安全模板是 Windows 2000 的新特性。它是 安全配置的物理表示方法,由 Windows 2000 支持的安全属性的文件( .inf )组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。安全模板所包含的安全性信息有这样七类:帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务。安全模板也可以用作安全分析。 .
二、适用范围
Windows 2000 专业版和服务器版
三、 模板:
微软推荐了 一系列 Windows 2000 安全配置模板
W2KHG_baseline.inf – 应该应用于所有计算机的通用设置。
W2KHG_MemberWks.inf – 只针对作为域成员的工作站的设置。
W2KHG_MemberLaptop.inf – 只针对作为域成员的便携式计算机的设置。
W2KHG_MemberServer.inf – 只针对与域连接的服务器的设置。
W2KHG_DomainController.inf – 只针对域控制器的设置。
W2KHG_StandaloneWKS.inf – 只针对独立工作站的设置。
W2KHG_StandaloneSrv.inf – 只针对独立服务器的设置。
安全模板可以从 http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下载
四、查看和编辑安全配置模板
1 、将所需的模板复制到“ %Systemroot%SecurityTemplates ”目录中或硬盘的其他某一位置。
注意:如果您将它们复制到不同的位置,则需要 (a) 适当地保证该位置的安全,以使用户无法修改模板, (b) 将其添加到 MMC 的安全模板管理单元中。
2 、单击“开始”,单击“运行”,键入 mmc.exe ,然后单击“确定”。
3 、在“控制台”菜单上,单击“添加 / 删除管理单元”,然后单击“添加”。
4 、选定“安全模板”,单击“添加”,单击“关闭”,然后单击“确定”。
5 、要保存管理单元设置,请单击“控制台”菜单上的“保存”。键入此控制台的名称,然后单击“保存”。
6 、在“安全模板”管理单元中,双击“安全模板”。
7 、双击默认的路径文件夹 (%Systemroot%SecurityTemplates) ,然后双击要修改的安全配置模板。
8 、双击要修改的安全策略(例如“帐户策略”)。
9 、单击要自定义的安全区域(如“密码策略”),然后双击要修改的安全属性(如“密码长度最小值”)。
10 、修改步骤与本文档的“安全配置”一节中所述的步骤相同。
11 、完成修改后,右键单击已修改的安全配置模板的名称,然后单击“保存”。
五、使用模板
1 、 用具有管理权限的帐户登录计算机。
2 、将所需的模板复制到系统分区的“ %Systemroot%SecurityTemplates ”(或“ C:WINNTSecurityTemplates ”)文件夹中。
3 、单击“开始”,单击“运行”,键入 mmc.exe ,然后单击“确定”。
4 、在“控制台”菜单上,单击“添加 / 删除管理单元”,然后单击“添加”。
5 、选择“安全配置和分析”,单击“添加”,再单击“关闭”,然后单击“确定”。
6 、要保存管理单元设置,请单击“控制台”菜单上的“保存”。
7 、在“安全配置和分析”管理单元中,右键单击“安全配置和分析”。
如果还未设置一台工作数据库,单击“打开数据库”以设置一台工作数据库。键入新数据库的名称,以“ .sdb ”为扩展名,然后单击“打开”。找到安全配置模板,并选定它,这样它就会出现在“文件名:”文本框中。选定“清除此数据库”并单击“打开”。
如果已设置工作数据库,单击“导入模板”。找到安全配置模板,并选定它,这样它就会出现在“文件名:”文本框中。选定“清除此数据库”并单击“打开”。
8 、右键单击“安全配置和分析”,然后单击“立即配置计算机”。一个窗口出现,显示出错误日志文件的路径,这时单击“确定”。
注意:安全设置可立即设置好,部分设置尽管已被应用,但它们只有在重启计算机后才生效。
9 、关闭“安全配置和分析”工具,并重启计算机。
六、几个必须修改的参数
1 、安全日志的设置:因为安全日志是记录一个系统的重要手段,因此通过日志可以查看系统一些运行状态,而 Windows 2000 的默认安装是不开任何安全审核的,因此需要在安全模板→审核策略中打开相应的审核。单击“本地策略→审核策略”
设成:审核策略更改 成功,失败
审核登录事件 成功,失败
审核对像访问 成功,失败
审核过程跟踪 成功,失败
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功,失败
审核帐户登录事件 成功,失败
审核帐户管理 成功,失败
然后按右键保存
2 、账号安全设置: Windows 2000 的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,造成一些密码容易泄漏而对电脑进行攻击,所以必须采用以下进行安全设置。单击“帐户策略→密码策略”,这个项目。
设成: 在密码策略中设置:启用 “ 密码必须符合复杂性要求 ” , “ 密码长度最小值 ” 为 12 个字符, “ 强制密码历史 ” 为 5 次, “ 密码最长存留期 ” 为 30 天。 然后按右键保存
3 、 安全选项设置:单击 “ 本地策略 → 安全选项 ” ,找到右栏 “ 对匿名连接的额外限制 ” 。双击对其中有效策略进行设置,选择 “ 不允许枚举 SAM 账号和共享 ” 。因为这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息,一般选择此项。 然后按右键保存
注意:改动过后请重复第五步!(或者在控制面板 -> 管理工具 -> 本地安全策略的相关条目里修改
标签:
