使用安全模板配置安全策略

发布时间:2024年01月09日

 使用安全模板配置安全策略

默认情况下,预定义的安全模板存储在如下目录:”%systemroot%”\Security\Templates“

一、Windows中的预定义安全模板:

· 默认安全 (Setup security.inf)

· 域控制器默认安全 (DC security.inf):

· ?兼容 (Compatws.inf)

· ?安全 (Secure*.inf)

· ?高度安全 (hisec*.inf)

· ?系统根安全 (Rootsec.inf)

· ?无终端服务器用户 SID (Notssid.inf)

二、创建安全模板

1.设置工具

  首先打开一个空的MMC控制台。点击“开始”→“运行”,输入“mmc”,按Enter键打开一个空白的MMC控制台。

在该控制台中,点击“文件”→“添加/删除管理单元”,打开“添加/删除管理单元”对话框,点击“添加”打开“添加独立管理单元”对话框,在管理单元清单中选择“安全模板”,依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。

如图:

点击任意一个安全模板,右边的窗格显示出可以利用该安全模板控制的安全选项类别:

⑴ 帐户策略:控制密码策略、锁定策略、Kerberos策略。

⑵ 本地策略:控制审核策略、用户权利指派、安全选项。

⑶ 事件日志:控制事件日志设置和NT的事件查看器的行为。

⑷ 受限制的组:控制哪些用户能够或者不能够进入各种本地组。

⑸ 系统服务:启动、关闭各种系统服务,控制哪些用户有权修改系统服务的启动方式。

⑹ 注册表:控制修改或查看各个注册键的权限,启用注册键的修改审核功能。

⑺ 文件系统:控制文件夹、文件的NTFS授权。

2.创建模板

下面从头开始构建一个模板。右击模板的路径(选择具体保存路径,如C:security),然后选择菜单“新加模板”,输入模板的名称,假设是simple。新的模板将在左边窗格中作为一个节点列出,位于预制的模板之下。

右键“新加模板”

下面,作为一个例子,通过设置安全模板,限制Administrators组、设置C:abc的ACL(access control list) 访问控制表、关闭Indexing服务。所有这些设置都在simple节点下完成。

  第一,设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的simple节点,选中“受限制的组”。返回“添加成员”对话框后,点击“确定”。

?在这个对话框中,窗口上方有一个“这个组的成员”清单,窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。 将Administrator帐户加入。

第二,使得任何拥有C:abc文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中,右击“文件系统”,选择“添加文件”,在“添加文件或文件夹”对话框中找到或者输入C:abc目录。

点击“确定”,出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则,加入对本地Administrators组的“完全控制”授权。点击“确定”,系统会询问是否把权限设置传播给所有子文件夹和文件,根据需要选择一个选项,点击“确定”。

????第三, 自CodeRed和Nimda肆虐以来,Indexing服务就引起了人们担忧,在不必使用该服务的系统上,最好的选择就是将它关闭。在控制台左边的窗格中,点击“系统服务”,在右边窗格中右击Indexing服务,选择“属性”。在“Indexing Service属性”对话框中,选中“在模板中定义这个策略设置”,这时系统显示出“安全设置 Indexing Service”对话框,在对话框中选择“已停用”,然后点击“确定”。

保存安全模板:

右击控制台左边窗格中的simple模板,选择“保存”。现在C:security目录下有了一个simple.inf文件。 ?

应用安全模板:

1.单击开始,单击运行,在打开 框中键入 mmc,然后单击确定。

2.在文件 菜单上,单击“添加/删除管理单元”。

3.单击添加、“安全配置和分析”、添加,单击关闭,然后单击确定。

4.在控制台树中,右键单击“安全配置和分析”,然后单击打开数据库。输入新的数据库名,如“simple”

单击“打开”,选择要导入的安全模板C:\security\simple.inf

点击“打开”,如图

5.分析计算机安全设置。右击安全配置和分析,在弹出的快捷菜单中选择“立即分析计算机”命令

6.在屏幕上出现的执行分析 对话框中,接受“错误日志文件路径”框中显示的默认日志文件路径,或指定所需的位置,然后单击确定。

点击“确定”按钮

7. 将对该模板安全设置与现有的计算机设置进行比较。

备注:此时,不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。

可以查看安全性分析结果,在“安全配置和分析”管理控制台中,展开“安全配置和分析”,单击要查看安全(例如密码策略)。在右侧窗口中,“策略”列表中显示了分析结果;“数据库设置”列表显示模板中的安全值;“计算机设置”列表显示系统中的当前安全策略。

  分析状态标记如下。

  红色的“X”表明与基本配置有差异。

  绿色的“复选标记”表明与基本配置一致。

  没有图标表明模板中不包含安全属性,因此不分析。

  例如,“密码必须符合复杂性要求”策略,在安全数据库中的策略为“启用”,而在本地的系统设置为“停用”,分析状态标记为红色的“X”,表示配置不同。

8.要将计算机配置为使用数据库中的安全设置,请右键单击“安全配置和分析”,然后单击“立即配置计算机”,安全数据库配置会应用于计算机。

配置完成后:

可见,安全数据库配置已经应用于计算机。

操作系统安全实训:使用安全模板配置安全策略

依据上述内容完成如下实训内容

创建安全模板simple,实现以下配置。

在账户策略中实现:

1. ?密码使用必须符合复杂性要求

2. ?强制密码历史为2个

3. ?尝试3次无效登录后锁定帐户

4. ?锁定账户时间为10分钟

5. ?账户锁定阈值为30分钟

在本地策略中实现下列要求:

  1. 审核对象访问 ?配置:成功
  2. 关机:允许系统在未登录的情况下关闭 ?配置:禁用
  3. 拒绝从网络访问这台计算机 ?配置:空

在受限制的组中实现下列要求:

  1. 设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。

在系统服务中实现下列要求:

  1. 禁用Print Spooler服务
  2. 禁用WLAN AutoConfig服务

在文件系统中实现下列要求:

  1. 设置C:新建文件夹的?ACL(access control list) 访问控制表,只允许Administrator帐户有权限访问
文章来源:https://blog.csdn.net/huangzwei/article/details/135360572
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。