使用安全模版加固系統(tǒng)安全

在筆者單位的服務(wù)器上配置了嚴(yán)密的安全策略，如果想將其應(yīng)用到其他單位的主機(jī)上，還得逐一進(jìn)行調(diào)配等。如果能夠自動(dòng)批量設(shè)置所有與安全相關(guān)的組策略，無(wú)疑可以大大提高操作效率。使用系統(tǒng)自帶的安全模版，可快速批量修改相關(guān)的安全項(xiàng)目，提高了操作效率。

安全模版其實(shí)是由一些名稱(chēng)不同的“.inf”文件組成。其定義了和本地權(quán)限，安全配置，本地組成員，服務(wù)，文件和目錄授權(quán)，注冊(cè)表授權(quán)等方面的內(nèi)容。管理員可以使用記事本的工具，對(duì)其進(jìn)行復(fù)制、移動(dòng)、修改等操作。例如，對(duì)于Windows Server 2012來(lái)說(shuō)，就預(yù)設(shè)了“dc security.inf”，“Web server.inf”等。

對(duì) 于Windows Server 2003來(lái)說(shuō)，其提供的“Setup security.inf”模版是默認(rèn)的安全模版，定義了默認(rèn)的安全配置?！癱ompatws.inf”是兼容模版，以“Secure”開(kāi)頭的文件是安全模版，定義了諸如密碼復(fù)雜性策略，鎖定和審核策略等增強(qiáng)型的安全設(shè)置項(xiàng)目。以“hisec”開(kāi)頭的文件是高級(jí)安全模版，可以對(duì)加密和簽名進(jìn)行限制?！皉ootsec.inf”文件是系統(tǒng)根目錄安全模版，為系統(tǒng)盤(pán)中的目錄的權(quán)限進(jìn)行定義?！癷esacls.inf”文件是IE瀏覽器安全模版，主要用來(lái)增強(qiáng)IE的安全性能。

圖1 安全模版設(shè)置窗口

執(zhí)行“mmc”程序，在控制臺(tái)中依次點(diǎn)擊菜單“文件”、“添加刪除/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)選擇“安全模版”項(xiàng)，點(diǎn)擊“添 加”和“確定”按鈕：在控制臺(tái)左側(cè)依次選擇“安全模版”、“模版文件路徑”項(xiàng)，在其下顯示策略策略（包括密碼策略、賬戶(hù)鎖定策略等），本地策略（包括審核策略、用戶(hù)權(quán)限分配等），事務(wù)日志（和事件查看器相關(guān)的策略），受限制的組（控制哪些用戶(hù)可以進(jìn)入本地組），系統(tǒng)服務(wù)（調(diào)整系統(tǒng)服務(wù)活動(dòng)狀態(tài)），注冊(cè)表（對(duì)注冊(cè)表訪問(wèn)權(quán)限進(jìn)行控制）。選擇對(duì)應(yīng)的模版項(xiàng)目，可以對(duì)其中的配置項(xiàng)目進(jìn)行調(diào)整（如圖1）。

除了使用系統(tǒng)自帶的安全模版外，可以自定義所需的模版。如在模版路徑節(jié)點(diǎn)的右鍵菜單上點(diǎn)擊“新加模版”項(xiàng)，在彈出窗口中輸入其名 稱(chēng)（例如“NewTemplate”）和描述信息。之后選擇“NewTemplate”、“受限制的組”項(xiàng)，在右側(cè)窗口點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“添加組”項(xiàng)，點(diǎn)擊瀏覽按鈕，選擇輸入組的名稱(chēng)（例如“Administrators”），點(diǎn)擊“確定”按鈕，在彈出窗口中點(diǎn)擊“添加”按鈕，導(dǎo)入所需的組名（例如“Domain Admins”）。 這樣，就可將該組添加到本地的Administrators組中。其好處在于可以控制本地管理員組的成員。針對(duì)Administrators組進(jìn)行上述受限制的策略配置，就只允許“Domain Admins”中的用戶(hù)擁有管理員權(quán)限，其余的用戶(hù)將被自動(dòng)清理出本地的Administrators。

選擇“NewTemplate”、“文件系統(tǒng)”項(xiàng)，在在右側(cè)窗口的右鍵菜單上點(diǎn)擊“添加文件”項(xiàng)，選擇“D盤(pán)”，點(diǎn)擊“確定”按鈕，在彈出窗口中“組或用戶(hù)名”列表中只保留Administrators組，將其余的賬戶(hù)全部刪除。針對(duì)Administrators組啟用“完全控制”權(quán)限。這樣，只有管理員才可以對(duì)D盤(pán)中的文件進(jìn)行完全控制。選擇“NewTemplate”、“系 統(tǒng) 服務(wù)”項(xiàng)，在右側(cè)列表中雙擊“Remote Registry”項(xiàng)，在彈出窗口（如圖2）中選擇“在模版中定義此策略設(shè)置”項(xiàng)，選擇“已禁用”項(xiàng)。這樣，額可以防止別人通過(guò)遠(yuǎn)程注冊(cè)表服務(wù)，來(lái)隨意控制本機(jī)。

圖2 管理系統(tǒng)服務(wù)

選擇“NewTemplate”、“注冊(cè)表”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“添加”項(xiàng)，選擇“MACHINESOFTWAREMicrosoftWindow sCurrentVersionRun”項(xiàng)，點(diǎn)擊“確定”按鈕，在彈出窗口中“組或用戶(hù)名”列表中之保留Administrators組，將其余的賬戶(hù)全部刪除，針對(duì)Administrators組之選擇允許讀取權(quán)限。這樣可防止無(wú)關(guān)程序隨意在啟動(dòng)項(xiàng)中添加內(nèi)容。當(dāng)然，這里只是說(shuō)明了幾個(gè)簡(jiǎn)單的配置項(xiàng)目，您可以根據(jù)實(shí)際需要，對(duì)其進(jìn)行更加復(fù)雜的安全設(shè)置。

當(dāng)配置好自定義模版后，在“NewTemplate”項(xiàng)的右鍵菜單上點(diǎn)擊“保存”項(xiàng)，即可在上述模版存儲(chǔ)路徑下得到名為“NewTemplate.inf”的文件。要想讓精心配置的模版發(fā)揮作用，需要使用安全配置和分析管理單元進(jìn)行配合。執(zhí)行“mmc”程序，在控制臺(tái)中點(diǎn)擊菜單“文件”、“添加刪除/刪除管理單元”項(xiàng)，在彈出窗口左側(cè)選擇“安全配置和分析”項(xiàng)，點(diǎn)擊“添加”和“確定”按鈕：在控制臺(tái)左側(cè)選擇“安全模版”、“安全配置和分析”項(xiàng)，在其右鍵菜單上點(diǎn)擊“打開(kāi)數(shù)據(jù)庫(kù)”項(xiàng)，輸入新的數(shù)據(jù)庫(kù)名稱(chēng)，可以創(chuàng)建該數(shù)據(jù)庫(kù)。

之后在自動(dòng)打開(kāi)的導(dǎo)入模版窗口中選擇上述“NewTemplate.inf”文件，將該安全模版導(dǎo)入進(jìn)來(lái)。在“安全配置和分析”項(xiàng)的右鍵菜單上點(diǎn)擊“立即配置計(jì)算機(jī)”項(xiàng)，就可以應(yīng)用該模版文件中的配置項(xiàng)目了。此外。利用安全模版，還可以對(duì)系統(tǒng)進(jìn)行安全分析。在“安全配置和分析”項(xiàng)的右鍵菜單上點(diǎn)擊“立即分析計(jì)算機(jī)”選項(xiàng)，可以將當(dāng)前主機(jī)設(shè)置項(xiàng)目和安全模版中的內(nèi)容進(jìn)行對(duì)不分析，找出兩者不同點(diǎn)。這樣就可以輕松查看本機(jī)上的安全設(shè)置究竟發(fā)生了哪些變化。