用配置和工具提升Windows 2003系統安全

來源:互聯網
上載者:User

  對於Windows 2003系統管理員來說,最關心的事情莫過於Windows 2003系統的安全了。為了提高系統的安全程度,我們可能對系統進行了多方面的安全設定,但是這些安全設定是否能夠全面提升系統的安全層級、系統是否還存在著一些不安全的因素、系統的總體安全等級處於什麼水平,對於這些,我們需要有一個整體的瞭解和掌握。

  一、安全配置和分析以及安全模板的基礎知識

  1. 安全配置和分析

  安全配置和分析概述“安全配置和分析”是分析和配置本地系統安全性的一個工具。包括:

  ·安全分析

  電腦上的作業系統和應用程式的狀態是動態。例如,為了能立刻解決管理或網路問題,您可能需要臨時性地更改安全層級。然而,經常無法恢複這種更改。這意味著電腦不能再滿足企業安全的要求。常規分析作為企業風險管理程式的一部分,允許管理員跟蹤並確保在每台電腦上有足夠高的安全層級。管理員可以調整安全層級,最重要的是,檢測在系統長期運行過程中出現的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結果。在當前系統設定的旁邊提出建議,用可視化的標記或注釋反白當前設定與建議的安全層級不匹配的地區。“安全配置和分析”也提供瞭解決分析顯示的任何矛盾的功能。

  ·安全配置

  “安全配置和分析”還可以用於直接配置本地系統的安全性。利用個人資料庫,可以匯入由“安全模板”建立的安全模板,並將這些模板應用於本機電腦。這將立即使用模板中指定的層級配置系統安全性。

  2、安全模板

  安全模板使用 Microsoft 管理主控台的安全範本管理員單元,您可以建立電腦或網路的安全性原則。它是考慮整個系統範圍內安全的單點進入點。安全範本管理員單元並不引入新的安全參數,它只是將所有的現有安全屬性群組織在一起以便於安全管理。將安全模板匯入到“組策略”對象中可以通過立即佈建網域或部門的安全性來簡化域管理。要將安全模板應用於本機電腦,可以使用“安全配置和分析”或 Secedit 命令列工具。

  安全模板可用於定義以下內容:

  ·帳戶原則
  ·密碼原則
  ·帳戶鎖定策略
  ·Kerberos 策略
  ·本地策略
  ·稽核原則
  ·使用者權限分配
  ·安全選項
  ·事件記錄:應用程式、系統和安全的事件記錄設定
  ·受限制的組:安全敏感組的成員資格
  ·系統服務:系統服務的啟動和許可權
  ·註冊表:登錄機碼的許可權
  ·檔案系統:檔案夾和檔案的許可權

  將每個模板都另存新檔基於文本的 .inf 檔案。這允許您複製、粘貼、匯入或匯出某些或所有模板屬性。在安全模板中可以包含除“網際網路通訊協定 (IP)”安全和公用密鑰策略之外的所有安全屬性。

  3、配置本機電腦安全有兩種方法

  配置本機電腦安全有兩種方法使用命令列和Windows 圖形介面。這裡主要介紹前者。Windows命令列最大的一個特點就是對網路管理的便宜性,管理員只需在命令列視窗輸入幾個命令,就可以完成諸多繁雜的操作,達到預期的目的。而且可以通過一些命令工具判斷網路內部的物理故障以及網路安全問題,實現網路管理的自動化和批量化。

  Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令列,雖然提供的都是黑白分明的字元介面,但其本質還是有所區別的。原因在於Windows NT/2000/XP/2003 已經徹底脫離了DOS 的桎梏,DOS 只是作為作業系統所提供的虛擬機器而存在,換句說,命令列已經不再是基礎,而成為了一種工具。然而,我們卻不能因此而小覷了這些貌似簡單的命令列工具。原因很簡單,命令列仍然是我們解決棘手的問題的首先。

  命令列格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

  主要參數:

  /db FileName :指定用於執行此次分析的資料庫。

  /cfg FileName :指定在執行分析前要匯入到資料庫中的安全模板。安全模板是使用安全範本管理員單元建立的。

  /log FileName :指定一個檔案,用於記錄配置過程所處的狀態。如果未指定,配置資料將被記錄在 %windir%securitylogs 檔案夾的 Scesrv.log 中。

  /quiet :指定在執行分析過程時不作更多參與。

  /log logpath : 指定一個檔案,該檔案用於記錄配置過程所處的狀態。如未指定,配置資料將被記錄在 %windir%SecurityLogs 檔案夾的 scesrv.log 檔案中。

  /quiet :指定應該在不提示使用者的情況下進行配置。

  使用Secedit 命令列工具建立模板。通過在批次檔或自動工作排程器的命令提示字元下調用 Secedit.exe 工具,可以自動建立和應用模板,以及分析系統的安全性。也可以從命令提示字元下動態運行該命令。當必須分析或配置多台電腦的安全性,並且需要在非工作時間執行任務時,Secedit.exe 很有用。要查看該命令的完整文法,請在命令提示字元下輸入:secedit /? ,見圖1 。

  
圖1 secedit命令的完整文法

  下面簡單介紹以下子命令:

  l secedit /analyze :可通過將其與資料庫中的基本設定相比較,分析一台電腦上的安全設定。

  l secedit /configure :通過應用儲存在資料庫中的設定配置本機電腦的安全性設定。

  l secedit /export :可將儲存在資料庫中的安全性設定匯出。

  l secedit /import :可將安全性模板匯入到資料庫以便模板中指定的設定可應用到系統或作為分析系統的依據。

  l secedit /validate :驗證要匯入到分析資料庫或系統應用程式的安全模板的文法。

  l secedit /GenerateRollback: 可根據配置模板產生一個復原模板。在將配置模板應用到電腦上時,可以選擇建立復原模板,該模板在應用時會將安全性設定重設為應用配置模板前的值。

  預設情況下幾個安全模板檔案如下:

  ·預設安全設定 模板(Setup security.inf)

  Setup security.inf 模板是在安裝期間針對每台電腦建立的。取決於所進行的安裝是完整安裝還是升級,該模板在不同的電腦中可能不同。Setup security.inf 代表了在安裝作業系統期間所應用的預設安全設定,其中包括對系統磁碟機的根目錄的檔案許可權。它可以用在伺服器或用戶端電腦上,但不能應用於網域控制站。此模板的某些部分可應用於故障恢複。請不要通過使用“組策略”來應用 Setup security.inf。此模板含有大量資料,如果通過組策略來應用它,可能會嚴重降低效能(因為策略是定期重新整理的,這樣做將導致在域中移動大量資料)。因此,建議在局部應用 Setup security.inf 模板。由於 Secedit 命令列工具支援該功能,因此建議使用該工具。

  ·網域控制站預設安全設定模板 (DC security.inf)

  該模板是在伺服器被升級為網域控制站時建立的。它反映了檔案、註冊表以及系統服務的預設安全設定。重新應用它後,上述範圍的安全設定將被重新設定為預設值。它可能覆蓋由其他應用程式建立的新檔案、註冊表和系統服務的許可權。使用“安全配置和分析”嵌入式管理單元或 Secedit 命令列工具可以應用它。

  ·相容模板 (compatws.inf)

  工作站和伺服器的預設許可權主要授予三個本機群組:Administrators、Power Users 和 Users。Administrators 享有最高的特權,而 Users 的特權最低。正因為如此,可以通過以下方式極大地提高系統所有權的安全性、可靠性,並降低其總成本:確保終端使用者都是 Users 成員。 部署可由 Users 組的成員成功啟動並執行應用程式。具有 User 許可權的人可以成功運行已加入在 Windows Logo Program for Software 中的應用程式。但是,User 可能無法運行不符合該計劃要求的應用程式。

  ·進階安全模板 (hisec*.inf)

  進階安全模板是對加密和簽名作進一步限制的安全模板的擴充集,這些加密和簽名是進行身份認證和保證資料通過安全通道以及在 SMB 用戶端和伺服器之間進行安全傳輸所必需的。例如,安全模板可以使伺服器拒絕 LAN Manager 的響應,而進階安全模板則可導致同時對 LAN Manager 和 NTLM 響應的拒絕。安全模板可以啟用伺服器端的 SMB 資訊包簽名,而進階安全模板則要求這種簽名。此外,進階安全模板還要求對形成域到成員以及域到域的信任關係的安全通道資料進行強力加密和簽名。Hisecdc和Hisecws:進階安全模板。在安全模板的基礎上對加密和簽名作進一步的限制。這些加密和簽名是進行身份認證和保證資料在安全的通道中進行傳輸所必需的,要求對安全通道資料進行強力的加密和簽名,從而形成域到成員和成員到域的信任關係。

  ·系統根目錄安全 模板(Rootsec.inf)

  Rootsec.inf 可指定根目錄許可權。預設情況下,Rootsec.inf 為系統磁碟機根目錄定義這些許可權。如果不小心更改了根目錄許可權,則可利用該模板重新應用根目錄許可權,或者通過修改模板對其他卷應用相同的根目錄許可權。正如所說明的那樣,該模板並不覆蓋已明確定義在子物件上的許可權,它只是傳遞由子物件繼承的許可權。

  ·無終端伺服器使用者 SID 模板(Notssid.inf)

  伺服器上的預設檔案系統和註冊表存取控制清單可將許可權授予終端伺服器的安全性識別碼 (SID)。僅當“終端伺服器 SID”以應用程式相容模式運行時,它才能被使用。如果當前沒有使用“終端伺服器 SID”,則可以應用該模板從檔案系統和註冊表位置刪除不需要的“終端伺服器 SID”。然而,從這些預設的檔案系統和註冊表位置刪除“終端伺服器 SID”的存取控制項目並不會增加系統的安全性。因此請不要刪除“終端伺服器 SID”,而直接以“完整安全”模式運行終端伺服器。當以“完整安全”模式運行時,則不使用“終端伺服器 SID”。

  上面我們介紹了配置本機電腦安全的命令列方法,下面介紹在Windows 圖形介面如何完成。

  二、使用用安全配置和分析工具

  下面是圖形介面下使用安全配置和分析工具提升windows 2003系統安全詳細步驟:

  1、使用管理員權限登入

  首先必須以系統管理員或administrators群組成員的賬戶身份登入系統才能完成嵌入式管理單元的載入以及系統安全性分析和配置操作;注意 :要執行該過程,您必須是本機電腦Administrators 組的成員,或者您必須被委派適當的許可權。如果將電腦加入域,Domain Admins 組的成員可能也可以執行這個過程。作為安全性的最佳操作,可以考慮使用運行方式來執行這個過程。

  2、開啟“安全配置和分析”

  要開啟“安全配置和分析”,請先單擊“開始”,接著單擊“運行”,然後輸入 mmc,最後單擊“確定”。在“檔案”菜單上,單擊“開啟”,單擊要開啟的控制台,然後單擊“開啟”。然後,在主控台樹狀目錄中,使用Ctrl+M 快速鍵開啟“添加/刪除嵌入式管理單元” 如圖2。

  

  圖2使用Ctrl+M 快速鍵開啟“添加/刪除嵌入式管理單元”

  3、添加“安全配置和分析”嵌入式管理單元

  在“添加/刪除嵌入式管理單元”對話方塊中,點擊選項頁的“添加”,在彈出的“添加獨立嵌入式管理單元”對話方塊中,挑選清單中的“安全配置和分析”項,點擊“添加”,如圖3所示;

  

  圖3 添加“安全配置和分析”嵌入式管理單元

  4、完成添加

  點擊“關閉”,返回“添加/刪除嵌入式管理單元”對話方塊,此時在列表中可以看到新增加了“安全配置和分析”項;點擊“確定”,完成“安全配置和分析”嵌入式管理單元的載入。說明:執行安全性分析是根據系統提供的安全模板來實現的,這個過程中,需要使用者開啟或建立一個包含安全資訊的資料庫,並選擇合適的安全模板。

  5、開啟資料庫

  在控制台視窗中,右鍵點擊主控台根目錄下的“安全配置和分析”,或者在捷徑功能表中選擇“開啟資料庫”命令;如果是首次對系統進行安全性分析,需要建立一個資料庫,在“開啟資料庫”對話方塊的“檔案名稱”處為建立的資料庫輸入一個名稱,然後點擊“開啟”;

  6、安全模板

  在彈出的“匯入模板”對話方塊中,可以看到幾個安全模板檔案,這些安全模板檔案的安全層級以及作用的效果為:

  預定義的安全模板預定義的安全模板是作為建立安全性原則的初始點而提供的,這些策略都經過自訂設定以滿足不同的組織要求。可以使用安全範本管理員單元對該模板進行自訂。一旦對預定義的安全模板進行了自訂,就可以用它們配置單台或數以千計的電腦的安全。可以使用安全配置和分析嵌入式管理單元、Secedit 命令列工具,或將模板匯入本地安全性原則中來配置單台電腦。可以通過將模板匯入安全設定(屬於組策略的擴充)來對多台電腦進行配置。通過使用“安全配置和分析”嵌入式管理單元,也可以將安全模板作為分析系統潛在安全性漏洞或策略侵犯的基礎。

  說明:可以通過“安全模板”查看安全模板設定。*.inf 檔案也可以按文字檔查看。這些檔案位於:%windir%SecurityTemplates。%windir%表示系統目錄如:c:windows。定義安全模板步驟如下:

  ·開啟“安全模板”。

  ·按右鍵要儲存新模板的檔案夾,然後單擊“新加模板”。

  ·在“模板名”中,鍵入建立安全模板的名稱。

  ·在“描述”中,鍵入新安全模板的說明,然後單擊“確定”。

  ·在主控台樹狀目錄中,雙擊新安全模板,以顯示安全區域,並定位到詳細資料窗格中所要配置的安全設定。

  ·在詳細資料窗格中,按右鍵要配置的安全設定,然後單擊“屬性”。

  ·選中“在模板中定義這個原則設定”複選框,編輯該設定,然後單擊“確定”。

  如果再想用其他的安全模板進行安全性分析,可以在“安全配置和分析”節點上單擊右鍵,點擊捷徑功能表中的“匯入模板”命令,在“匯入模板”對話方塊中,選擇需要的安全模板檔案,同時選擇“匯入之前清除這個資料庫”選擇框,如圖4所示,重複上述步驟的操作。

  

  圖4 匯入安全模板

  7、安全分析

  使用安全模板進行系統安全性分析就可以了。選擇一個適宜的安全模板,如Securews.inf,點擊“開啟”;按右鍵“安全配置和分析”項,選擇菜單中的“立即分析電腦”命令,並在“進行分析”對話方塊中指定儲存錯誤記錄檔檔案的路徑,點擊“確定”,開始系統安全機制的分析進程,見圖5;

  

  圖5 系統安全機制的分析進程截圖

  8、查看安全分析結果

  安全分析進程結束後,展開“安全配置和分析”節點下的各項,在右側邊窗格的項目列表中,通過項目中顯示的可視化的表徵圖可以查看哪些安全設定與系統建議的安全層級匹配,哪些不匹配,如圖6所示;

  

  圖6 查看安全分析結果

  在圖6中,密碼原則中有六項策略帶有綠色的對號,表示匹配。如果策略帶有紅色的差號,這表明不匹配。如圖7。

  

  圖7 安全分析結果不匹配策略

  具體安全分析結果說明見表-1

  表-1 安全分析結果說明

  標誌

  標誌說明

  紅色 X

  在分析資料庫和系統中定義了該項,但安全設定值不匹配。

  綠色勾號

在分析資料庫和系統中定義了該項,並且設定值匹配。

  問號

  沒有在分析資料庫中定義該項,因此沒有進行分析。 如果某一項沒有分析,則可能是由於沒有在分析資料庫中定義,或者執行分析的使用者沒有足夠的許可權對特定對象或地區執行分析。

  驚嘆號

  該項在分析資料庫中定義了,但在實際系統中並不存在。例如,在分析資料庫中可能會定義實際分析的系統中不存在的受限制的組。

  沒有反白

  沒有在分析資料庫或系統中定義該項。

  “安全配置和分析”按安全區顯示分析結果,並使用可視標誌表明問題。它可顯示安全區中每個安全屬性的當前系統配置設定和基本配置設定。要更改分析資料庫的設定,請按右鍵項目,然後單擊“屬性”。

  9、配置系統安全機制

  接著我們可以修改分析結果中的不匹配策略。然後進行重新分析知道滿意為止。按右鍵“安全配置和分析”項,選擇菜單中的“立即配置電腦”命令,並在“配置分析”對話方塊中指定儲存錯誤記錄檔檔案的路徑,點擊“確定”,開始系統安全機制的配置進程,見圖7;完成配置可以選擇“儲存”選項完成操作。

  
圖8 “立即配置電腦”安全介面

  10、注意事項

  使用Windows 2003的安全配置和分析管理工具,您不僅可以分析系統的安全配置是否適合,同時還可以設定系統安全配置,從而將您系統的安全狀況掌握在自己手中,但是在使用安全配置和分析管理工具時您需要注意以下兩點:

  ·進行安全性分析和配置時,選擇安全模板一定要適宜,特別是對於系統安全性配置,如果安全模板的層級較低,我們不易發現存在的安全薄弱環節;層級太高,可能會影響使用者的習慣性操作。徹底安全的系統從理論上講不可能,因此我們所指安全性只是在代價與可用性間作平衡。若是使用者提交的每一個變數都要求有生物學驗證(如指紋評鑑),則將獲得極高水平的可靠性。但是也會造成使用者登入就要幾十分鐘。這時使用者就會採取繞過安全驗證的方法。一個系統的可靠性只能由整個鏈條中最薄弱的環節來決定。在任何安全系統裡面,人是最脆弱的串連,單單技術本身不能讓系統安全。

  ·如果您使用windows 2000和Windows XP也可以使用相似的安全配置和分析工具提升系統安全效能。

  總結:Windows 2003系統提供的“安全配置和分析”管理工具可以協助我們實現這個目標,它的主要作用是對本地系統的安全性進行分析和配置。“安全配置和分析”管理工具可以根據系統提供的不同層級的安全模板對當前系統的安全設定進行分析,在分析結果中,以可視化的標記或注釋反白當前的設定與系統建議的安全層級不匹配的地區,從而找出系統安全的薄弱環節,同時這個工具為我們提供了快速對系統進行安全配置的途徑,使用者只需要選擇相應的安全模板,剩下的事情由“安全配置和分析”管理工具自動為您完成,從而輕鬆地掌控系統的安全。

來源:天極網    作者:曹江華    責編:豆豆技術應用



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。