对于
Windows2003
系统管理员来说,最关心的事情莫过于Windows2003系统的
安全了。为了提高系统的安全程度,我们可能对系统进行了多方面的安全设置,但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平,对于这些,我们需要有一个整体的了解和掌握。
+ [- ~& ?9 U9 j( `6 f, i 一、安全配置和分析以及安全模板的基础
知识
/ Q0 r9 }" t' y$ t3 m0 ?! m* a 1.安全配置和分析
; b1 W% s0 |/ g. u" s
安全配置和分析概述“安全配置和分析”是分析和配置本地系统安全性的一个工具。包括:
: L3 m* ~, d' p! [ ·安全分析
1 C3 X) q# b% k$ e: S
计算机上的
操作系统和应用
程序的状态是动态的。例如,为了能立刻解决管理或
网络问题,您可能需要临时性地更改安全级别。然而,经常无法恢复这种更改。这意味着计算机不能再满足企业安全的要求。常规分析作为企业风险管理程序的一部分,允许管理员跟踪并确保在每台计算机上有足够高的安全级别。管理员可以调整安全级别,最重要的是,检测在系统长期运行过程中出现的任何安全
故障。“安全配置和分析”使您能够快速查阅安全分析结果。在当前系统设置的旁边提出建议,用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。“安全配置和分析”也提供了解决分析显示的任何矛盾的
功能。
& Y8 a/ b) w: ?! t9 X- N: e ·安全配置
- d) `7 e5 w3 s: J
“安全配置和分析”还可以用于直接配置本地系统的安全性。利用个人
数据库,可以导入由“安全模板”创建的安全模板,并将这些模板应用于本地计算机。这将立即使用模板中指定的级别配置系统安全性。
* ?& Z2 |/ n$ O ~4 C, G$ H 2、安全模板
2 B5 {8 ^) S: _7 T, }
安全模板使用
Microsoft管理控制台的安全模板管理单元,您可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。安全模板管理单元并不引入新的安全参数,它只是将所有的现有安全属性组织在一起以便于安全管理。将安全模板导入到“组策略”
对象中可以通过立即配置域或部门的安全性来简化域管理。要将安全模板应用于本地计算机,可以使用“安全配置和分析”或Secedit命令行工具。
i: A8 s* f; W+ \9 k1 s: U 安全模板可用于定义以下内容:
! b5 @% e K1 |& x! d# Y+ _! | ·帐户策略
' v2 H' k# p) T ·密码策略
% i' N: e! G: J+ W5 O* k ·帐户锁定策略
6 [; n4 x9 i- B% b ·Kerberos策略
" n# Z) P* Q1 f
·本地策略
7 p. ^5 Q+ Q- g4 R7 s: u
·审核策略
* I2 X% z7 L, a; u& F
·用户权限分配
+ ?* `$ S, [: l3 V6 c4 a0 x ·安全选项
; ?( C R: C, \0 l
·事件日志:应用程序、系统和安全的事件日志设置
) b: _: Z- o7 ^) I3 u' @
·受限制的组:安全敏感组的成员资格
8 t, u: p( N! T& k% I8 Y9 X
·系统服务:系统服务的启动和权限
2 p7 n. [2 P1 g4 I! g7 Q1 h" j8 @ ·注册表:注册表项的权限
|3 k( I, L( X. f) Z* o ·文件系统:文件夹和文件的权限
6 t2 t: p, n8 |
将每个模板都另存为基于文本的.inf文件。这允许您复制、粘贴、导入或导出某些或所有模板属性。在安全模板中可以包含除“Internet协议”安全和公用密钥策略之外的所有安全属性。
# a$ ?3 U" U+ K! `$ J; i! k+ Z, i
3、配置本地计算机安全有两种方法
+ }& O, Y; W3 S 配置本地计算机安全有两种方法使用命令行和Windows图形界面。这里主要介绍前者。Windows命令行最大的一个特点就是对
网络管理的便宜性,管理员只需在命令行窗口输入几个命令,就可以完成诸多繁杂的操作,达到预期的目的。而且可以通过一些命令工具判断网络内部的
物理故障以及
网络安全问题,实现网络管理的自动化和批量化。
) F$ f& k* g7 E0 B1 { Windows9X下的DOS与WindowsNT/2000/
XP/2003下的命令行,虽然提供的都是黑白分明的字符界面,但其本质还是有所区别的。原因在于WindowsNT/2000/XP/2003已经彻底脱离了DOS的桎梏,DOS只是作为操作系统所提供的虚拟机而存在,换句说,命令行已经不再是基础,而成为了一种工具。然而,我们却不能因此而小觑了这些貌似简单的命令行工具。原因很简单,命令行仍然是我们解决棘手的问题的首先。
$ h B6 `4 G w; p3 r5 z4 f 命令行格式:/secedit/analyze/dbFileName.sdb[/cfgFileName][/overwrite][/logFileName][/quiet]
) `* Q A3 J# ? 主要参数:
5 T' V+ b5 U0 D7 B! F7 b, }2 _ /dbFileName:指定用于执行此次分析的数据库。
, h* d8 T: X4 k9 W+ |
/cfgFileName:指定在执行分析前要导入到数据库中的安全模板。安全模板是使用安全模板管理单元创建的。
+ M! d; k3 ~, R8 t$ V
/logFileName:指定一个文件,用于记录配置过程所处的状态。如果未指定,配置数据将被记录在%windir%securitylogs文件夹的Scesrv.log中。
" J/ `) h# ^/ N8 @4 s: ~6 H0 S
/quiet:指定在执行分析过程时不作更多参与。
9 d0 v- e9 }6 I' p
/loglogpath:指定一个文件,该文件用于记录配置过程所处的状态。如未指定,配置数据将被记录在%windir%SecurityLogs文件夹的scesrv.log文件中。
- y8 q' A3 G. N$ ^* L* B /quiet:指定应该在不提示用户的情况下进行配置。
( G3 e0 `# S% r; Y/ c 使用Secedit命令行工具建立模板。通过在批处理文件或自动任务计划程序的命令提示符下调用Secedit.exe工具,可以自动创建和应用模板,以及分析系统的安全性。也可以从命令提示符下动态运行该命令。当必须分析或配置多台计算机的安全性,并且需要在非工作
时间执行任务时,Secedit.exe很有用。要查看该命令的完整语法,请在命令提示符下输入:secedit/?,见图1。
# T3 l. h1 r& P' X- A5 G
# q% Z( G. U; G% x1 o1 ^! U
/ I J y( [2 s s! @3 S) C8 A
! `1 b/ g' Q" P+ c" ?: w3 ]
图1secedit命令的完整语法
. J* w- _ ? W0 |9 w+ K 下面简单介绍以下子命令:
# s: J4 [( j5 ~$ n6 X
lsecedit/analyze:可通过将其与数据库中的基本设置相比较,分析一台计算机上的安全设置。
+ L8 `$ m9 o' r. Q& t lsecedit/configure:通过应用存储在数据库中的设置配置本地计算机的安全性设置。
$ d8 T/ I) `; {9 X1 m \ lsecedit/export:可将存储在数据库中的安全性设置导出。
8 B! l+ N+ w R6 I: V5 ? lsecedit/import:可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。
8 s8 v. Q! F8 ]# T6 s# l1 Q
lsecedit/validate:验证要导入到分析数据库或系统应用程序的安全模板的语法。
2 N+ U8 k! j% L& Z$ ^6 u8 J* [
lsecedit/GenerateRollback:可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时,可以选择创建回滚模板,该模板在应用时会将安全性设置重置为应用配置模板前的值。
; _$ ?$ B$ ^+ J4 d 默认情况下几个安全模板文件如下:
5 K* w6 Z. _6 G# L; x5 f$ P% |+ N/ G
·默认安全设置模板(Setupsecurity.inf)
' m" u. a. a$ [( ^. O Setupsecurity.inf模板是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级,该模板在不同的计算机中可能不同。Setupsecurity.inf代表了在安装操作系统期间所应用的默认安全设置,其中包括对系统
驱动器的根目录的文件权限。它可以用在
服务器或客户端计算机上,但不能应用于域控制器。此模板的某些部分可应用于故障恢复。请不要通过使用“组策略”来应用Setupsecurity.inf。此模板含有大量数据,如果通过组策略来应用它,可能会严重降低
性能(因为策略是定期刷新的,这样做将导致在域中移动大量数据)。因此,建议在局部应用Setupsecurity.inf模板。由于Secedit命令行工具支持该功能,因此建议使用该工具。
2 {% v2 h S0 j8 M ·域控制器默认安全设置模板(DCsecurity.inf)
+ F9 K) v: Z, i
该模板是在服务器被升级为域控制器时创建的。它反映了文件、注册表以及系统服务的默认安全设置。重新应用它后,上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或Secedit命令行工具可以应用它。
: }/ O$ R5 |3 ~3 E
·兼容模板(compatws.inf)
* r% |) Z. b Q6 @' C
工作站和服务器的默认权限主要授予三个本地组:Administrators、PowerUsers和Users。Administrators享有最高的特权,而Users的特权最低。正因为如此,可以通过以下方式极大地提高系统所有权的安全性、可靠性,并降低其总
成本:确保最终用户都是Users成员。部署可由Users组的成员成功运行的应用程序。具有User权限的人可以成功运行已加入在WindowsLogoProgramforSoftware中的应用程序。但是,User可能无法运行不符合该计划要求的应用程序。
% u% K7 W; H+ G ·高级安全模板(hisec*.inf)
' w4 C& n8 i/ E6 X
高级安全模板是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户端和服务器之间进行安全传输所必需的。例如,安全模板可以使服务器拒绝LAN
Manager的响应,而高级安全模板则可导致同时对LAN
Manager和NTLM响应的拒绝。安全模板可以启用服务器端的SMB
信息包签名,而高级安全模板则要求这种签名。此外,高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。Hisecdc和Hisecws:高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的,要求对安全通道数据进行强力的加密和签名,从而形成域到成员和成员到域的信任关系。
4 X7 [+ C/ Z( \. u9 r ·系统根目录安全模板(Rootsec.inf)
- I5 A5 `0 d. H+ E: |9 F Rootsec.inf可指定根目录权限。默认情况下,Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其他卷应用相同的根目录权限。正如所说明的那样,该模板并不覆盖已明确定义在子对象上的权限,它只是传递由子对象继承的权限。
5 S* i+ R- O6 l9 X. U3 k ·无终端服务器用户SID模板(Notssid.inf)
( w" R2 { L8 z, p9 @ q0 _7 t' k
服务器上的默认文件系统和注册表访问控制列表可将权限授予终端服务器的安全标识符(SID)。仅当“终端服务器SID”以应用程序兼容模式运行时,它才能被使用。如果当前没有使用“终端服务器SID”,则可以应用该模板从文件系统和注册表位置删除不需要的“终端服务器SID”。然而,从这些默认的文件系统和注册表位置删除“终端服务器SID”的访问控制项并不会增加系统的安全性。因此请不要删除“终端服务器SID”,而直接以“完整安全”模式运行终端服务器。当以“完整安全”模式运行时,则不使用“终端服务器SID”。
; B1 u7 S- E! P* T! N
上面我们介绍了配置本地计算机安全的命令行方法,下面介绍在Windows图形界面如何完成。
8 N- ?9 _: {( r& e0 J3 F
二、使用用安全配置和分析工具
) s* w2 M" t) O7 q
下面是图形界面下使用安全配置和分析工具提升
windows2003系统安全详细步骤:
# O# l. Y) y$ v- Q( H6 v
1、使用管理员权限登录
0 |' ?9 }8 a, M0 j8 h7 O) i; b 首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意:要执行该过程,您必须是本地计算机Administrators组的成员,或者您必须被委派适当的权限。如果将计算机加入域,DomainAdmins组的成员可能也可以执行这个过程。作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。
' N2 V3 F5 b b! h 2、打开“安全配置和分析”
: K" Z' b# A% ~7 i* V
要打开“安全配置和分析”,请先单击“开始”,接着单击“运行”,然后输入mmc,最后单击“确定”。在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”。然后,在控制台树中,使用Ctrl+M快捷键打开“添加/删除管理单元”如图2。
' T" t$ M @9 e8 q) v" N
: b! p; [% O& Y% d6 P
/ Q5 d% x# Y& {7 C/ v
% i2 I* E8 v+ W- k& ^5 y 图2使用Ctrl+M快捷键打开“添加/删除管理单元”
$ o$ r8 ^5 S: G 3、添加“安全配置和分析”管理单元
1 E( [, K9 t' m/ k, _ 在“添加/删除管理单元”对话框中,点击选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”项,点击“添加”,如图3所示;
% T* _. K d: p' \4 ~
" W+ {8 P8 A5 D; `: z: I& U5 i
% l# C# M- @* R3 [" x2 ]4 d4 v6 K2 x/ w! r1 \' ~# |. o0 O% r5 m
图3添加“安全配置和分析”管理单元
- U4 Z) x5 B4 ]9 v2 u4 \
4、完成添加
5 H. U |' C! u 点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”,完成“安全配置和分析”管理单元的加载。说明:执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板。
" a8 b8 `. F1 i0 N& x) J
5、打开数据库
# g4 s( Z. A' P7 m3 f- \+ G3 F- u: k
在控制台窗口中,右键点击控制台根节点下的“安全配置和分析”,或者在快捷菜单中选择“打开数据库”命令;如果是首次对系统进行安全性分析,需要新建一个数据库,在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称,然后点击“打开”;
+ K' z- i% }8 B9 x8 H6 j$ [
6、安全模板
V1 Q8 W% H, J- ^* u, c0 k0 M 在弹出的“导入模板”对话框中,可以看到几个安全模板文件,这些安全模板文件的安全级别以及作用的效果为:
$ S$ N2 ^" f! @0 M
预定义的安全模板预定义的安全模板是作为创建安全策略的初始点而提供的,这些策略都经过自定义设置以满足不同的组织要求。可以使用安全模板管理单元对该模板进行自定义。一旦对预定义的安全模板进行了自定义,就可以用它们配置单台或数以千计的计算机的安全。可以使用安全配置和分析管理单元、Secedit命令行工具,或将模板导入本地安全策略中来配置单台计算机。可以通过将模板导入安全设置(属于组策略的扩展)来对多台计算机进行配置。通过使用“安全配置和分析”管理单元,也可以将安全模板作为分析系统潜在安全漏洞或策略侵犯的基础。
! ?8 u6 J5 T( `% r5 B+ I 说明:可以通过“安全模板”查看安全模板设置。*.inf文件也可以按文本文件查看。这些文件位于:%windir%SecurityTemplates。%windir%表示系统目录如:c:windows。定义安全模板步骤如下:
) `/ D2 x; p0 V+ v ·打开“安全模板”。
& c& A/ E b1 v) S ·右键单击要存储新模板的文件夹,然后单击“新加模板”。
; C9 Z+ @" c' Y1 ~: W ·在“模板名”中,键入新建安全模板的名称。
- z J. V$ L# ~( l6 x/ }7 ?) f
·在“
描述”中,键入新安全模板的说明,然后单击“确定”。
: n) a- S) h: k ·在控制台树中,双击新安全模板,以显示安全区域,并定位到详细信息窗格中所要配置的安全设置。
9 Q- h2 i3 t- a- ]3 h3 M ·在详细信息窗格中,右键单击要配置的安全设置,然后单击“属性”。
8 f* h! p% N6 G3 [! G
·选中“在模板中定义这个策略设置”复选框,
编辑该设置,然后单击“确定”。
6 ], |. h% \* [& s2 q- A 如果再想用其他的安全模板进行安全性分析,可以在“安全配置和分析”节点上单击右键,点击快捷菜单中的“导入模板”命令,在“导入模板”对话框中,选择需要的安全模板文件,同时选择“导入之前清除这个数据库”选择框,如图4所示,重复上述步骤的操作。
+ H+ u2 W; L0 D- _* y6 C+ }
: J9 y; D3 I; b' T, @' \
7 I- K j( M7 Q- R, m, t- G* N* P1 a
6 [ Y7 f/ k: `; N2 V 图4导入安全模板
* F* Y* w. c, z) Z# O% ?
7、安全分析
6 B! U9 [% c& \ 使用安全模板进行系统安全性分析就可以了。选择一个适宜的安全模板,如Securews.inf,点击“打开”;右键单击“安全配置和分析”项,选择菜单中的“立即分析计算机”命令,并在“进行分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的分析进程,见图5;
# S! A# v' D- g- m8 Y0 ^: `. w 4 _! S* t3 R* `. l! O
0 A- F9 J; s+ k# G) B" G( ?( \
( h: F: H- d; o* V% f8 @
图5系统安全机制的分析进程截图
5 W' F+ l% {5 Y' e' r. k6 i' |* H 8、查看安全分析结果
" l2 ?0 `3 p6 g- K( M7 v 安全分析进程结束后,展开“安全配置和分析”节点下的各项,在右侧窗格的项目列表中,通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别匹配,哪些不匹配,如图6所示;
$ @4 H( k& m) p1 O: w4 |
4 E& Y) W: ~9 Y$ B
a5 G+ K$ c* D% o2 { p
0 O6 \, A" c, e 图6查看安全分析结果
5 q& x- v9 H7 R3 M 在图6中,密码策略中有六项策略带有绿色的对号,表示匹配。如果策略带有红色的差号,这表明不匹配。如图7。
7 o8 u) j/ H# \7 b6 G- P
. }1 h# C* y; I9 b+ p; o! ^1 m$ f1 Z
- m/ G3 C: N/ r/ l- E) N7 \+ R
* O# b+ M7 f+ N& t: c7 F% V 图7安全分析结果不匹配策略
# f. r n! A; V! R' Z m
具体安全分析结果说明见表-1
$ \) y8 ~) g" e* L! `/ L* a3 o
表-1安全分析结果说明
+ O& A6 k R" w8 A! h, M5 Y 标志
- i# Y* ?4 K4 g8 J 标志说明
9 |+ i. ] T4 a5 y
红色X
& i7 z- W. r: \% T' e0 l 在分析数据库和系统中定义了该项,但安全设置值不匹配。
/ A: i6 L6 x! o& |, P 绿色勾号
1 i; s! d" J/ D/ E. ^0 j c& t
在分析数据库和系统中定义了该项,并且设置值匹配。 问号
4 N. B) G& b8 a: a4 b3 Y4 p
没有在分析数据库中定义该项,因此没有进行分析。如果某一项没有分析,则可能是由于没有在分析数据库中定义,或者执行分析的用户没有足够的权限对特定对象或区域执行分析。
% Q4 v+ e1 g1 E1 K% p
感叹号
5 T, t% z) p! [: A
该项在分析数据库中定义了,但在实际系统中并不存在。例如,在分析数据库中可能会定义实际分析的系统中不存在的受限制的组。
4 U# }+ S3 l$ C, k5 q# O. j @3 y
没有突出显示
+ r# A+ G: r2 W& t! P0 f 没有在分析数据库或系统中定义该项。
! V8 `& w. V2 y% F$ E( L “安全配置和分析”按安全区显示分析结果,并使用可视标志表明问题。它可显示安全区中每个安全属性的当前系统配置设置和基本配置设置。要更改分析数据库的设置,请右键单击项目,然后单击“属性”。
7 v3 p( W! `, A7 x
9、配置系统安全机制
7 k' p) y) G* P! y$ \9 v
接着我们可以修改分析结果中的不匹配策略。然后进行重新分析知道满意为止。右键单击“安全配置和分析”项,选择菜单中的“立即配置计算机”命令,并在“配置分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的配置进程,见图7;完成配置可以选择“保存”选项完成操作。
2 @- l) l. c E3 |- J
* g3 j3 @% b/ J: ^
. p8 g+ Y% |. }2 b/ n% m5 p( U6 M D7 G3 l4 t P. V$ H
图8“立即配置计算机”安全界面
) d, S' E6 N, T' t& T 10、注意事项
; {1 g3 K* {" ?$ k6 D! f 使用Windows2003的安全配置和分析管理工具,您不仅可以分析系统的安全配置是否适合,同时还可以设置系统安全配置,从而将您系统的安全状况掌握在自己手中,但是在使用安全配置和分析管理工具时您需要注意以下两点:
" Z8 a4 l& K7 D# L* ?0 u ·进行安全性分析和配置时,选择安全模板一定要适宜,特别是对于系统安全性配置,如果安全模板的级别较低,我们不易发现存在的安全薄弱环节;级别太高,可能会影响用户的
习惯性操作。彻底安全的系统从
理论上讲不可能,因此我们所指安全性只是在代价与可用性间作平衡。若是用户提交的每一个变量都要求有
生物学验证(如
指纹鉴定),则将获得极高水平的可靠性。但是也会造成用户登录就要几十分钟。这时用户就会采取绕过安全验证的方法。一个系统的可靠性只能由整个链条中最薄弱的环节来决定。在任何安全系统里面,人是最脆弱的连接,单单
技术本身不能让系统安全。
`2 j2 h, D* v1 A. w
·如果您使用windows2000和WindowsXP也可以使用相似的安全配置和分析工具提升系统安全性能。
5 Y' J A& C$ |+ R# X& ^
总结:Windows2003系统提供的“安全配置和分析”管理工具可以帮助我们实现这个目标,它的主要作用是对本地系统的安全性进行分析和配置。“安全配置和分析”管理工具可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析,在分析结果中,以可视化的标记或注释突出显示当前的设置与系统建议的安全级别不匹配的区域,从而找出系统安全的薄弱环节,同时这个工具为我们提供了快速对系统进行安全配置的途径,用户只需要选择相应的安全模板,剩下的事情由“安全配置和分析”管理工具自动为您完成,从而轻松地掌控系统的安全。
