使用安全模板配置安全策略
默认情况下,预定义的安全模板存储在如下目录:”%systemroot%”\Security\Templates“
一、Windows中的预定义安全模板:
· 默认安全 (Setup security.inf)
· 域控制器默认安全 (DC security.inf):
· ?兼容 (Compatws.inf)
· ?安全 (Secure*.inf)
· ?高度安全 (hisec*.inf)
· ?系统根安全 (Rootsec.inf)
· ?无终端服务器用户 SID (Notssid.inf)
二、创建安全模板
1.设置工具
首先打开一个空的MMC控制台。点击“开始”→“运行”,输入“mmc”,按Enter键打开一个空白的MMC控制台。
在该控制台中,点击“文件”→“添加/删除管理单元”,打开“添加/删除管理单元”对话框,点击“添加”打开“添加独立管理单元”对话框,在管理单元清单中选择“安全模板”,依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。
如图:
点击任意一个安全模板,右边的窗格显示出可以利用该安全模板控制的安全选项类别:
⑴ 帐户策略:控制密码策略、锁定策略、Kerberos策略。
⑵ 本地策略:控制审核策略、用户权利指派、安全选项。
⑶ 事件日志:控制事件日志设置和NT的事件查看器的行为。
⑷ 受限制的组:控制哪些用户能够或者不能够进入各种本地组。
⑸ 系统服务:启动、关闭各种系统服务,控制哪些用户有权修改系统服务的启动方式。
⑹ 注册表:控制修改或查看各个注册键的权限,启用注册键的修改审核功能。
⑺ 文件系统:控制文件夹、文件的NTFS授权。
2.创建模板
下面从头开始构建一个模板。右击模板的路径(选择具体保存路径,如C:security),然后选择菜单“新加模板”,输入模板的名称,假设是simple。新的模板将在左边窗格中作为一个节点列出,位于预制的模板之下。
右键“新加模板”
下面,作为一个例子,通过设置安全模板,限制Administrators组、设置C:abc的ACL(access control list) 访问控制表、关闭Indexing服务。所有这些设置都在simple节点下完成。
第一,设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的simple节点,选中“受限制的组”。返回“添加成员”对话框后,点击“确定”。
?在这个对话框中,窗口上方有一个“这个组的成员”清单,窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。 将Administrator帐户加入。
第二,使得任何拥有C:abc文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中,右击“文件系统”,选择“添加文件”,在“添加文件或文件夹”对话框中找到或者输入C:abc目录。
点击“确定”,出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则,加入对本地Administrators组的“完全控制”授权。点击“确定”,系统会询问是否把权限设置传播给所有子文件夹和文件,根据需要选择一个选项,点击“确定”。
????第三, 自CodeRed和Nimda肆虐以来,Indexing服务就引起了人们担忧,在不必使用该服务的系统上,最好的选择就是将它关闭。在控制台左边的窗格中,点击“系统服务”,在右边窗格中右击Indexing服务,选择“属性”。在“Indexing Service属性”对话框中,选中“在模板中定义这个策略设置”,这时系统显示出“安全设置 Indexing Service”对话框,在对话框中选择“已停用”,然后点击“确定”。
保存安全模板:
右击控制台左边窗格中的simple模板,选择“保存”。现在C:security目录下有了一个simple.inf文件。 ?
应用安全模板:
1.单击开始,单击运行,在打开 框中键入 mmc,然后单击确定。
2.在文件 菜单上,单击“添加/删除管理单元”。
3.单击添加、“安全配置和分析”、添加,单击关闭,然后单击确定。
4.在控制台树中,右键单击“安全配置和分析”,然后单击打开数据库。输入新的数据库名,如“simple”
单击“打开”,选择要导入的安全模板C:\security\simple.inf
点击“打开”,如图
5.分析计算机安全设置。右击安全配置和分析,在弹出的快捷菜单中选择“立即分析计算机”命令
6.在屏幕上出现的执行分析 对话框中,接受“错误日志文件路径”框中显示的默认日志文件路径,或指定所需的位置,然后单击确定。
点击“确定”按钮
7. 将对该模板安全设置与现有的计算机设置进行比较。
备注:此时,不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。
可以查看安全性分析结果,在“安全配置和分析”管理控制台中,展开“安全配置和分析”,单击要查看安全(例如密码策略)。在右侧窗口中,“策略”列表中显示了分析结果;“数据库设置”列表显示模板中的安全值;“计算机设置”列表显示系统中的当前安全策略。
分析状态标记如下。
红色的“X”表明与基本配置有差异。
绿色的“复选标记”表明与基本配置一致。
没有图标表明模板中不包含安全属性,因此不分析。
例如,“密码必须符合复杂性要求”策略,在安全数据库中的策略为“启用”,而在本地的系统设置为“停用”,分析状态标记为红色的“X”,表示配置不同。
8.要将计算机配置为使用数据库中的安全设置,请右键单击“安全配置和分析”,然后单击“立即配置计算机”,安全数据库配置会应用于计算机。
配置完成后:
可见,安全数据库配置已经应用于计算机。
操作系统安全实训:使用安全模板配置安全策略
依据上述内容完成如下实训内容
创建安全模板simple,实现以下配置。
在账户策略中实现:
1. ?密码使用必须符合复杂性要求
2. ?强制密码历史为2个
3. ?尝试3次无效登录后锁定帐户
4. ?锁定账户时间为10分钟
5. ?账户锁定阈值为30分钟
在本地策略中实现下列要求:
在受限制的组中实现下列要求:
在系统服务中实现下列要求:
在文件系统中实现下列要求: