当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 用安全模板加强Windows的安全

Windows服务器
Windows 2000系统下关闭端口的方法与思路
Windows2000系统如何找回丢失的管理员密码
如何在Windows 2000上安装配置防火墙
Windows 2000安全配置工具
针对Windows 2000优化Web服务器性能
Windows 2000超级技巧十则
如何修改Windows 2K远程终端默认端口
Windows 2000 SP4八大热点问题
Windows 2000中“NTLDR is missing”故障的解决
Windows 2000操作系统中ADSL的共享办法
Windows 2000开机耗内存40M秘技大公开
Windows 2000 常用系统进程列表
Windows 2000的一些Privilege
Win2000/XP与Win98互访
Windows 2000安装光盘的妙用
Win 2000/XP上网重启解决办法
深入改造Win2000“位置条”
在Win2000下“复活”老网卡
加快Win2000浏览网上邻居的速度
防患于未然 轻松做好Windows 2000安全策略

Windows服务器 中的 用安全模板加强Windows的安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 32 ::
收藏到网摘: n/a

    Windows NT家族的操作系统——Windows XP、Windows 2000、NT 4.0和NT 3.x一直以缺乏安全性饱受争议。但实际上,这些操作系统(包括Novell Netware和各种UNIX变种)都具有相当好的安全性,它们都装备了数以千计的“锁”——这是一些操作系统用来确保安全性的部件,能够让我们作出只允许用户A可以在对象B上实施动作C之类的规定。

  NT和Netware之间的区别在于,虽然两种操作系统都提供了这类锁,但一个新装的Netware系统中这些锁默认是锁上的,管理员根据需要有选择地打开某些锁;而在一个新装的N T操作系统中,大部分的锁默认处于打开状态,管理员的任务是关闭某些可能引起安全隐患的锁。(Windows Server 2003的情况有所不同,它的设计改用了Netware策略。相比之下,Win 2K默认锁上的选项要多于NT 4.0,而新装的XP又比Win 2K Pro有更多的安全限制。)

  对于NT系列平台的管理员来说,这些锁带来的是一个两难的局面:从理论上看,它们确实提供了保障服务器和工作站安全的机制;但实际操作起来却要耗费大量的时间。XP是一个优秀的操作系统,但如果要我们检查每一台机器,依次调整数十种授权和权限选项来保证系统的安全,很多人会把XP或其他NT系列的操作系统看成代价昂贵和浪费时间的代名词。我们需要一种快速配置安全选项的办法,它能够根据要求自动批量设定所有与安全有关的配置。

  这种办法确实存在,它就是安全模板。安全模板是一种ASCII文本文件,它定义了本地权限、安全配置、本地组成员、服务、文件和目录授权、注册表授权等方面的信息。创建好安全模板之后,我们只要一个命令就可以将它定义的信息应用/部署到系统,所有它定义的安全配置都立即生效——原本需要数小时修补注册表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作,现在只需数秒就可以搞定。

  安全模板并非Windows Server 2003或XP独创的功能,第一次提出这个概念的是NT 4.0 SP 4。安全模板是每一个管理员都必须了解的重要工具。安全模板不会让你修改不能通过其他方式修改的安全选项,它只是提供了一种快速批量修改安全选项的办法。凡是可以利用安全模板设置的安全选项,同样可以使用Windows的GUI工具手工修改,但后者耗费的时间肯定多得多。

    一、安全模板可以批量修改的五类和安全有关的设置

  1.管理组

  模板能够调整本地的组成员。如果你的用户使用的是NT系列的桌面系统,或许你也在为这样的问题烦恼:授予用户哪些控制桌面系统的权限才合适?有的公司让每一位用户都拥有本地管理员权限,有些则授予Power Users权限,还有的只授予Users权限。

  如果限制了用户对自己桌面系统的管理权限,可以肯定的是,某些时候你不得不放宽限制,至少是临时性地放宽。例如,假设设置一个工作站时只允许本地的Administrator帐户成为本地Administrators组的成员,后来有一个维护人员为了方便“临时”地将普通用户帐户提升为Administrators组的成员,本来他打算稍后恢复原来的设置,但后来却忘记了。如果我们定义了一个“只有Administrator才能加入本地Administrators组”的安全模板,只要重新应用一下这个模板就可以防止其他用户进入Administrators组。

  当然,模板不是随时监视安全设置选项确实已被采纳的守护神,确保安全设置策略已被执行的最好办法是定期重新应用整个模板,或者创建一个组策略来应用模板(组策略大约每隔90分钟重新应用自己的设置信息)。凡是安全模板能够做到的事情,组策略同样都能够做到,但如果使用组策略的话就要有一个Active Directory(AD)域,而模板却没有这方面的要求。

  2.调整NTFS权限

  安全模板能够调整NTFS权限。例如,假设我们想要授予C:Stuff目录System/完全控制和Aministrators/完全控制的NTFS权限,但禁止任何其他用户访问,模板可以方便地设定这些授权和限制。

  另外,由于模板可以应用到多台机器(倘若使用组策略的话),我们可以将同样的NTFS授权应用到整个域。如果你和大多数NT管理员一样,那么也一定对NT默认的目录权限(Everyone/完全控制)大为不满,并决定加强ACL设置。但是,这个过程很容易出错,以至于把ACL调整到没有一个人能够正常使用机器的地步。因此最好先做一些试验,找出适当的平衡点,然后将平衡点的权限配置用模板表达出来,再将模板应用到所有的系统。

    3.启用和禁用服务

  模板可以启用或关闭服务,控制谁有权启动或关闭服务。你想要关闭大部分机器的IIS服务,只留下个别服务器运行IIS吗?这可不是一件轻松的工作,因为默认情况下,Win 2K和NT 4.0会把IIS安装到所有服务器上(可喜的是,Windows Server 2003改正了这一做法。)除了IIS,你可能还希望禁止许多其他不必要的服务,可能还想对Server、Computer Browser、Index、Wireless Zero Configuration之类的服务痛下杀手,但是,到每一台机器上逐个禁用这些服务实在太麻