用好安全模板與分析工具

引言： Windows Server 2012有安全模板，它可以作用于DC和服務(wù)器中有關(guān)角色和應(yīng)用的高級(jí)別的安全設(shè)置，這些.inf文件可以被導(dǎo)入進(jìn)GPOs (Group Policy Objects)；更進(jìn)一步，安全模板可以導(dǎo)入到安全數(shù)據(jù)庫(kù)，用于配置那些沒有活動(dòng)目錄AD的個(gè)別服務(wù)器。

從安全模板談起

Windows Server 2003（以 下 簡(jiǎn) 稱WS2003，Windows Server 2012簡(jiǎn)稱WS2012等）中，系統(tǒng)就提供有安全模板（Security Templates），默認(rèn)位置為%systemroot%security templates，其中包含有模板 如Setup Security.inf和 Compatws.inf，前 者 是在系統(tǒng)安裝時(shí)便生成，不同安裝方式（如純安裝和升級(jí)安裝）其內(nèi)容有所不同；模板Compatws.inf則涉及訪問控制列表，包括用戶組文件及其注冊(cè)信息。此外，還有多個(gè)模板文件如DC security.inf 、Securedc.inf、Rootsec.inf等。但WS2008之后版本，安全模板默認(rèn)位置 是 在%systemroot%inf，而且限制性更強(qiáng)，模板包括：Defltbase.inf，Defltsv.inf，Defltdc.inf，DCfirst.inf（域內(nèi)的第一個(gè)域控制器DC）。

那么這些模板作用是什么呢？它可以作用于DC和服務(wù)器中有關(guān)角色和應(yīng)用的高級(jí)別的安全設(shè)置，這些.inf文件可以被導(dǎo)入進(jìn)GPOs(Group Policy Objects)；更進(jìn)一步，安全模板可以導(dǎo)入到安全數(shù)據(jù)庫(kù)，用于配置那些沒有活動(dòng)目錄AD的個(gè)別服務(wù)器。微軟網(wǎng)站提供了一個(gè)工具SCW，可以將安全數(shù)據(jù)庫(kù)中的配置與本地服務(wù)器進(jìn)行比較和分析，便于系統(tǒng)安全維護(hù)。

如何生成一個(gè)新的安全數(shù)據(jù)庫(kù)

為系統(tǒng)安全配置進(jìn)行分析了解，管理員有必要生成一個(gè)安全數(shù)據(jù)庫(kù)。筆者僅以英文版WS2012 R2為例介紹生成方法：

1.以本地管理員身份登錄系統(tǒng)，在開始菜單運(yùn)行“mmc”命令，然后從“File”菜單選取“Add/Remove Snapin…”；2.出現(xiàn)“Addor RemoveSnap-ins” 對(duì)話框，從下拉列表選擇“Security Configuration and Analysis”，依次點(diǎn)擊“Add”和“OK”按鈕；

3.在MMC窗口內(nèi)，右鍵“Security Configuration and Analysis”后從菜單選取“Open Database”選項(xiàng)；

4.看 到“Open database”對(duì)話框，輸入新數(shù)據(jù)庫(kù)的名稱；

5.進(jìn) 入“Import Template”對(duì)話框，此時(shí)需要選取一個(gè).inf文件對(duì)安全數(shù)據(jù)庫(kù)進(jìn)行配置，此時(shí)需要打開WS2012 R2提供的默認(rèn)安全模板，例如Defltsv.inf，幾秒之后便完成。

如何分析服務(wù)器安全狀況

建立好了新的安全數(shù)據(jù)庫(kù)即可通過庫(kù)內(nèi)設(shè)置項(xiàng)與本地機(jī)器進(jìn)行比較：

1.在MMC左側(cè)面板有一項(xiàng)名為“Security Configurationand Analysis”，右擊后從菜單選取“Analyze Computer Now”，對(duì)錯(cuò)誤記錄文件等一律選“OK”；

2.在MMC窗口內(nèi)，將“Security Configuration and Analysis”欄目下的“Account Policies” 進(jìn) 行擴(kuò)展，對(duì)其中的密碼策略“Password Policy” 進(jìn) 行點(diǎn)擊，在MMC中會(huì)看到Password Policy的逐項(xiàng)設(shè)置，還有“Database Setting”列表以及本地機(jī)器設(shè)置。假設(shè)登錄的是一部獨(dú)立的服務(wù)器，還沒有改變默認(rèn)設(shè)置，那么數(shù)據(jù)庫(kù)和本地機(jī)設(shè)置應(yīng)該是一致的。

還可對(duì)數(shù)據(jù)庫(kù)中的安全設(shè)置項(xiàng)進(jìn)行編輯，例如：

1.在MMC窗口內(nèi)，將“Security Configuration and Analysis” 欄 目 下的“Account Policies” 加以擴(kuò)展后點(diǎn)擊“Password Policy”；

2.雙擊面板中的“Password must meet complexity requirements”（密碼必須適用復(fù)雜環(huán)境），此時(shí)需要勾選“Define this policy in the database”，將策略設(shè)置從Enabled改變?yōu)镈isabled后選“OK”；

3.右點(diǎn)MMC中的“Security Configuration and Analysis” 后 選 擇“Save”。類似的操作適用于安全數(shù)據(jù)庫(kù)中的任何策略設(shè)置，此處不作贅述。

如何對(duì)服務(wù)器進(jìn)行安全配置

可以通過安全數(shù)據(jù)庫(kù)中的設(shè)置對(duì)服務(wù)器進(jìn)行配置：在MMC 中右擊“Security Configuration and Analysis”后，從菜單選擇“Configure Computer Now”即可完成。

經(jīng)過一段時(shí)期后，安全數(shù)據(jù)庫(kù)設(shè)置趨于完善，可以將該設(shè)置導(dǎo)出為.inf文件，以用于其他系統(tǒng)或通過組策略發(fā)布。實(shí)現(xiàn)方式為：在MMC中右點(diǎn)“Security Configuration and Analysis”后，從菜單選取“Import Template”即可。

功能全面的安全管理工具SCM

在微軟網(wǎng)站提供了免費(fèi) 工 具 SCM （Security Compliance Manager），便于管理員進(jìn)行系統(tǒng)安全維護(hù)和組策略設(shè)置，它還能夠跟蹤安全模板基準(zhǔn)的變化情況。雖然SCM可以而且被多數(shù)人直接安裝到WS2012，但微軟建議將其安裝到管理工作站。SCM 安裝要求的系統(tǒng)配置有：.NET Framework 、SQL Express Server 2008以及Microsoft Visual C++。

安裝完成后啟動(dòng)SCM，它會(huì)自動(dòng)導(dǎo)入安全基準(zhǔn)模板，為此需要幾分鐘。重啟SCM后，可能會(huì)提示下載更新安全模板，此時(shí)就會(huì)啟動(dòng)向?qū)Чぞ摺癐mport Baselines Wizard”：對(duì)于每個(gè)模板的安全提示均點(diǎn)擊“Run”按鈕 ，選擇相應(yīng)的更新模板后 進(jìn) 入“Baseline details”頁(yè)面，點(diǎn)擊“Import”后在“Results”頁(yè)面點(diǎn)擊“Finish”按鈕。

然后，在SCM左側(cè)面板就會(huì)看到所有導(dǎo)入的基準(zhǔn)模板的列表。此時(shí)，如果我們擴(kuò)展開左側(cè)面板的WS2012欄目，就會(huì)看到針對(duì)多個(gè)不同服務(wù)器角色的基準(zhǔn)模板，如域控制器DC和File Server。微軟建議服務(wù)器僅采用這樣三類安全模板：Domain Controller,Domain Security以 及Member Server 。

在所列模板中有一個(gè)是WS2012 Member Server Security Compliance 1.0，可以對(duì)其復(fù)制并進(jìn)行某些設(shè)定，具體操作為：

1.在SCM 中點(diǎn)擊該模板，然后點(diǎn)擊“Duplicate”按鈕；

2.在“Duplicate”對(duì)話框中，給出模板的新名稱并點(diǎn)擊“Save ”按鈕；

3.這樣，新的模板便出現(xiàn)在左側(cè)面板中，然后點(diǎn)擊“Network Security”: “Do not store LAN manager hashes on next password change” 選項(xiàng) ；

4.看到在默認(rèn)時(shí)該設(shè)置為Enabled ，現(xiàn)在將其改為Disabled，方法為從“Customize”下拉菜單中選取Disabled，等幾秒完成后點(diǎn)擊“Collapse”即可。

SCM有一項(xiàng)很重要的功能是能夠比較兩個(gè)模板，發(fā)現(xiàn)兩者不同并選出佳者，具體操作為：

1.在SCM中，擴(kuò)展開左側(cè)的“Custom Baselines,Windows Server 2012”選項(xiàng)，然后選取剛才特制的模板；

2.點(diǎn)擊右側(cè)面板的“Compare / Merge”選項(xiàng)；

3.在“Compare Baselines”對(duì)話框內(nèi)，擴(kuò)展開“Microsoft Baselines,Windows Server 2012”選 項(xiàng) 后，選 擇“WS2012 Member Server Security Compliance 1.0”選項(xiàng)后點(diǎn)擊“OK”；

4.我們會(huì)直接看到SCM所發(fā)現(xiàn)的不同設(shè)置，比如Network安全項(xiàng)目中的LAN Manager配置有問題，此時(shí)我們可以進(jìn)行彌補(bǔ)。

5.在SCM中 點(diǎn) 擊“Merge”選項(xiàng)，進(jìn)入“Merge Baselines”窗口后在“LAN Manager”設(shè)置項(xiàng)中點(diǎn)擊“Enabled”，然后輸入指定的新的基準(zhǔn)模板即可。

SCM除了用于安全設(shè)置的分析與管理外，它對(duì)組策略（GP）也頗具工具性，其實(shí)管理員完全可以將GP設(shè)置加入到基準(zhǔn)中去?，F(xiàn)在，假設(shè)需要生成一個(gè)新的設(shè)置組，其設(shè)置在默認(rèn)模板并未包括，那么具體實(shí)現(xiàn)方式是：

1.在SCM中，從左側(cè)選取想要加入設(shè)置的基準(zhǔn)模 板，然后點(diǎn)擊“Setting Group”欄目下的“Add”按鈕；

2.在“Setting Group Properties”屬性對(duì)話框中輸入“Windows Installer”后點(diǎn)擊“Add”按鈕；

3. 在“Add Settings”對(duì)話框中，從產(chǎn)品列表選擇“Windows Server 2012”選項(xiàng)；

4. 從“Setting Group”菜 單 選 擇“Windows Installer”選項(xiàng)；

5.從“Choose Settings”中的下拉菜單選擇“Computer Configuration”選項(xiàng)；

6.出現(xiàn)一個(gè)新的菜單，將其設(shè)置到“Administrative Templates”選項(xiàng)，設(shè)置好菜單“Windows Components”和 “Windows Installer”選項(xiàng)；

7.從設(shè)置列表中選 擇“Prohibit nonadministrators from applying vendor signed updates”后點(diǎn)擊“Add”按鈕。此時(shí)，從SCM的設(shè)置模板列表中就會(huì)看到有“Windows Installer組”，增加的設(shè)置就在這里。