對于Windows 2003系統管理員來說，最關心的事情莫過于Windows 2003系統的安全了。為了提高系統的安全程度，我們可能對系統進行了多方面的安全設置，但是這些安全設置是否能夠全面提升系統的安全級別、系統是否還存在著一些不安全的因素、系統的總體安全等級處于什么水平，對于這些，我們需要有一個整體的了解和掌握。

　　一、安全配置和分析以及安全模板的基礎知識

　　1. 安全配置和分析

　　安全配置和分析概述“安全配置和分析”是分析和配置本地系統安全性的一個工具。包括:

　　·安全分析

　　計算機上的操作系統和應用程序的狀態是動態的。例如，為了能立刻解決管理或網絡問題，您可能需要臨時性地更改安全級別。然而，經常無法恢復這種更改。這意味著計算機不能再滿足企業安全的要求。常規分析作為企業風險管理程序的一部分，允許管理員跟蹤并確保在每臺計算機上有足夠高的安全級別。管理員可以調整安全級別，最重要的是，檢測在系統長期運行過程中出現的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結果。在當前系統設置的旁邊提出建議，用可視化的標記或注釋突出顯示當前設置與建議的安全級別不匹配的區域。“安全配置和分析”也提供了解決分析顯示的任何矛盾的功能。

　　·安全配置

　　“安全配置和分析”還可以用于直接配置本地系統的安全性。利用個人數據庫，可以導入由“安全模板”創建的安全模板，并將這些模板應用于本地計算機。這將立即使用模板中指定的級別配置系統安全性。

　　2、安全模板

　　安全模板使用 Microsoft 管理控制臺的安全模板管理單元，您可以創建計算機或網絡的安全策略。它是考慮整個系統范圍內安全的單點入口點。安全模板管理單元并不引入新的安全參數，它只是將所有的現有安全屬性組織在一起以便于安全管理。將安全模板導入到“組策略”對象中可以通過立即配置域或部門的安全性來簡化域管理。要將安全模板應用于本地計算機，可以使用“安全配置和分析”或 Secedit 命令行工具。

　　安全模板可用于定義以下內容:

　　·帳戶策略

　　·密碼策略

　　·帳戶鎖定策略

　　·Kerberos 策略

　　·本地策略

　　·審核策略

　　·用戶權限分配

　　·安全選項

　　·事件日志:應用程序、系統和安全的事件日志設置

　　·受限制的組:安全敏感組的成員資格

　　·系統服務:系統服務的啟動和權限

　　·注冊表:注冊表項的權限

　　·文件系統:文件夾和文件的權限

　　將每個模板都另存為基于文本的 .inf 文件。這允許您復制、粘貼、導入或導出某些或所有模板屬性。在安全模板中可以包含除“Internet 協議”安全和公用密鑰策略之外的所有安全屬性。

3、配置本地計算機安全有兩種方法

　　配置本地計算機安全有兩種方法使用命令行和Windows 圖形界面。這里主要介紹前者。Windows命令行最大的一個特點就是對網絡管理的便宜性，管理員只需在命令行窗口輸入幾個命令，就可以完成諸多繁雜的操作，達到預期的目的。而且可以通過一些命令工具判斷網絡內部的物理故障以及網絡安全問題，實現網絡管理的自動化和批量化。

　　Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行，雖然提供的都是黑白分明的字符界面，但其本質還是有所區別的。原因在于Windows NT/2000/XP/2003 已經徹底脫離了DOS 的桎梏，DOS 只是作為操作系統所提供的虛擬機而存在，換句說，命令行已經不再是基礎，而成為了一種工具。然而，我們卻不能因此而小覷了這些貌似簡單的命令行工具。原因很簡單，命令行仍然是我們解決棘手的問題的首先。

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要參數:

　　/db FileName :指定用于執行此次分析的數據庫。

　　/cfg FileName :指定在執行分析前要導入到數據庫中的安全模板。安全模板是使用安全模板管理單元創建的。

　　/log FileName :指定一個文件，用于記錄配置過程所處的狀態。如果未指定，配置數據將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。

　　/quiet :指定在執行分析過程時不作更多參與。

　　/log logpath : 指定一個文件，該文件用于記錄配置過程所處的狀態。如未指定，配置數據將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。

　　/quiet :指定應該在不提示用戶的情況下進行配置。

　　使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務計劃程序的命令提示符下調用 Secedit.exe 工具，可以自動創建和應用模板，以及分析系統的安全性。也可以從命令提示符下動態運行該命令。當必須分析或配置多臺計算機的安全性，并且需要在非工作時間執行任務時，Secedit.exe 很有用。要查看該命令的完整語法，請在命令提示符下輸入:secedit /?  。

　　

用安全配置和分析工具提升Windows 2003系統安全

圖1 secedit命令的完整語法

　　下面簡單介紹以下子命令:

　　l secedit /analyze :可通過將其與數據庫中的基本設置相比較，分析一臺計算機上的安全設置。

　　l secedit /configure :通過應用存儲在數據庫中的設置配置本地計算機的安全性設置。

　　l secedit /export :可將存儲在數據庫中的安全性設置導出。

　　l secedit /import :可將安全性模板導入到數據庫以便模板中指定的設置可應用到系統或作為分析系統的依據。

　　l secedit /validate :驗證要導入到分析數據庫或系統應用程序的安全模板的語法。

　　l secedit /GenerateRollback: 可根據配置模板生成一個回滾模板。在將配置模板應用到計算機上時，可以選擇創建回滾模板，該模板在應用時會將安全性設置重置為應用配置模板前的值。

默認情況下幾個安全模板文件如下:

　　·默認安全設置 模板(Setup security.inf)

　　Setup security.inf 模板是在安裝期間針對每臺計算機創建的。取決于所進行的安裝是完整安裝還是升級，該模板在不同的計算機中可能不同。Setup security.inf 代表了在安裝操作系統期間所應用的默認安全設置，其中包括對系統驅動器的根目錄的文件權限。它可以用在服務器或客戶端計算機上，但不能應用于域控制器。此模板的某些部分可應用于故障恢復。請不要通過使用“組策略”來應用 Setup security.inf。此模板含有大量數據，如果通過組策略來應用它，可能會嚴重降低性能(因為策略是定期刷新的，這樣做將導致在域中移動大量數據)。因此，建議在局部應用 Setup security.inf 模板。由于 Secedit 命令行工具支持該功能，因此建議使用該工具。

　　·域控制器默認安全設置模板 (DC security.inf)

　　該模板是在服務器被升級為域控制器時創建的。它反映了文件、注冊表以及系統服務的默認安全設置。重新應用它后，上述范圍的安全設置將被重新設置為默認值。它可能覆蓋由其他應用程序創建的新文件、注冊表和系統服務的權限。使用“安全配置和分析”管理單元或 Secedit 命令行工具可以應用它。

　　·兼容模板 (compatws.inf)

　　工作站和服務器的默認權限主要授予三個本地組:Administrators、Power User。

關鍵字：server、系統安全、服務器、安全策略