当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 用安全模板加强Windows的安全

Windows服务器
Windows Server 2003 R2 Beta 2将公测
Windows 2003组策略和安全模板的应用
Windows 2003 64位正式版抢先体验
微软发布WinServer2003 R2 Beta2
Windows Server 2003 安全配置实战演习
快速关闭Windows 2003的三种方法
windows 2003服务器防止海洋木马的安全设置
制作无盘Windows 2003之无忧Ghost文件
为Windows 2003加装视频压缩
安全配置向导为Win2003打造“铜墙铁壁”
用Win 2003 SP1向导功能打造安全服务器
在Win 2003系统中挖掘免费刻录软件
Windows 2003优化系列之系统服务的开关
发扬DIY精神 为Windows 2003移植系统还原
活学活用Win2003分区增容功能
轻松管理Win 2003的“远程桌面”
自动管理Windows 2003好用的“远程桌面”
活学活用Windows Server 2003分区增容功能
使用Web接口远程维护Win2003服务器
教你一招:Windows2003系统优化大有玄机

Windows服务器 中的 用安全模板加强Windows的安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 37 ::
收藏到网摘: n/a

    Windows NT家族的操作系统——Windows XP、Windows 2000、NT 4.0和NT 3.x一直以缺乏安全性饱受争议。但实际上,这些操作系统(包括Novell Netware和各种UNIX变种)都具有相当好的安全性,它们都装备了数以千计的“锁”——这是一些操作系统用来确保安全性的部件,能够让我们作出只允许用户A可以在对象B上实施动作C之类的规定。

  NT和Netware之间的区别在于,虽然两种操作系统都提供了这类锁,但一个新装的Netware系统中这些锁默认是锁上的,管理员根据需要有选择地打开某些锁;而在一个新装的N T操作系统中,大部分的锁默认处于打开状态,管理员的任务是关闭某些可能引起安全隐患的锁。(Windows Server 2003的情况有所不同,它的设计改用了Netware策略。相比之下,Win 2K默认锁上的选项要多于NT 4.0,而新装的XP又比Win 2K Pro有更多的安全限制。)

  对于NT系列平台的管理员来说,这些锁带来的是一个两难的局面:从理论上看,它们确实提供了保障服务器和工作站安全的机制;但实际操作起来却要耗费大量的时间。XP是一个优秀的操作系统,但如果要我们检查每一台机器,依次调整数十种授权和权限选项来保证系统的安全,很多人会把XP或其他NT系列的操作系统看成代价昂贵和浪费时间的代名词。我们需要一种快速配置安全选项的办法,它能够根据要求自动批量设定所有与安全有关的配置。

  这种办法确实存在,它就是安全模板。安全模板是一种ASCII文本文件,它定义了本地权限、安全配置、本地组成员、服务、文件和目录授权、注册表授权等方面的信息。创建好安全模板之后,我们只要一个命令就可以将它定义的信息应用/部署到系统,所有它定义的安全配置都立即生效——原本需要数小时修补注册表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作,现在只需数秒就可以搞定。

  安全模板并非Windows Server 2003或XP独创的功能,第一次提出这个概念的是NT 4.0 SP 4。安全模板是每一个管理员都必须了解的重要工具。安全模板不会让你修改不能通过其他方式修改的安全选项,它只是提供了一种快速批量修改安全选项的办法。凡是可以利用安全模板设置的安全选项,同样可以使用Windows的GUI工具手工修改,但后者耗费的时间肯定多得多。

    一、安全模板可以批量修改的五类和安全有关的设置

  1.管理组

  模板能够调整本地的组成员。如果你的用户使用的是NT系列的桌面系统,或许你也在为这样的问题烦恼:授予用户哪些控制桌面系统的权限才合适?有的公司让每一位用户都拥有本地管理员权限,有些则授予Power Users权限,还有的只授予Users权限。

  如果限制了用户对自己桌面系统的管理权限,可以肯定的是,某些时候你不得不放宽限制,至少是临时性地放宽。例如,假设设置一个工作站时只允许本地的Administrator帐户成为本地Administrators组的成员,后来有一个维护人员为了方便“临时”地将普通用户帐户提升为Administrators组的成员,本来他打算稍后恢复原来的设置,但后来却忘记了。如果我们定义了一个“只有Administrator才能加入本地Administrators组”的安全模板,只要重新应用一下这个模板就可以防止其他用户进入Administrators组。

  当然,模板不是随时监视安全设置选项确实已被采纳的守护神,确保安全设置策略已被执行的最好办法是定期重新应用整个模板,或者创建一个组策略来应用模板(组策略大约每隔90分钟重新应用自己的设置信息)。凡是安全模板能够做到的事情,组策略同样都能够做到,但如果使用组策略的话就要有一个Active Directory(AD)域,而模板却没有这方面的要求。

  2.调整NTFS权限

  安全模板能够调整NTFS权限。例如,假设我们想要授予C:Stuff目录System/完全控制和Aministrators/完全控制的NTFS权限,但禁止任何其他用户访问,模板可以方便地设定这些授权和限制。

  另外,由于模板可以应用到多台机器(倘若使用组策略的话),我们可以将同样的NTFS授权应用到整个域。如果你和大多数NT管理员一样,那么也一定对NT默认的目录权限(Everyone/完全控制)大为不满,并决定加强ACL设置。但是,这个过程很容易出错,以至于把ACL调整到没有一个人能够正常使用机器的地步。因此最好先做一些试验,找出适当的平衡点,然后将平衡点的权限配置用模板表达出来,再将模板应用到所有的系统。

    3.启用和禁用服务

  模板可以启用或关闭服务,控制谁有权启动或关闭服务。你想要关闭大部分机器的IIS服务,只留下个别服务器运行IIS吗?这可不是一件轻松的工作,因为默认情况下,Win 2K和NT 4.0会把IIS安装到所有服务器上(可喜的是,Windows Server 2003改正了这一做法。)除了IIS,你可能还希望禁止许多其他不必要的服务,可能还想对Server、Computer Browser、Index、Wireless Zero Configuration之类的服务痛下杀手,但是,到每一台机器上逐个禁用这些服务实在太麻