使用安全模板配置安全策略

　使用安全模板配置安全策略

默认情况下，预定义的安全模板存储在如下目录：”%systemroot%”\Security\Templates“

一、Windows中的预定义安全模板：

· 默认安全 (Setup security.inf)

· 域控制器默认安全 (DC security.inf)：

· ?兼容 (Compatws.inf)

· ?安全 (Secure*.inf)

· ?高度安全 (hisec*.inf)

· ?系统根安全 (Rootsec.inf)

· ?无终端服务器用户 SID (Notssid.inf)

二、创建安全模板

1．设置工具

　　首先打开一个空的MMC控制台。点击“开始”→“运行”，输入“mmc”，按Enter键打开一个空白的MMC控制台。

在该控制台中，点击“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框，点击“添加”打开“添加独立管理单元”对话框，在管理单元清单中选择“安全模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。

如图：

点击任意一个安全模板，右边的窗格显示出可以利用该安全模板控制的安全选项类别：

⑴ 帐户策略：控制密码策略、锁定策略、Kerberos策略。

⑵ 本地策略：控制审核策略、用户权利指派、安全选项。

⑶ 事件日志：控制事件日志设置和NT的事件查看器的行为。

⑷ 受限制的组：控制哪些用户能够或者不能够进入各种本地组。

⑸ 系统服务：启动、关闭各种系统服务，控制哪些用户有权修改系统服务的启动方式。

⑹ 注册表：控制修改或查看各个注册键的权限，启用注册键的修改审核功能。

⑺ 文件系统：控制文件夹、文件的NTFS授权。

2．创建模板

下面从头开始构建一个模板。右击模板的路径（选择具体保存路径，如C:security），然后选择菜单“新加模板”，输入模板的名称，假设是simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。

右键“新加模板”

下面，作为一个例子，通过设置安全模板，限制Administrators组、设置C:abc的ACL(access control list) 访问控制表、关闭Indexing服务。所有这些设置都在simple节点下完成。

　　第一，设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的simple节点，选中“受限制的组”。返回“添加成员”对话框后，点击“确定”。

?在这个对话框中，窗口上方有一个“这个组的成员”清单，窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。 将Administrator帐户加入。

第二，使得任何拥有C:abc文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中，右击“文件系统”，选择“添加文件”，在“添加文件或文件夹”对话框中找到或者输入C:abc目录。

点击“确定”，出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则，加入对本地Administrators组的“完全控制”授权。点击“确定”，系统会询问是否把权限设置传播给所有子文件夹和文件，根据需要选择一个选项，点击“确定”。

????第三，　自CodeRed和Nimda肆虐以来，Indexing服务就引起了人们担忧，在不必使用该服务的系统上，最好的选择就是将它关闭。在控制台左边的窗格中，点击“系统服务”，在右边窗格中右击Indexing服务，选择“属性”。在“Indexing Service属性”对话框中，选中“在模板中定义这个策略设置”，这时系统显示出“安全设置 Indexing Service”对话框，在对话框中选择“已停用”，然后点击“确定”。

保存安全模板：

右击控制台左边窗格中的simple模板，选择“保存”。现在C:security目录下有了一个simple.inf文件。 ?

应用安全模板：

1.单击开始，单击运行，在打开 框中键入 mmc，然后单击确定。

2.在文件 菜单上，单击“添加/删除管理单元”。

3.单击添加、“安全配置和分析”、添加，单击关闭，然后单击确定。

4.在控制台树中，右键单击“安全配置和分析”，然后单击打开数据库。输入新的数据库名，如“simple”

单击“打开”，选择要导入的安全模板C:\security\simple.inf

点击“打开”，如图

5.分析计算机安全设置。右击安全配置和分析，在弹出的快捷菜单中选择“立即分析计算机”命令

6.在屏幕上出现的执行分析 对话框中，接受“错误日志文件路径”框中显示的默认日志文件路径，或指定所需的位置，然后单击确定。

点击“确定”按钮

7. 将对该模板安全设置与现有的计算机设置进行比较。

备注：此时，不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。

可以查看安全性分析结果，在“安全配置和分析”管理控制台中，展开“安全配置和分析”，单击要查看安全(例如密码策略)。在右侧窗口中，“策略”列表中显示了分析结果;“数据库设置”列表显示模板中的安全值;“计算机设置”列表显示系统中的当前安全策略。

　　分析状态标记如下。

　　红色的“X”表明与基本配置有差异。

　　绿色的“复选标记”表明与基本配置一致。

　　没有图标表明模板中不包含安全属性，因此不分析。

　　例如，“密码必须符合复杂性要求”策略，在安全数据库中的策略为“启用”，而在本地的系统设置为“停用”，分析状态标记为红色的“X”，表示配置不同。

8.要将计算机配置为使用数据库中的安全设置，请右键单击“安全配置和分析”，然后单击“立即配置计算机”，安全数据库配置会应用于计算机。

配置完成后：

可见，安全数据库配置已经应用于计算机。

操作系统安全实训：使用安全模板配置安全策略

依据上述内容完成如下实训内容

创建安全模板simple，实现以下配置。

在账户策略中实现：

1. ?密码使用必须符合复杂性要求

2. ?强制密码历史为2个

3. ?尝试3次无效登录后锁定帐户

4. ?锁定账户时间为10分钟

5. ?账户锁定阈值为30分钟

在本地策略中实现下列要求：

1. 审核对象访问 ?配置：成功
2. 关机：允许系统在未登录的情况下关闭 ?配置：禁用
3. 拒绝从网络访问这台计算机 ?配置：空

在受限制的组中实现下列要求：

1. 设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。

在系统服务中实现下列要求：

1. 禁用Print Spooler服务
2. 禁用WLAN AutoConfig服务

在文件系统中实现下列要求：

1. 设置C:新建文件夹的?ACL(access control list) 访问控制表，只允许Administrator帐户有权限访问