對于Windows 2003系統(tǒng)管理員來說，最關(guān)心的事情莫過于Windows 2003系統(tǒng)的安全了。為了提高系統(tǒng)的安全程度，我們可能對系統(tǒng)進(jìn)行了多方面的安全設(shè)置，但是這些安全設(shè)置是否能夠全面提升系統(tǒng)的安全級別、系統(tǒng)是否還存在著一些不安全的因素、系統(tǒng)的總體安全等級處于什么水平，對于這些，我們需要有一個整體的了解和掌握。

　　一、安全配置和分析以及安全模板的基礎(chǔ)知識

　　1. 安全配置和分析

　　安全配置和分析概述“安全配置和分析”是分析和配置本地系統(tǒng)安全性的一個工具。包括:

　　·安全分析

　　計(jì)算機(jī)上的操作系統(tǒng)和應(yīng)用程序的狀態(tài)是動態(tài)的。例如，為了能立刻解決管理或網(wǎng)絡(luò)問題，您可能需要臨時性地更改安全級別。然而，經(jīng)常無法恢復(fù)這種更改。這意味著計(jì)算機(jī)不能再滿足企業(yè)安全的要求。常規(guī)分析作為企業(yè)風(fēng)險管理程序的一部分，允許管理員跟蹤并確保在每臺計(jì)算機(jī)上有足夠高的安全級別。管理員可以調(diào)整安全級別，最重要的是，檢測在系統(tǒng)長期運(yùn)行過程中出現(xiàn)的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結(jié)果。在當(dāng)前系統(tǒng)設(shè)置的旁邊提出建議，用可視化的標(biāo)記或注釋突出顯示當(dāng)前設(shè)置與建議的安全級別不匹配的區(qū)域。“安全配置和分析”也提供了解決分析顯示的任何矛盾的功能。

　　·安全配置

　　“安全配置和分析”還可以用于直接配置本地系統(tǒng)的安全性。利用個人數(shù)據(jù)庫，可以導(dǎo)入由“安全模板”創(chuàng)建的安全模板，并將這些模板應(yīng)用于本地計(jì)算機(jī)。這將立即使用模板中指定的級別配置系統(tǒng)安全性。

　　2、安全模板

　　安全模板使用 Microsoft 管理控制臺的安全模板管理單元，您可以創(chuàng)建計(jì)算機(jī)或網(wǎng)絡(luò)的安全策略。它是考慮整個系統(tǒng)范圍內(nèi)安全的單點(diǎn)入口點(diǎn)。安全模板管理單元并不引入新的安全參數(shù)，它只是將所有的現(xiàn)有安全屬性組織在一起以便于安全管理。將安全模板導(dǎo)入到“組策略”對象中可以通過立即配置域或部門的安全性來簡化域管理。要將安全模板應(yīng)用于本地計(jì)算機(jī)，可以使用“安全配置和分析”或 Secedit 命令行工具。

　　安全模板可用于定義以下內(nèi)容:

　　·帳戶策略

　　·密碼策略

　　·帳戶鎖定策略

　　·Kerberos 策略

　　·本地策略

　　·審核策略

　　·用戶權(quán)限分配

　　·安全選項(xiàng)

　　·事件日志:應(yīng)用程序、系統(tǒng)和安全的事件日志設(shè)置

　　·受限制的組:安全敏感組的成員資格

　　·系統(tǒng)服務(wù):系統(tǒng)服務(wù)的啟動和權(quán)限

　　·注冊表:注冊表項(xiàng)的權(quán)限

　　·文件系統(tǒng):文件夾和文件的權(quán)限

　　將每個模板都另存為基于文本的 .inf 文件。這允許您復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┗蛩�有模板屬性。在安全模板中可以包含除“Internet 協(xié)議”安全和公用密鑰策略之外的所有安全屬性。

3、配置本地計(jì)算機(jī)安全有兩種方法

　　配置本地計(jì)算機(jī)安全有兩種方法使用命令行和Windows 圖形界面。這里主要介紹前者。Windows命令行最大的一個特點(diǎn)就是對網(wǎng)絡(luò)管理的便宜性，管理員只需在命令行窗口輸入幾個命令，就可以完成諸多繁雜的操作，達(dá)到預(yù)期的目的。而且可以通過一些命令工具判斷網(wǎng)絡(luò)內(nèi)部的物理故障以及網(wǎng)絡(luò)安全問題，實(shí)現(xiàn)網(wǎng)絡(luò)管理的自動化和批量化。

　　Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行，雖然提供的都是黑白分明的字符界面，但其本質(zhì)還是有所區(qū)別的。原因在于Windows NT/2000/XP/2003 已經(jīng)徹底脫離了DOS 的桎梏，DOS 只是作為操作系統(tǒng)所提供的虛擬機(jī)而存在，換句說，命令行已經(jīng)不再是基礎(chǔ)，而成為了一種工具。然而，我們卻不能因此而小覷了這些貌似簡單的命令行工具。原因很簡單，命令行仍然是我們解決棘手的問題的首先。

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要參數(shù):

　　/db FileName :指定用于執(zhí)行此次分析的數(shù)據(jù)庫。

　　/cfg FileName :指定在執(zhí)行分析前要導(dǎo)入到數(shù)據(jù)庫中的安全模板。安全模板是使用安全模板管理單元創(chuàng)建的。

　　/log FileName :指定一個文件，用于記錄配置過程所處的狀態(tài)。如果未指定，配置數(shù)據(jù)將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。

　　/quiet :指定在執(zhí)行分析過程時不作更多參與。

　　/log logpath : 指定一個文件，該文件用于記錄配置過程所處的狀態(tài)。如未指定，配置數(shù)據(jù)將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。

　　/quiet :指定應(yīng)該在不提示用戶的情況下進(jìn)行配置。

　　使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務(wù)計(jì)劃程序的命令提示符下調(diào)用 Secedit.exe 工具，可以自動創(chuàng)建和應(yīng)用模板，以及分析系統(tǒng)的安全性。也可以從命令提示符下動態(tài)運(yùn)行該命令。當(dāng)必須分析或配置多臺計(jì)算機(jī)的安全性，并且需要在非工作時間執(zhí)行任務(wù)時，Secedit.exe 很有用。要查看該命令的完整語法，請?jiān)诿�令提示符下輸�?secedit /?  。

　　

用安全配置和分析工具提升Windows 2003系統(tǒng)安全

圖1 secedit命令的完整語法

　　下面簡單介紹以下子命令:

　　l secedit /analyze :可通過將其與數(shù)據(jù)庫中的基本設(shè)置相比較，分析一臺計(jì)算機(jī)上的安全設(shè)置。

　　l secedit /configure :通過應(yīng)用存儲在數(shù)據(jù)庫中的設(shè)置配置本地計(jì)算機(jī)的安全性設(shè)置。

　　l secedit /export :可將存儲在數(shù)據(jù)庫中的安全性設(shè)置導(dǎo)出。

　　l secedit /import :可將安全性模板導(dǎo)入到數(shù)據(jù)庫以便模板中指定的設(shè)置可應(yīng)用到系統(tǒng)或作為分析系統(tǒng)的依據(jù)。

　　l secedit /validate :驗(yàn)證要導(dǎo)入到分析數(shù)據(jù)庫或系統(tǒng)應(yīng)用程序的安全模板的語法。

　　l secedit /GenerateRollback: 可根據(jù)配置模板生成一個回滾模板。在將配置模板應(yīng)用到計(jì)算機(jī)上時，可以選擇創(chuàng)建回滾模板，該模板在應(yīng)用時會將安全性設(shè)置重置為應(yīng)用配置模板前的值。

默認(rèn)情況下幾個安全模板文件如下:

　　·默認(rèn)安全設(shè)置 模板(Setup security.inf)

　　Setup security.inf 模板是在安裝期間針對每臺計(jì)算機(jī)創(chuàng)建的。取決于所進(jìn)行的安裝是完整安裝還是升級，該模板在不同的計(jì)算機(jī)中可能不同。Setup security.inf 代表了在安裝操作系統(tǒng)期間所應(yīng)用的默認(rèn)安全設(shè)置，其中包括對系統(tǒng)驅(qū)動器的根目錄的文件權(quán)限。它可以用在服務(wù)器或客戶端計(jì)算機(jī)上，但不能應(yīng)用于域控制器。此模板的某些部分可應(yīng)用于故障恢復(fù)。請不要通過使用“組策略”來應(yīng)用 Setup security.inf。此模板含有大量數(shù)據(jù)，如果通過組策略來應(yīng)用它，可能會嚴(yán)重降低性能(因?yàn)椴呗允嵌ㄆ谒⑿碌模�這樣做將導(dǎo)致在域中移動大量數(shù)據(jù))。因此，建議在局部應(yīng)用 Setup security.inf 模板。由于 Secedit 命令行工具支持該功能，因此建議使用該工具。

　　·域控制器默認(rèn)安全設(shè)置模板 (DC security.inf)

　　該模板是在服務(wù)器被升級為域控制器時創(chuàng)建的。它反映了文件、注冊表以及系統(tǒng)服務(wù)的默認(rèn)安全設(shè)置。重新應(yīng)用它后，上述范圍的安全設(shè)置將被重新設(shè)置為默認(rèn)值。它可能覆蓋由其他應(yīng)用程序創(chuàng)建的新文件、注冊表和系統(tǒng)服務(wù)的權(quán)限。使用“安全配置和分析”管理單元或 Secedit 命令行工具可以應(yīng)用它。

　　·兼容模板 (compatws.inf)

　　工作站和服務(wù)器的默認(rèn)權(quán)限主要授予三個本地組:Administrators、Power User。

關(guān)鍵字：server、系統(tǒng)安全、服務(wù)器、安全策略