使用安全模板配置安全策略

实验四使用安全模板配置安全策略实验目的：掌握使用安全模板配置安全策略的方法。实验原理：由于系统安全策略众多，普通用户无法制定出安全的策略，为此微软提供了安全模板进行安全配置。可以使用“安全配置和分析”将安全模板应用于本地计算机。默认情况下，预定义的安全模板存储在如下目录：”%systemroot%”\Security\Templates“Windows系统下，大部分的安全设置默认处于打开状态，管理员的任务是关闭某些可能引起安全隐患的设置。安全模板是一种快速配置安全选项的办法，它能够根据要求自动批量设定所有与安全有关的配置。安全模板是一种ASCII文本文件，它定义了本地权限、安全配置、本地组成员、服务、文件和目录授权、注册表授权等方面的信息。创建好安全模板之后，我们只要一个命令就可以将它定义的信息应用/部署到系统，所有它定义的安全配置都立即生效——原本需要数小时修补注册表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作，现在只需数秒就可以搞定，提供了一种快速批量修改安全选项的办法。MicrosoftWindowsServer2003包括几个预定义的安全模板，可供您用来提高网络上的安全级别。可以通过使用Microsoft管理控制台(MMC)中的“安全模板”来修改安全模板以满足您的要求。WindowsServer2003中的预定义安全模板：·默认安全(Setupsecurity.inf)Setupsecurity.inf模板是在安装过程中创建的，它与特定的计算机有关。根据安装是全新安装还是升级安装，不同计算机的Setupsecurity.inf模板也各不相同。Setupsecurity.inf表示在安装操作系统的过程中应用的默认安全设置，包括对系统驱动器的根的文件权限。它可以用于服务器和客户机，但不能应用到域控制器。也可以将此模板的某些部分用于灾难恢复。注意：在MicrosoftWindows2000中，有另外两个安全模板：ocfiless（用于文件服务器）和ocfilesw（用于工作站）。在WindowsServer20003中，这两个文件被Setupsecurity.inf文件取代。·域控制器默认安全(DCsecurity.inf)：此模板是在服务器提升为域控制器时创建的。它反映了文件、注册表和系统服务的默认安全设置。如果您重新应用此模板，这些设置将设置为默认值。但是，该模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。·兼容(Compatws.inf)此模板依照大多数不属于WindowsLogoProgramforSoftware（Windows软件徽标计划）的程序的要求，更改被授予“Users”组成员的默认文件权限和注册表权限。兼容模板还删除“PowerUsers”组的所有成员。注意：不要对域控制器应用兼容模板。·安全(Secure*.inf)安全模板定义最不可能对程序兼容性产生影响的增强安全设置。例如，定义加强的密码、锁定和审核设置。另外，这种模板通过将客户端配置为仅发送NTLMv2响应而将服务器配置为拒绝LANManager响应来限制对LANManager和NTLM身份验证协议的使用。WindowsServer2003中有两个预定义的安全模板：用于工作站的Securews.inf和用于域控制器的Securedc.inf。·高度安全(hisec*.inf)高安全模板还指定了安全模板没有定义的其他限制，例如执行身份验证所需的加密级别和签名以及安全通道上的数据交换和服务器消息块(SMB)客户端和服务器之间的数据交换。·系统根安全(Rootsec.inf)此模板指定根权限。默认情况下，Rootsec.inf为系统驱动器的根定义这些权限。如果根目录权限被意外更改，您可以使用此模板来重新应用根目录权限；您也可以修改此模板以便将相同的根权限应用到其他卷。按照指定，该模板不覆盖在子对象上定义的显式权限，它只传播子对象继承的权限。·无终端服务器用户SID(Notssid.inf)在终端服务没有运行时可以应用此模板，以便从文件系统和注册表位置删除WindowsTerminalServer安全标识符(SID)。执行此操作后系统安全不一定会提高。说明：在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。应用安全模板后可能需要还原这些策略。在对域控制器执行这些步骤之前，请创建SYSVOL共享的备份。二、如何创建安全模板1．设置工具安全模板其实就是文本文件，因此从理论上讲，我们可以用记事本来创建安全模板。不过用记事本创建安全模板的工作量相当大，如果改用微软管理控制台的安全模板管理单元就要方便多了。首先打开一个空的MMC控制台。点击“开始”→“运行”，输入“mmc”，按Enter键打开一个空白的MMC控制台。在该控制台中，点击“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框，点击“添加”打开“添加独立管理单元”对话框，在管理单元清单中选择“安全模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。如图：点击任意一个安全模板，右边的窗格显示出可以利用该安全模板控制的安全选项类别：⑴帐户策略：控制密码策略、锁定策略、Kerberos策略。⑵本地策略：控制审核策略、用户权利指派、安全选项。⑶事件日志：控制事件日志设置和NT的事件查看器的行为。⑷受限制的组：控制哪些用户能够或者不能够进入各种本地组。⑸系统服务：启动、关闭各种系统服务，控制哪些用户有权修改系统服务的启动方式。⑹注册表：控制修改或查看各个注册键的权限，启用注册键的修改审核功能。⑺文件系统：控制文件夹、文件的NTFS授权。2．创建模板下面从头开始构建一个模板。右击模板的路径（选择具体保存路径，如C:security），然后选择菜单“新加模板”，输入模板的名称，假设是simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。右键“新加模板”下面，作为一个例子，通过设置安全模板，限制Administrators组、设置C:abc的ACL(accesscontrollist)访问控制表、关闭Indexing服务。所有这些设置都在simple节点下完成。第一，设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。扩展左边窗格中的simple节点，选中“受限制的组”。返回“添加成员”对话框后，点击“确定”。在这个对话框中，窗口上方有一个“这个组的成员”清单，窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。将Administrator帐户加入。第二，使得任何拥有C:abc文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中，右击“文件系统”，选择“添加文件”，在“添加文件或文件夹”对话框中找到或者输入C:abc目录。点击“确定”，出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则，加入对本地Administrators组的“完全控制”授权。点击“确定”，系统会询问是否把权限设置传播给所有子文件夹和文件，根据需要选择一个选项，点击“确定”。第三，自CodeRed和Nimda肆虐以来，Indexing服务就引起了人们担忧，在不必使用该服务的系统上，最好的选择就是将它关闭。在控制台左边的窗格中，点击“系统服务”，在右边窗格中右击Indexing服务，选择“属性”。在“IndexingService属性”对话框中，选中“在模板中定义这个策略设置”，这时系统显示出“安全设置IndexingService”对话框，在对话框中选择“已停用”，然后点击“确定”。保存安全模板：右击控制台左边窗格中的simple模板，选择“保存”。现在C:security目录下有了一个simple.inf文件。应用安全模板：1.单击开始，单击运行，在打开框中键入mmc，然后单击确定。2.在文件菜单上，单击“添加/删除管理单元”。3.单击添加、“安全配置和分析”、添加，单击关闭，然后单击确定。4.在控制台树中，右键单击“安全配置和分析”，然后单击打开数据库。输入新的数据库名，如“simple”单击“打开”，选择要导入的安全模板C:\security\simple.inf点击“打开”，如图5.分析计算机安全设置。右击安全配置和分析，在弹出的快捷菜单中选择“立即分析计算机”命令6.在屏幕上出现的执行分析对话框中，接受“错误日志文件路径”框中显示的默认日志文件路径，或指定所需的位置，然后单击确定。点击“确定”按钮7.将对该模板安全设置与现有的计算机设置进行比较。备注：此时，不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。可以查看安全性分析结果，在“安全配置和分析”管理控制台中，展开“安全配置和分析”，单击要查看安全(例如密码策略)。在右侧窗口中，“策略”列表中显示了分析结果;“数据库设置”列表显示模板中的安全值;“计算机设置”列表显示系统中的当前安全策略。分析状态标记如下。红色的“X”表明与基本配置有差异。绿色的“复选标记”表明与基本配置一致。没有图标表明模板中不包含安全属性，因此不分析。例如，“密码必须符合复杂性要求”策略，在安全数据库中的策略为“启用”，而在本地的系统设置为“停用”，分析状态标记为红色的“X”，表示配置不同。8.要将计算机配置为使用数据库中的安全设置，请右键单击“安全配置和分析”，然后单击“立即配置计算机”，安全数据库配置会应用于计算机。配置完成后：可见，安全数据库配置已经应用于计算机。操作系统安全实训：使用安全模板配置安全策略依据上述内容完成如下实训内容创建安全模板simple，实现以下配置。在账户策略中实现：1.密码使用必须符合复杂性要求2.密码长度最小值为6位3.密码最长使用时间为42天4.强制密码历史为2个5.尝试3次无效登录后锁定帐户6.锁定账户时间为10分钟7.账户锁定阈值为30分钟在本地策略中实现下列要求：1.审核策略更改配置：成功和失败2.审核登录事件配置：成功3.审核账户登录事件配置成功和失败4.更改系统时间于Administrators和Users组5.关闭系统应用于Administrators和Users组6.不需要按Ctrl+Alt+Del启用7.登录时屏幕上不要显示上次登录帐户8.禁用来宾帐户状态在事件日志中实现下列要求：1.安全日志保留天数：7天2.安全日志的保留方法：按需要覆盖事件3.安全日志最大值：20480KB4.系统日志保留天数：14天在受限制的组中实现下列要求：1.设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。在系统服务中实现下列要求：1.禁用IndexingService服务2.禁用Telnet服务3.禁用WirelessConfiguration服务在文件系统中实现下列要求：1.设置C:新建文件夹的ACL(accesscontrollist)访问控制表，只允许Administrator帐户有权限访问将上述操作过程的重要操作窗口截图后记录成文档上交作业，文档文件名：学号（两位）+姓名。