Windows 2000 安全組態工具

來源:互聯網
上載者:User
文章目錄
  • 本地安全性原則
  • 域安全性原則
  • 組織單位組策略對象
  • 安全配置編輯器
  • 其他工具
 本頁內容
本模組內容
目標
適用範圍
如何使用本模組
Windows 2000 安全性原則
其他安全配置介面

本模組內容

本模組提供用於進行安全配置更改以達到 Microsoft Windows 2000 作業系統標準安裝基準的工具的概述。本模組僅描述工具,而不描述使用這些工具可以進行的設定。

返回頁首

目標

使用本模組可以實現:

識別 Windows 2000 安全組態工具。

返回頁首

適用範圍

本模組適用於下列產品和技術:

Microsoft Windows 2000 作業系統。

Microsoft Windows 2000 作業系統安全組態工具。

返回頁首

如何使用本模組

本模組識別可用於 Windows 2000 的安全組態工具。本模組還說明組策略的建立和處理。使用本模組可以熟悉這些工具。

為了充分理解本模組內容,請:

閱讀模組 Windows 2000 安全配置。本模組詳細介紹了可用於提高 Windows 2000 安全的安全設定。

使用附帶的“如何”模組:

如何在 Windows 2000 中配置和應用安全模板

返回頁首

Windows 2000 安全性原則

本部分介紹各種安全性原則工具及其有關安全性原則應用的優先順序順序。預設情況下,組策略具有繼承性和累積性,並且影響 Microsoft Active Directory 容器中的所有電腦。通過使用組策略對象 (GPO) 可以管理組策略,這些組策略對象是在選定 Active Directory 對象(如網站、域或組織單位 (OU))的特定階層中附加的資料結構。

建立了這些 GPO 後,可以按照如下標準順序應用:LSDOU,其表示 (1) 本地、(2) 網站、(3) 域、(4) OU。後應用的策略優先順序高於先應用的策略優先順序。如果某台電腦屬於某一域,並且在域和本機電腦策略之間存在衝突時,則域策略有效。然而,如果某台電腦不再屬於某一域,則應用本機群組策略。

電腦加入實施 Active Directory 和組策略的域時,會處理本地 GPO。請注意,甚至在指定了“阻止策略繼承”選項時,也會處理本地 GPO 策略。

可以在預設域 GPO 本地策略(稽核原則、使用者權限分配和安全選項)中定義整個域的帳戶原則(密碼、帳戶鎖定和 Kerberos 策略),因為在預設網域控制站 GPO 中定義了域控制控制器 (DC) 。對於 DC,在預設 DC GPO 中定義的設定優先權高於在預設域 GPO 中定義的設定。這樣,如果在預設域 GPO 中配置使用者特權(例如,“域中添加工作站”),則對此域中的 DC 沒有影響。

存在有在特定 GPO 中允許強制實施組策略的選項,這樣可以防止較低層級的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域層級定義了特定 GPO,並指定強制實施 GPO,則 GPO 包含的策略將會應用於此域中的所有 OU;也就是說,較低層級的容器 (OU) 無法替代此域組策略。

注意:帳戶原則安全區域接收它在此域電腦中生效的專門處理方式。此域中的所有 DC 接收來自在域節點配置的 GPO 的帳戶原則,而不考慮 DC 的電腦對象的位置。這樣可確保對於所有域帳戶強制實施一致的帳戶原則。域中的所有非 DC 的電腦可按照正常的 GPO 階層來獲得這些電腦上本地帳戶的策略。預設情況下,成員工作站和伺服器強制實施其本地帳戶網域 GPO 中配置的原則設定,但如果存在有替代預設設定的更低範圍的其他 GPO,則這些設定將會生效。

本地安全性原則

使用本地安全性原則可以在本機電腦中設定安全要求。其主要用於單獨電腦或用於將特定安全設定應用於域成員。在 Active Directory 託管網路中,本地安全性原則設定具有最低優先順序。

開啟本地安全性原則

1.

以管理員權限登入到電腦。

2.

在 Windows 2000 Professional 電腦中,預設情況下“管理工具”不會作為“開始”菜單中的選項進行顯示。要在 Windows 2000 Professional 中查看“管理工具”菜單選項,請單擊“開始”,指向“設定”,然後單擊“工作列和開始菜單”。在“工作列和開始菜單屬性”視窗中,單擊“進階”選項卡。在“開始菜單設定”對話方塊中選擇“顯示管理工具”。單擊“確定”按鈕完成設定。

3.

單擊“開始”,指向“程式”,再指向“管理工具”,然後單擊“本地安全性原則”。這樣就可以“本地安全設定”控制台。

圖 1:本地安全設定

域安全性原則

使用域安全性原則可以設定和傳播域中所有電腦的安全要求。域安全性原則替代域中所有電腦的本地安全性原則設定。

開啟域安全性原則

1.

開啟“Active Directory 使用者和電腦”嵌入式管理單元。

2.

按右鍵要查看的適當的組織單位或域,然後單擊“屬性”。例如,要查看域安全性原則,按右鍵域。要查看網域控制站策略,按右鍵“網域控制站”OU。

3.

單擊“組策略”選項卡。

4.

單擊“編輯”按鈕。

5.

展開“Windows 設定”。

6.

在“安全設定”樹中執行安全配置。

組織單位組策略對象

應該使用 OU 管理域中的安全性原則。此域已經與網域控制站 OU 一起提供。但是,可以根據需要定義其他 OU。例如,在域層級應該應用基準設定,然後在 OU 層級應用特定設定。這樣,可以建立工作站 OU 並將所有工作站置於其中,建立網域服務器 OU 並將所有域成員伺服器置於其中,等等。

OU GPO 可以替代由前面討論的策略介面實施的安全性原則設定。例如,如果為網域設定的策略與為網域控制站 OU 配置的相同策略不相容,則網域控制站不會繼承域原則設定。通過在建立 OU GPO 時選擇“禁止替代”選項,可以避免發生此情況。“禁止替代”選項會強制所有子容器繼承來自父容器的策略,即使在這些策略與子容器的策略有衝突以及為子容器設定了“阻止繼承”的情況下也是如此。通過單擊 GPO 的“屬性”對話方塊上的“選項”按鈕,定位“禁止替代”複選框。

返回頁首

其他安全配置介面

為了便於討論和實施,本文檔重點介紹有關通過 Windows 2000 安全性原則管理安全設定。但是,在獨立電腦上,這些介面不可用,甚至在域成員中有時需要逐一管理安全性,而不是通過組策略進行管理。有許多獨立工具可以用於執行這些任務。最常使用的是所有 Windows 2000 系統都附帶的安全配置編輯器。

安全配置編輯器

管理配置編輯器 (SCE) 由 Microsoft 管理主控台 (MMC) 兩個嵌入式管理單元組成,用於提供對 Windows 2000 作業系統進行安全配置和分析的功能。第一個嵌入式管理單元是“安全模板”嵌入式管理單元,可以為管理員提供管理 .inf 檔案(用於應用安全設定)的圖形方式。第二個嵌入式管理單元是“安全配置和分析”嵌入式管理單元,用於管理員分析與特定模板相關的系統的安全性以及將模板中的設定應用於系統。這些介面 2 所示。為了查看這些嵌入式管理單元,必須建立一個新的控制台。

建立新的控制台

1.

單擊“開始”,然後單擊“運行...”並運行 MMC

2.

MMC 出現後,單擊“控制台”,然後單擊“添加/刪除嵌入式管理單元...”。接著,單擊“添加...”,然後雙擊“安全配置和分析”以及“安全模板”。

3.

單擊“關閉”和“確定”返回控制台。為了將來使用,現在可以儲存此控制台以便在“開始”菜單上的“管理工具”檔案夾中可用。

圖 2:安全配置編輯器

使用 SCE 工具,管理員可以配置 Windows 2000 作業系統的安全性,然後執行對系統的定期分析以確保保持配置完整或者隨時間推移進行必要的更改。這些工具可以有效地提供對組策略“安全設定”樹中顯示的每一項內容的訪問能力。

有關使用 SCE 工具的詳細資料,請參閱:http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp(英文)。

其他工具

有許多 Windows 2000 附帶的其他工具可以用於管理安全性。本部分簡要介紹其中的一些工具。估計管理員已熟悉這些工具並且不需要對這些工具進行更多的介紹。

Windows Explorer – 允許設定檔系統上的隨機存取控制清單 (DACL) 和系統存取控制清單 (SACL)。

Regedt32.exe – 允許配置註冊表上的 DACL 和 SACL。

Cacls.exe – 命令列工具,此工具允許配置和查看檔案系統 DACL。

Net.exe – 命令列工具,可以用於建立和配置使用者帳戶和群組成員資格以及用於配置各種設定(如系統在網路瀏覽列表中是否可見)。

Netsh.exe – 命令列工具,用於配置網路參數。

Secedit.exe – 命令列工具,提供與 SCE 工具相同的功能。


返回頁首
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.