對于Windows 2003系統管理員來說，最關心的事情莫過于Windows 2003系統的安全了。為了提高系統的安全程度，我們可能對系統進行了多方面的安全設置，但是這些安全設置是否能夠全面提升系統的安全級別、系統是否還存在著一些不安全的因素、系統的總體安全等級處于什么水平，對于這些，我們需要有一個整體的了解和掌握。

　　一、安全配置和分析以及安全模板的基礎知識

　　1. 安全配置和分析

　　安全配置和分析概述“安全配置和分析”是分析和配置本地系統安全性的一個工具。包括:

　　·安全分析

　　計算機上的操作系統和應用程序的狀態是動態的。例如，為了能立刻解決管理或網絡問題，您可能需要臨時性地更改安全級別。然而，經常無法恢復這種更改。這意味著計算機不能再滿足企業安全的要求。常規分析作為企業風險管理程序的一部分，允許管理員跟蹤并確保在每臺計算機上有足夠高的安全級別。管理員可以調整安全級別，最重要的是，檢測在系統長期運行過程中出現的任何安全故障�！鞍踩�配置和分析”使您能夠快速查閱安全分析結果。在當前系統設置的旁邊提出建議，用可視化的標記或注釋突出顯示當前設置與建議的安全級別不匹配的區域�！鞍踩�配置和分析”也提供了解決分析顯示的任何矛盾的功能。

　　·安全配置

　　“安全配置和分析”還可以用于直接配置本地系統的安全性。利用個人數據庫，可以導入由“安全模板”創建的安全模板，并將這些模板應用于本地計算機。這將立即使用模板中指定的級別配置系統安全性。

　　2、安全模板

　　安全模板使用 Microsoft 管理控制臺的安全模板管理單元，您可以創建計算機或網絡的安全策略。它是考慮整個系統范圍內安全的單點入口點。安全模板管理單元并不引入新的安全參數，它只是將所有的現有安全屬性組織在一起以便于安全管理。將安全模板導入到“組策略”對象中可以通過立即配置域或部門的安全性來簡化域管理。要將安全模板應用于本地計算機，可以使用“安全配置和分析”或 Secedit 命令行工具。

　　安全模板可用于定義以下內容:

　　·帳戶策略

　　·密碼策略

　　·帳戶鎖定策略

　　·Kerberos 策略

　　·本地策略

　　·審核策略

　　·用戶權限分配

　　·安全選項

　　·事件日志:應用程序、系統和安全的事件日志設置

　　·受限制的組:安全敏感組的成員資格

　　·系統服務:系統服務的啟動和權限

　　·注冊表:注冊表項的權限

　　·文件系統:文件夾和文件的權限

　　將每個模板都另存為基于文本的 .inf 文件。這允許您復制、粘貼、導入或導出某些或所有模板屬性。在安全模板中可以包含除“Internet 協議”安全和公用密鑰策略之外的所有安全屬性

3、配置本地計算機安全有兩種方法

　　配置本地計算機安全有兩種方法使用命令行和Windows 圖形界面。這里主要介紹前者。Windows命令行最大的一個特點就是對網絡管理的便宜性，管理員只需在命令行窗口輸入幾個命令，就可以完成諸多繁雜的操作，達到預期的目的。而且可以通過一些命令工具判斷網絡內部的物理故障以及網絡安全問題，實現網絡管理的自動化和批量化。

　　Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行，雖然提供的都是黑白分明的字符界面，但其本質還是有所區別的。原因在于Windows NT/2000/XP/2003 已經徹底脫離了DOS 的桎梏，DOS 只是作為操作系統所提供的虛擬機而存在，換句說，命令行已經不再是基礎，而成為了一種工具。然而，我們卻不能因此而小覷了這些貌似簡單的命令行工具。原因很簡單，命令行仍然是我們解決棘手的問題的首先。

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要參數:

　　/db FileName :指定用于執行此次分析的數據庫。

　　/cfg FileName :指定在執行分析前要導入到數據庫中的安全模板。安全模板是使用安全模板管理單元創建的。

　　/log FileName :指定一個文件，用于記錄配置過程所處的狀態。如果未指定，配置數據將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。

　　/quiet :指定在執行分析過程時不作更多參與。

　　/log logpath : 指定一個文件，該文件用于記錄配置過程所處的狀態。如未指定，配置數據將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。

　　/quiet :指定應該在不提示用戶的情況下進行配置。

　　使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務計劃程序的命令提示符下調用 Secedit.exe 工具，可以自動創建和應用模板，以及分析系統的安全性。也可以從命令提示符下動態運行該命令。當必須分析或配置多臺計算機

【 頂部 】 【 關閉 】