(gòu)建一個模板。右擊模板的路徑（圖一是d:windowssecurity emplates，你的Windows可能有所不同），然后選擇菜單“新加模板”，輸入模板的名稱，假設(shè)是Simple。新的模板將在左邊窗格中作為一個節(jié)點列出，位于預(yù)制的模板之下。下面，作為一個試驗，讓我們限制Administrators組、設(shè)置F:adminstuff的ACL、關(guān)閉Indexing服務(wù)。所有這些設(shè)置都可以在Simple節(jié)點下完成。

　　首先，我們要設(shè)置一下Administrator組，只允許本地的Administrator帳戶和域的Domain Admins組加入Administrators組。擴展左邊窗格中的Simple節(jié)點，選中“受限制的組”。如果操作系統(tǒng)是XP，右邊窗格會顯示出“此視圖中沒有可顯示的項目”；如果是Win 2K，右邊窗格保持空白。現(xiàn)在右擊“受限制的組”節(jié)點，選擇菜單“添加組”，在新出現(xiàn)的對話框中，點擊“瀏覽”并找到本地工作站或成員服務(wù)器的Administrators組。注意，這里我們要加入的是本地的Administrators組，而不是加入域的組；如果你用域的帳戶登錄工作站，“瀏覽”對話框?qū)⒓俣�你想要從域加入組（而不是假定你要從工作站或成員服務(wù)器的本地SAM加入組）。返回“添加成員”對話框后，點擊“確定”。如果你使用的是XP，可以看到一個“Administrators屬性”對話框；如果是Win 2K，必須右擊右邊窗格中的Administrators然后選擇“安全”才能打開類似的對話框，但Win 2K對話框的標題是“為Administrators配置成員”。

　　在這個對話框中，窗口上方有一個“這個組的成員”清單，窗口的下方有一個“這個組隸屬于”清單。點擊上面清單旁邊的“添加”按鈕打開“添加成員”對話框。

　　如果是Win 2K，點擊“瀏覽”按鈕并選擇域的Domain Admins組；如果是XP，點擊“瀏覽”按鈕打開的是一個“選擇用戶”對話框，但Domain Admins不會出現(xiàn)在列表中，你必須首先點擊“對象類型”，選擇“組”，點擊“確定”返回“選擇用戶”對話框，選擇（或者輸入）Domain Admins。按照同樣的步驟加入Administrator帳戶。

　　接下來我們設(shè)置模板的第二部分，使得任何擁有F:adminstuff文件夾的系統(tǒng)把該文件夾設(shè)置成只允許本地管理員訪問。在左邊窗格中，右擊“文件系統(tǒng)”，選擇“添加文件”，在“添加文件或文件夾”對話框中找到或者輸入f:adminstuff目錄。

　　點擊“確定”，出現(xiàn)一個標準的NTFS權(quán)限設(shè)置對話框。現(xiàn)在刪除所有默認提供的授權(quán)規(guī)則，加入對本地Administrators組的“完全控制”授權(quán)。注意NTFS安全設(shè)置對話框里還可以調(diào)整高級NTFS選項，例如設(shè)置審核功能、所有者權(quán)限等。點擊“確定”，系統(tǒng)會詢問是否把權(quán)限設(shè)置傳播給所有子文件夾和文件，根據(jù)需要選擇一個選項，點擊“確定”。

　　自CodeRed和Nimda肆虐以來，Indexing服務(wù)就引起了人們擔(dān)憂，在不必使用該服務(wù)的系統(tǒng)上，最好的選擇就是將它關(guān)閉。在控制臺左邊的窗格中，點擊“系統(tǒng)服務(wù)”，在右邊窗格中右擊Indexing服務(wù)，選擇“屬性”（對于XP）或者“安全”（對于Win 2K）。在“Indexing Service屬性”對話框中，選中“在模板中定義這個策略設(shè)置”，這時系統(tǒng)顯示出“安全設(shè)置 Indexing Service”對話框，現(xiàn)在我們不需要設(shè)置該對話框的選項，因此點擊“取消”返回圖四的對話框。在對話框中選擇“已停用”，然后點擊“確定”。

　　右擊控制臺左邊窗格中的Simple模板，選擇“保存”�，F(xiàn)在winntsecurity emplates或windowssecurity emplates目錄下有了一個Simple.inf文件。

　　激活安全模板的命令是Secedit，命令語法為：secedit /configure /cfg/db/overwrite /log。其中templatefilename是模板文本文件的名稱（本例是D:windowssecurity emplatessimple.inf），databasefilename是安全數(shù)據(jù)庫文件的名稱。

　　安全模板有點象程序的源代碼：人可以閱讀，但計算機不能直接識別，就象程序的源代碼必須編譯成二進制執(zhí)行文件一樣，安全模板也必須轉(zhuǎn)換成二進制格式的安全數(shù)據(jù)庫。Secedit既能夠編譯模板文件，也能夠部署二進制的安全數(shù)據(jù)庫，但我們必須為安全數(shù)據(jù)庫指定路徑和文件名稱，例如C:securitysimple.db。

　　最后，Secedit還要報告處理經(jīng)過和結(jié)果，我們要指定一個日志文件的名稱，例如C:securitysimple.log。/overwrite選項告訴Secedit覆蓋任何同名文件。因此，本例中完整的Secedit命令應(yīng)該是：secedit /configure /cfg D:windowssecurity emplates simple.inf /db C:securitysimple.db /overwrite /log C:securitysimple.log。這個命令有點長，但顯然要比到每一臺機器上手工修改各個安全選項方便多了。你不妨試著編輯和部署幾個模板，相信這個強大的工具一定會讓你愛不釋手。

【教你如何用安全加強Windows的安全】相關(guān)文章：

如何關(guān)閉windows安全警報06-04

怎么關(guān)閉windows安全警報06-04

Windows系統(tǒng)的安全策略03-09

如何關(guān)閉Windows安全中心04-08

教你如何用中藥正確泡茶05-31

Windows安全模式下如何殺毒03-17

關(guān)閉Windows的安全報警程序方法03-21

Windows安全模式的功能和作用03-10

教你如何用烤箱做披薩04-05

教你如何用ipad連接電腦06-03