Windows XP作業系統提供了強大的安全機制,但是如果要一一設定這些安全配置,卻是非常費時、費力的事,那麼有沒有一種可以快速配置安全選項的辦法呢?答案是肯定的,用安全模板就能快速、批量地設定所有安全選項。
一、瞭解安全模板
"安全模板"是一種可以定義安全性原則的檔案表示方式,它能夠配置賬戶和本地策略、事件記錄、受限組、檔案系統、註冊表以及系統服務等項目的安全設定。安全模板都以.inf格式的文字檔存在,使用者可以方便地複製、粘貼、匯入或匯出某些模板。此外,安全模板並不引入新的安全參數,而只是將所有現有的安全屬性群組織到一個位置以簡化安全性管理,並且提供了一種快速批量修改安全選項的方法。
系統已經預定義了幾個安全模板以協助加強系統安全,在預設情況下,這些模板儲存在"%Systemroot%SecurityTemplates"目錄下。它們分別是:
1.Compatws.inf
提供基本的安全性原則,執行具有較低層級的安全性但相容性更好的環境。放鬆使用者組的預設檔案和註冊表許可權,使之與多數沒有驗證的應用程式的要求一致。"Power Users"組通常用於運行沒有驗證的應用程式。
2.Hisec*.inf
提供高安全的用戶端原則範本,執行進階安全的環境,是對加密和簽名作進一步限制的安全模板的擴充集,這些加密和簽名是進行身份認證和保證資料通過安全通道以及在SMB客戶機和伺服器之間進行安全傳輸所必需的。
3.Rootsec.inf
確保系統根的安全,可以指定由Windows XP Professional所引入的新的根目錄許可權。預設情況下,Rootsec.inf為系統磁碟機根目錄定義這些許可權。如果不小心更改了根目錄許可權,則可利用該模板重新應用根目錄許可權,或者通過修改模板對其他卷應用相同的根目錄許可權。
4.Secure*.inf
定義了至少可能影響應用程式相容性的增強安全設定,還限制了LAN Manager和NTLM身份認證協議的使用,其方式是將用戶端配置為僅可發送NTLMv2響應,而將伺服器配置為可拒絕LAN Manager的響應。
5.Setupsecurity.inf
重新應用預設設定。這是一個針對於特定電腦的模板,它代表在安裝作業系統期間所應用的預設安全設定,其設定包括系統磁碟機的根目錄的檔案許可權,可用於系統災難恢複。
以上就是系統預定義的安全模板,使用者可以使用其中一種安全模板,也可以建立自己需要的新安全模板。
二、管理安全模板
1.安裝安全模板
安全模板檔案都是基於文本的.inf檔案,可以用文本開啟進行編輯,但是這種方法編輯安全模板太複雜了,所以要將安全模板載入到MMC控制台,以方便使用。
①依次點擊"開始"和"運行"按鈕,鍵入"mmc"並點擊"確定"按鈕就會開啟控制台節點;
②點擊"檔案"菜單中的"添加/刪除嵌入式管理單元",在開啟的視窗中點擊"獨立"標籤頁中的"添加"按鈕;
③在"可用的獨立嵌入式管理單元"列表中選中"安全模板",然後點擊"添加"按鈕,最後點擊"關閉",這樣安全範本管理員單元就被添加到MMC控制台中了。
為了避免退出後再運行MMC時每次都要重新載入,可以點擊"檔案"菜單上的"儲存"按鈕,將當前設定為儲存。
2.建立、刪除安全模板
將安全模板安裝到MMC控制台後,就會看到系統預定義的那幾個安全模板,你還可以自己建立新的安全模板。
首先開啟"主控台根目錄"列表中的"安全模板",在儲存安全模板檔案的檔案夾上點擊滑鼠右鍵,在彈出的捷徑功能表中選擇"新加模板",這樣就會彈出建立模板視窗,在"模板名稱"中鍵入建立模板的名稱,在"說明"中,鍵入新模板的說明,最後點擊"確定"按鈕。這樣一個新的安全模板就成功建立了。
刪除安全模板非常簡單,開啟"安全模板",在主控台樹狀目錄中找到要刪除的模板,在其上面點擊滑鼠右鍵,選擇"刪除"即可。
3.應用安全模板
新的安全模板經過配置後,就可以應用了,你必須通過使用"安全配置和分析"嵌入式管理單元來應用安全模板設定。
①首先要添加"安全配置和分析"嵌入式管理單元,開啟MMC控制台的"檔案"菜單,點擊"添加/刪除嵌入式管理單元",在"添加獨立嵌入式管理單元"列表中選中"安全配置和分析",並點擊"添加"按鈕,這樣"安全配置和分析"嵌入式管理單元就被添加到MMC控制台中了;
②在主控台樹狀目錄中的"安全配置和分析"上點擊滑鼠右鍵,選擇"開啟資料庫",在彈出的視窗中鍵入新資料庫名,然後點擊"開啟"按鈕;
③在安全模板列表視窗中選擇要匯入的安全模板,然後點擊"開啟"按鈕,這樣該安全模板就被成功匯入了;
④在主控台樹狀目錄中的"安全配置和分析"上點擊右鍵,然後在捷徑功能表中選擇"立即配置電腦",就會彈出確認錯誤記錄檔檔案路徑視窗,點擊"確定"按鈕。
這樣,剛才被匯入的安全模板就被成功應用了。
三、設定安全模板
1.設定賬戶策略
賬戶策略之中包括密碼原則、賬戶鎖定策略和Kerberos策略的安全設定,密碼原則為密碼複雜程度和密碼規則的修改提供了一種標準的手段,以便滿足高安全性環境中對密碼的要求。賬戶鎖定策略可以跟蹤失敗的登入嘗試,並且在必要時可以鎖定相應賬戶。Kerberos策略用於域使用者的賬戶,它們決定了與Kerberos相關的設定,諸如票據的期限和強制實施。
(1)密碼原則
在這裡可以配置5種與密碼特徵相關的設定,分別是"強制密碼曆史"、"密碼最長使用到期日"、"密碼最短使用到期日"、"密碼長度最小值"和"密碼必須符合複雜性要求"。
①強制密碼曆史:確定互不相同的新密碼的個數,在重新使用舊密碼之前,使用者必須使用過這麼多的密碼,此設定值可介於0和24之間;
②密碼最長使用到期日:確定在要求使用者更改密碼之前使用者可以使用該密碼的天數。其值介於0和999之間;如果該值設定為0,則密碼永不到期;
③密碼最短使用到期日:確定使用者可以更改新密碼之前這些新密碼必須保留的天數。此設定被設計為與"強制密碼曆史"設定一起使用,這樣使用者就不能很快地重設有次數要求的密碼並更改回舊密碼。該設定值可以介於0和999之間;如果設定為0,使用者可以立即更改新密碼。建議將該值設為2天;
④密碼長度最小值:確定密碼最少可以有多少個字元。該設定值介於0和14個字元之間。如果設定為0,則允許使用者使用空白密碼。建議將該值設定為8個字元;
⑤密碼必須符合複雜性要求:該項啟用後,將對所有的新密碼進行檢查,確保它們滿足複雜密碼的基本要求。如果啟用該設定,則使用者密碼必須符合特定要求,如至少有6個字元、密碼不得包含三個或三個以上來自使用者賬戶名中的字元等。
(2)賬戶鎖定策略
在這裡可以設定在指定的時間內一個使用者賬戶允許的登入嘗試次數,以及登入失敗後,該賬戶的鎖定時間。
①賬戶鎖定時間:這裡的設定決定了一個賬戶在解除鎖定並允許使用者重新登入之前所必須經過的時間,即被鎖定的使用者不能進行登入操作的時間,該時間的單位為分鐘,如果將時間設定為0,將會永遠鎖定該賬戶,直到管理員解除賬戶的鎖定;
②賬戶鎖定閥值:確定嘗試登入失敗多少次後鎖定使用者賬戶。除非管理員進行了重新設定或該賬戶的鎖定期已滿,才能重新使用賬戶。嘗試登入失敗的次數可設定為1到999之間的值,如果設定為0,則始終不鎖定該賬戶。
2.設定本地策略
本地策略包括稽核原則、使用者權限分配和安全選項三項安全設定,其中,稽核原則確定了是否將安全事件記錄到電腦上的安全日誌中;使用者權利指派確定了哪些使用者或組具有登入電腦的權利或特權;安全選項確定啟用或禁用電腦的安全設定。
(1)稽核原則
審核被啟用後,系統就會在稽核線索中收集審核對象所發生的一切事件,如應用程式、系統以及安全的相關資訊,因此審核對於保證域的安全是非常重要的。稽核原則下的各項值可分為成功、失敗和不審核三種,預設是不審核,若要啟用審核,可在某項上雙擊滑鼠,就會彈出"屬性"視窗,首先選中"在模板中定義這些原則設定",然後按需求選擇"成功"或"失敗"即可。
稽核原則包括審核賬戶登入事件、稽核原則更改、審核賬戶管理、審核登入事件、審核系統事件等,下面分別進行介紹。
①稽核原則更改:主要用於確定是否對使用者權限分配策略、稽核原則或信任策略作出更改的每一個事件進行審核。建議設定為"成功"和"失敗";
②審核登入事件:用於確定是否審核使用者登入到該電腦、從該電腦登出或建立與該電腦的網路連接的每一個執行個體。如果設定為審核成功,則可用來確定哪個使用者成功登入到哪台電腦;如果設為審核失敗,則可以用來檢測入侵,但攻擊者產生的龐大的登入失敗日誌,會造成拒絕服務(DoS)狀態。建議設定為"成功";
③審核對象訪問:確定是否審核使用者訪問某個對象,例如檔案、檔案夾、登錄機碼、印表機等,它們都指定了自己的系統存取控制清單(SACL)的事件。建議設定為"失敗";
④審核過程跟蹤:確定是否審核事件的詳細跟蹤資訊,如程式啟用、進程退出、間接對象訪問等。如果你懷疑係統被攻擊,可啟用該項,但啟用後會產生大量事件,正常情況下建議將其設定為"無審核";
⑤審核目錄服務訪問:確定是否審核使用者訪問那些指定有自己的系統存取控制清單(SACL)的ActiveDirectory對象的事件。啟用後會在網域控制站的安全日誌中產生大量審核項,因此僅在確實要使用所建立的資訊時才應啟用。建議設定為"無審核";
⑥審核特權使用:該項用於確定是否對使用者行使使用者權限的每個執行個體進行審核,但除跳過遍曆檢查、偵錯工具、建立標記對象、替換進程層級標記、產生安全性稽核、備份檔案和目錄、還原檔案和目錄等許可權。建議設定為"不審核";
⑦審核系統事件:用於確定當使用者重新啟動或關閉電腦時,或者對系統安全或安全日誌有影響的事件發生時,是否予以審核。這些事件資訊是非常重要的,所以建議設定為"成功"和"失敗";
⑧審核賬戶登入事件:該設定用於確定當使用者登入到其他電腦(該電腦用於驗證其他電腦中的賬戶)或從中登出時,是否進行審核。建議設定為"成功"和"失敗";
⑨審核賬戶管理:用於確定是否對電腦上的每個賬戶管理事件,如重新命名、禁用或啟用使用者賬戶、建立、修改或刪除使用者賬戶或管理事件進行審核。建議設定為"成功"和"失敗"。
(2)使用者權利指派
使用者權利指派主要是確定哪些使用者或組被允許做哪些事情。具體設定方法是:
①雙擊某項策略,在彈出"屬性"視窗中,首先選中"在模板中定義這些原則設定";
②點擊"添加使用者或組"按鈕就會出現"選擇使用者或組"視窗,先點擊"物件類型"選擇對象的類型,再點擊"位置"選擇尋找的位置,最後在"輸入對象名稱來選擇"下的空白欄中輸入使用者或組的名稱,輸完後可點擊"檢查名稱"按鈕來檢查名稱是否正確;
③最後點擊"確定"按鈕即可將輸入的對象添加到使用者列表中。
(3)安全選項
在這裡可以啟用或禁用電腦的安全設定,如資料的數位簽章、Administrator和Guest賬戶的名稱、軟碟機和CD-ROM磁碟機訪問、驅動程式安裝行為和登入提示等。下面介紹幾個適合於一般使用者使用的設定。
①防止使用者安裝印表機驅動程式。對於要列印到網路印表機的電腦,網路印表機的驅動程式必須安裝在本機印表機上。該安全設定確定了允許哪些人安裝作為添加網路印表機一部分的印表機驅動程式。使用該設定可防止未授權的使用者下載和安裝不可信的印表機驅動程式。
雙擊"裝置:防止使用者安裝印表機驅動程式",會彈出屬性視窗,首先選中"在模板中定義這個原則設定"項,然後將"已啟用"選中,最後點擊"確定"按鈕。這樣則只有管理員和超級使用者才可以安裝作為添加網路印表機一部分的印表機驅動程式;
②無訊息安裝未經簽名的驅動程式。當試圖安裝未經Windows硬體品質實驗室(WHQL)頒發的裝置驅動程式時,系統預設會彈出警告視窗,然後讓使用者選擇是否安裝,這樣很麻煩,你可以將其設定為無提示就直接安裝。
雙擊"裝置:未簽署的驅動程式的安裝操作"項,在出現的屬性視窗中,選中"在模板中定義這個原則設定"項,然後點擊後面的下拉按鈕,選擇"預設安裝",最後點擊"確定"按鈕即可;
③登入時顯示訊息文字。指定使用者登入時顯示的簡訊。利用這個警告訊息設定,可以警告使用者不得以任何方式濫用公司資訊或者警告使用者其操作可能會受到審核,從而更好地保護系統資料。
雙擊"互動式登入:使用者試圖登入時訊息文字",進入屬性視窗,先將"在模板中定義這個原則設定"選中,然後在下面的空白輸入框中輸入訊息文字,最多可以輸入512個字元,最後點擊"確定"按鈕。這樣,使用者在登入到控制台之前就會看到這個警告訊息對話方塊。
3.設定事件記錄
這個安全模板是定義與應用程式、安全和系統日誌相關的屬性的,如最大的日誌大小、對每個日誌的存取權限以及保留設定和方法。其中,應用程式記錄檔負責記錄由程式產生的事件;安全日誌根據審核對象記錄安全事件;系統日誌記錄作業系統事件。
(1)日誌保留天數
這個選項可以設定應用程式、安全性和系統日誌可以保留多少天。需要注意的是,僅當以預定的時間間隔對日誌進行存檔時才應設定此值,並要確保最大日誌大小足夠大,以滿足此時間間隔。這個天數可以是1到365天中的任何一個,使用者可按需要進行設定,建議設定為14天。
(2)日誌保留方法
在這裡可以設定達到設定的最大記錄檔的處理方法,共有按天數改寫事件、按需要改寫事件和不改寫事件(手動清除日誌)三種方式。如果希望將應用程式記錄檔存檔,就要選中"按需要覆蓋事件";如果希望以預定的時間間隔對日誌進行存檔,可選中"按天數覆蓋事件";如果需要在日誌中保留所有事件,可選中"不要改寫事件(手動清除日誌)",在這種情況下,當達到最大日誌大小時,將會丟棄新事件記錄。
(3)限制本地來賓組訪問日誌
在這裡可以設定是否限制來賓訪問應用程式、安全性和系統事件日誌。預設設定是允許來賓使用者和空串連可以查看系統日誌,但禁止訪問安全日誌。
(4)日誌最大值
這裡可以設定記錄檔的最大值和最小值,可用值的範圍