云南龙网

  1. 首页 > 云知道 > >

用安全模板加强Windows的安全( 二 )

云知道


3.启用和禁用服务
模板可以启用或关闭服务,控制谁有权启动或关闭服务 。你想要关闭大部分机器的IIS服务,只留下个别服务器运行IIS吗?这可不是一件轻松的工作,因为默认情况下,Win 2K和NT 4.0会把IIS安装到所有服务器上(可喜的是,Windows Server 2003改正了这一做法 。)除了IIS,你可能还希望禁止许多其他不必要的服务,可能还想对Server、Computer Browser、Index、Wireless Zero Configuration之类的服务痛下杀手,但是,到每一台机器上逐个禁用这些服务实在太麻烦了,好在模板能够帮助我们迅速完成这些工作 。安全模板允许我们停止(针对服务运行的状态)以及禁用(针对服务的启动方式)服务 。当你开始了解模板时,会惊奇地发现模板允许我们控制哪些人有权开启和关闭服务——了解Windows服务的ACL的人可能不是很多,但模板却提供了调整这些ACL的途径 。例如,如果你想让Mary有权开启和关闭Server服务,却又不想让Mary成为管理员,现在可以通过模板来设置 。4.调整注册表授权 安全模板允许我们调整注册表的授权 。注册表包含了大量只能读取、不能修改的信息 。例如,假设有一个NT 4.0的工作站安装了AutoCAD,现在把它升级到了Win 2K,但却发现用户需要本地管理员权限才能运行AutoCAD 。注册表中究竟发生了什么事情才导致如此怪异的现象? 注重细节的应用程序会在两个注册键下面保存其配置信息:HKEY_LOCAL_MacHINESOFTWARE和HKEY_CURRENT_USERSoftware 。具有管理员权限的用户负责初始的安装以及大部分的配置,这些配置信息保存在HKEY_LOCAL_MACHINESOFTWARE注册键下 。但是,每一个用户又必须根据自己的需要和爱好调整应用程序,应用程序需要一个适当的位置来保存这部分配置信息 。如果应用程序把所有的配置信息都保存在HKEY_LOCAL_MACHINESOFTWARE,普通用户每次要修改配置时都要找管理员才行 。正是考虑到该问题,注重细节的应用程序会把非关键性的配置选项(用户个人的配置选项)保存在HKEY_CURRENT_USERSoftware注册键下,所以我们应该让用户拥有对该注册键的写入权限 。也就是说,如果用户没有管理员权限,那么他至少要有HKEY_LOCAL_MACHINESOFTWARE注册键的读取权限、HKEY_CURRENT_USERSoftware注册键的读取和写入权限 。遗憾的是,许多软件厂商还没有重视HKEY_LOCAL_MACHINESOFTWARE、HKEY_CURRENT_USERSoftware这两个注册键的区别,而是把所有配置信息都保存到了HKEY_LOCAL_MACHINESOFTWARE注册键下 。在NT 4.0下,这种处置办法不会引起问题,因为NT 4.0默认允许所有用户写入HKEY_LOCAL_MACHINE,由于NT 4.0控制HKEY_LOCAL_MACHINE的ACL非常宽松,所以即使普通用户也不会遇到问题 。但在Win 2K中,注册表ACL的默认配置已经变化,非管理员的用户只有读取HKEY_LOCAL_MACHINE的权限,所以用户必须以本地管理员身份登录才能正常运行AutoCAD 。如何解决这类问题呢?获取一份应用软件的新版本,或者将XP、Win2K的注册表ACL放宽到NT 4.0的程序 。如果采用后面的解决办法,我们既可以用注册表编辑器(对于XP或Windows Server 2003,使用Regedit,对于Win2K,使用Regedt32)手工执行修改,也可以用模板来调整注册表的授权 。其实,我们根本不必自己创建修改注册表授权的模板,微软已经提供了一个:winntsecurity emplatescompatws.inf 。微软提供的另一个模板winntsecurity emplatesasicws.inf能够把注册表授权恢复到Win 2K的默认状态 。

5.控制本地安全策略设置
安全模板能够控制本地安全策略设置 。每一台机器都有许多本地安全策略设置,例如是否显示出最后登录系统的用户名称、多长时间修改本地帐户的密码,等等 。在NT 4.0中,这些设置通过用户管理器的本地版本(lusrmgr.exe)修改;在Win 2K中,修改工具是本地安全策略管理单元secpol.msc 。手工修改这类设置的步骤是:从控制面板的管理工具中启动“本地安全策略”,或者点击“开始”→“运行”,输入secpol.msc,点击“确定”启动本地安全策略管理器 。本地安全策略管理器可以用来关闭或启动系统审核功能、调整密码管理策略、授予或者收回用户操作XP和Win2K的许多权限、控制IP安全(IPSec) 。实际上,“本地安全策略”管理器可能是Windows默认提供的唯一控制IPSec的工具 。以上就是安全模板能够调整的五个方面,所有这些安全选项的调整都只要一个安全模板文件就可以完成 。二、如何创建安全模板 下面我们从实践应用的角度介绍模板的应用,示范如何为工作站或成员服务器创建一个模板,这个模板主要包括三方面的功能:首先,该安全模板能够控制组的成员,即限制本地的Administrators组只能由本地Administrator帐户和域的Domain Admins组加入;第二,该模板将设置F:adminstuff目录的NTFS权限,只允许本地的Administrators组访问;最后,该模板将禁止Indexing服务 。1.设置工具 我们知道,安全模板其实就是文本文件,因此从理论上讲,我们可以用记事本来创建安全模板 。不过事实上,用记事本创建安全模板的工作量相当大,如果改用微软管理控制台的安全模板管理单元就要方便多了 。Windows XP和2K都带有该工具 。首先打开一个空的MMC控制台 。点击“开始”→“运行”,输入“mmc /a”,按Enter键打开一个空白的MMC控制台 。在该控制台中,点击“文件”(对于Win2K,点击“控制台”)→“添加/删除管理单元”,打开“添加/删除管理单元”对话框,点击“添加”打开“添加独立管理单元”对话框,在管理单元清单中选择“安全模板”,依次点击“添加”、“关闭”、“确定” 。接下来就可以开始设置安全模板了 。

推荐阅读


上一篇:火车候补票是什么意思

下一篇:杞人忧天的意思和翻译 杞人忧天的意思及翻译