Windows Server 2003是微軟的服務器操作系統,也被稱為較為安全的操作系統,但是還是存在一定的不安全因素,而作為一名系統管理員,最關心的事情莫過於Windows 2003系統的安全了,那麼他們會采取哪些措施,讓win 2003系統的安全有一定的提升呢?當然啦,首先要對那些不安全因素有一定的了解與掌握。
一、安全配置和分析以及安全模板的基礎知識
1. 安全配置和分析
安全配置和分析概述“安全配置和分析”是分析和配置本地系統安全性的一個工具。包括:
·安全分析
計算機上的操作系統和應用程序的狀態是動態的。例如,為了能立刻解決管理或網絡問題,您可能需要臨時性地更改安全級別。然而,經常無法恢復這種更改。這意味著計算機不能再滿足企業安全的要求。常規分析作為企業風險管理程序的一部分,允許管理員跟蹤並確保在每台計算機上有足夠高的安全級別。管理員可以調整安全級別,最重要的是,檢測在系統長期運行過程中出現的任何安全故障。“安全配置和分析”使您能夠快速查閱安全分析結果。在當前系統設置的旁邊提出建議,用可視化的標記或注釋突出顯示當前設置與建議的安全級別不匹配的區域。“安全配置和分析”也提供了解決分析顯示的任何矛盾的功能。
·安全配置
“安全配置和分析”還可以用於直接配置本地系統的安全性。利用個人數據庫,可以導入由“安全模板”創建的安全模板,並將這些模板應用於本地計算機。這將立即使用模板中指定的級別配置系統安全性。
2、安全模板
安全模板使用 Microsoft 管理控制台的安全模板管理單元,您可以創建計算機或網絡的安全策略。它是考慮整個系統范圍內安全的單點入口點。安全模板管理單元並不引入新的安全參數,它只是將所有的現有安全屬性組織在一起以便於安全管理。將安全模板導入到“組策略”對象中可以通過立即配置域或部門的安全性來簡化域管理。要將安全模板應用於本地計算機,可以使用“安全配置和分析”或 Secedit 命令行工具。
安全模板可用於定義以下內容:
·帳戶策略
·密碼策略
·帳戶鎖定策略
·Kerberos 策略
·本地策略
·審核策略
·用戶權限分配
·安全選項
·事件日志:應用程序、系統和安全的事件日志設置
·受限制的組:安全敏感組的成員資格
·系統服務:系統服務的啟動和權限
·注冊表:注冊表項的權限
·文件系統:文件夾和文件的權限
將每個模板都另存為基於文本的 .inf 文件。這允許您復制、粘貼、導入或導出某些或所有模板屬性。在安全模板中可以包含除“Internet 協議”安全和公用密鑰策略之外的所有安全屬性。
3、配置本地計算機安全有兩種方法
配置本地計算機安全有兩種方法使用命令行和Windows 圖形界面。這裡主要介紹前者。Windows命令行最大的一個特點就是對網絡管理的便宜性,管理員只需在命令行窗口輸入幾個命令,就可以完成諸多繁雜的操作,達到預期的目的。而且可以通過一些命令工具判斷網絡內部的物理故障以及網絡安全問題,實現網絡管理的自動化和批量化。
Windows 9X 下的DOS 與Windows NT/2000/XP/2003 下的命令行,雖然提供的都是黑白分明的字符界面,但其本質還是有所區別的。原因在於Windows NT/2000/XP/2003 已經徹底脫離了DOS 的桎梏,DOS 只是作為操作系統所提供的虛擬機而存在,換句說,命令行已經不再是基礎,而成為了一種工具。然而,我們卻不能因此而小觑了這些貌似簡單的命令行工具。原因很簡單,命令行仍然是我們解決棘手的問題的首先。
命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]
主要參數:
/db FileName :指定用於執行此次分析的數據庫。
/cfg FileName :指定在執行分析前要導入到數據庫中的安全模板。安全模板是使用安全模板管理單元創建的。
/log FileName :指定一個文件,用於記錄配置過程所處的狀態。如果未指定,配置數據將被記錄在 %windir%\security\logs 文件夾的 Scesrv.log 中。
/quiet :指定在執行分析過程時不作更多參與。
/log logpath : 指定一個文件,該文件用於記錄配置過程所處的狀態。如未指定,配置數據將被記錄在 %windir%\Security\Logs 文件夾的 scesrv.log 文件中。
/quiet :指定應該在不提示用戶的情況下進行配置。
使用Secedit 命令行工具建立模板。通過在批處理文件或自動任務計劃程序的命令提示符下調用 Secedit.exe 工具,可以自動創建和應用模板,以及分析系統的安全性。也可以從命令提示符下動態運行該命令。當必須分析或配置多台計算機的安全性,並且需要在非工作時間執行任務時,Secedit.exe 很有用。要查看該命令的完整語法,請在命令提示符下輸入:secedit /?
下面簡單介紹以下子命令:
l secedit /analyze :可通過將其與數據庫中的基本設置相比較,分析一台計算機上的安全設置。
l secedit /configure :通過應用存儲在數據庫中的設置配置本地計算機的安全性設置。
l secedit /export :可將存儲在數據庫中的安全性設置導出。
l secedit /import :可將安全性模板導入到數據庫以便模板中指定的設置可應用到系統或作為分析系統的依據。
l secedit /validate :驗證要導入到分析數據庫或系統應用程序的安全模板的語法。
l secedit /GenerateRollback: 可根據配置模板生成一個回滾模板。在將配置模板應用到計算機上時,可以選擇創建回滾模板,該模板在應用時會將安全性設置重置為應用配置模板前的值。
默認情況下幾個安全模板文件如下:
·默認安全設置 模板(Setup security.inf)
Setup security.inf 模板是在安裝期間針對每台計算機創建的。取決於所進行的安裝是完整安裝還是升級,該模板在不同的計算機中可能不同。Setup security.inf 代表了在安裝操作系統期間所應用的默認安全設置,其中包括對系統驅動器的根目錄的文件權限。它可以用在服務器或客戶端計算機上,但不能應用於域控制器。此模板的某些部分可應用於故障恢復。請不要通過使用“組策略”來應用 Setup security.inf。此模板含有大量數據,如果通過組策略來應用它,可能會嚴重降低性能(因為策略是定期刷新的,這樣做將導致在域中移動大量數據)。因此,建議在局部應用 Setup security.inf 模板。由於 Secedit 命令行工具支持該功能,因此建議使用該工具。
·域控制器默認安全設置模板 (DC security.inf)
該模板是在服務器被升級為域控制器時創建的。它反映了文件、注冊表以及系統服務的默認安全設置。重新應用它後,上述范圍的安全設置將被重新設置為默認值。它可能覆蓋由其他應用程序創建的新文件、注冊表和系統服務的權限。使用“安全配置和分析”管理單元或 Secedit 命令行工具可以應用它。
·兼容模板 (compatws.inf)
工作站和服務器的默認權限主要授予三個本地組:Administrators、Power Users 和 Users。Administrators 享有最高的特權,而 Users 的特權最低。正因為如此,可以通過以下方式極大地提高系統所有權的安全性、可靠性,並降低其總成本:確保最終用戶都是 Users 成員。 部署可由 Users 組的成員成功運行的應用程序。具有 User 權限的人可以成功運行已加入在 Windows Logo Program for Software 中的應用程序。但是,User 可能無法運行不符合該計劃要求的應用程序。
·高級安全模板 (hisec*.inf)
高級安全模板是對加密和簽名作進一步限制的安全模板的擴展集,這些加密和簽名是進行身份認證和保證數據通過安全通道以及在 SMB 客戶端和服務器之間進行安全傳輸所必需的。例如,安全模板可以使服務器拒絕 LAN Manager 的響應,而高級安全模板則可導致同時對 LAN Manager 和 NTLM 響應的拒絕。安全模板可以啟用服務器端的 SMB 信息包簽名,而高級安全模板則要求這種簽名。此外,高級安全模板還要求對形成域到成員以及域到域的信任關系的安全通道數據進行強力加密和簽名。 Hisecdc和Hisecws:高級安全模板。在安全模板的基礎上對加密和簽名作進一步的限制。這些加密和簽名是進行身份認證和保證數據在安全的通道中進行傳輸所必需的,要求對安全通道數據進行強力的加密和簽名,從而形成域到成員和成員到域的信任關系。
·系統根目錄安全 模板(Rootsec.inf)
Rootsec.inf 可指定根目錄權限。默認情況下,Rootsec.inf 為系統驅動器根目錄定義這些權限。如果不小心更改了根目錄權限,則可利用該模板重新應用根目錄權限,或者通過修改模板對其他卷應用相同的根目錄權限。正如所說明的那樣,該模板並不覆蓋已明確定義在子對象上的權限,它只是傳遞由子對象繼承的權限。
·無終端服務器用戶 SID 模板(Notssid.inf)
服務器上的默認文件系統和注冊表訪問控制列表可將權限授予終端服務器的安全標識符 (SID)。僅當“終端服務器 SID”以應用程序兼容模式運行時,它才能被使用。如果當前沒有使用“終端服務器 SID”,則可以應用該模板從文件系統和注冊表位置刪除不需要的“終端服務器 SID”。然而,從這些默認的文件系統和注冊表位置刪除“終端服務器 SID”的訪問控制項並不會增加系統的安全性。因此請不要刪除“終端服務器 SID”,而直接以“完整安全”模式運行終端服務器。當以“完整安全”模式運行時,則不使用“終端服務器 SID”。
上面我們介紹了配置本地計算機安全的命令行方法,下面介紹在Windows 圖形界面如何完成。
-
二、使用用安全配置和分析工具
下面是圖形界面下使用安全配置和分析工具提升windows 2003系統安全詳細步驟:
1、使用管理員權限登錄
首先必須以系統管理員或administrators組成員的賬戶身份登錄系統才能完成管理單元的加載以及系統安全性分析和配置操作;注意 :要執行該過程,您必須是本地計算機Administrators 組的成員,或者您必須被委派適當的權限。如果將計算機加入域,Domain Admins 組的成員可能也可以執行這個過程。作為安全性的最佳操作,可以考慮使用運行方式來執行這個過程。
2、打開“安全配置和分析”
要打開“安全配置和分析”,請先單擊“開始”,接著單擊“運行”,然後輸入 mmc,最後單擊“確定”。在“文件”菜單上,單擊“打開”,單擊要打開的控制台,然後單擊“打開”。然後,在控制台樹中,使用Ctrl+M 快捷鍵打開“添加/刪除管理單元”
3、添加“安全配置和分析”管理單元
在“添加/刪除管理單元”對話框中,點擊選項頁的“添加”,在彈出的“添加獨立管理單元”對話框中,選擇列表中的“安全配置和分析”項,點擊“添加”。
4、完成添加
點擊“關閉”,返回“添加/刪除管理單元”對話框,此時在列表中可以看到新增加了“安全配置和分析”項;點擊“確定”,完成“安全配置和分析” 管理單元的加載。說明:執行安全性分析是根據系統提供的安全模板來實現的,這個過程中,需要用戶打開或新建一個包含安全信息的數據庫,並選擇合適的安全模板。
5、打開數據庫
在控制台窗口中,右鍵點擊控制台根節點下的“安全配置和分析”,或者在快捷菜單中選擇“打開數據庫”命令;如果是首次對系統進行安全性分析,需要新建一個數據庫,在“打開數據庫”對話框的“文件名”處為新建的數據庫輸入一個名稱,然後點擊“打開”;
6、安全模板
在彈出的“導入模板”對話框中,可以看到幾個安全模板文件,這些安全模板文件的安全級別以及作用的效果為:
預定義的安全模板預定義的安全模板是作為創建安全策略的初始點而提供的,這些策略都經過自定義設置以滿足不同的組織要求。可以使用安全模板管理單元對該模板進行自定義。一旦對預定義的安全模板進行了自定義,就可以用它們配置單台或數以千計的計算機的安全。可以使用安全配置和分析管理單元、 Secedit 命令行工具,或將模板導入本地安全策略中來配置單台計算機。可以通過將模板導入安全設置(屬於組策略的擴展)來對多台計算機進行配置。通過使用“安全配置和分析”管理單元,也可以將安全模板作為分析系統潛在安全漏洞或策略侵犯的基礎。
說明:可以通過“安全模板”查看安全模板設置。*.inf 文件也可以按文本文件查看。這些文件位於:%windir%\Security\Templates。%windir%表示系統目錄如:c:\windows。定義安全模板步驟如下:
·打開“安全模板”。
·右鍵單擊要存儲新模板的文件夾,然後單擊“新加模板”。
·在“模板名”中,鍵入新建安全模板的名稱。
·在“描述”中,鍵入新安全模板的說明,然後單擊“確定”。
·在控制台樹中,雙擊新安全模板,以顯示安全區域,並定位到詳細信息窗格中所要配置的安全設置。
·在詳細信息窗格中,右鍵單擊要配置的安全設置,然後單擊“屬性”。
·選中“在模板中定義這個策略設置”復選框,編輯該設置,然後單擊“確定”。
如果再想用其他的安全模板進行安全性分析,可以在“安全配置和分析”節點上單擊右鍵,點擊快捷菜單中的“導入模板”命令,在“導入模板”對話框中,選擇需要的安全模板文件,同時選擇“導入之前清除這個數據庫”選擇框,重復上述步驟的操作。
7、安全分析
使用安全模板進行系統安全性分析就可以了。選擇一個適宜的安全模板,如Securews.inf,點擊“打開”;右鍵單擊“安全配置和分析” 項,選擇菜單中的“立即分析計算機”命令,並在“進行分析”對話框中指定保存錯誤日志文件的路徑,點擊“確定”,開始系統安全機制的分析進程
8、查看安全分析結果
安全分析進程結束後,展開“安全配置和分析”節點下的各項,在右側窗格的項目列表中,通過項目中顯示的可視化的圖標可以查看哪些安全設置與系統建議的安全級別匹配,哪些不匹配,密碼策略中有六項策略帶有綠色的對號,表示匹配。如果策略帶有紅色的差號,這表明不匹配。
“安全配置和分析”按安全區顯示分析結果,並使用可視標志表明問題。它可顯示安全區中每個安全屬性的當前系統配置設置和基本配置設置。要更改分析數據庫的設置,請右鍵單擊項目,然後單擊“屬性”。
9、配置系統安全機制
接著我們可以修改分析結果中的不匹配策略。然後進行重新分析知道滿意為止。右鍵單擊“安全配置和分析”項,選擇菜單中的“立即配置計算機”命令,並在“配置分析”對話框中指定保存錯誤日志文件的路徑,點擊“確定”,開始系統安全機制的配置進程;完成配置可以選擇“保存”選項完成操作。
10、注意事項
使用windows 2003的安全配置和分析管理工具,您不僅可以分析系統的安全配置是否適合,同時還可以設置系統安全配置,從而將您系統的安全狀況掌握在自己手中,但是在使用安全配置和分析管理工具時您需要注意以下兩點:
·進行安全性分析和配置時,選擇安全模板一定要適宜,特別是對於系統安全性配置,如果安全模板的級別較低,我們不易發現存在的安全薄弱環節;級別太高,可能會影響用戶的習慣性操作。徹底安全的系統從理論上講不可能,因此我們所指安全性只是在代價與可用性間作平衡。若是用戶提交的每一個變量都要求有生物學驗證(如指紋鑒定),則將獲得極高水平的可靠性。但是也會造成用戶登錄就要幾十分鐘。這時用戶就會采取繞過安全驗證的方法。一個系統的可靠性只能由整個鏈條中最薄弱的環節來決定。在任何安全系統裡面,人是最脆弱的連接,單單技術本身不能讓系統安全。
·如果您使用windows 2000和windows xp也可以使用相似的安全配置和分析工具提升系統安全性能。
windows 2003系統提供的“安全配置和分析”管理工具可以幫助我們實現這個目標,它的主要作用是對本地系統的安全性進行分析和配置。“安全配置和分析”管理工具可以根據系統提供的不同級別的安全模板對當前系統的安全設置進行分析,在分析結果中,以可視化的標記或注釋突出顯示當前的設置與系統建議的安全級別不匹配的區域,從而找出系統安全的薄弱環節,同時這個工具為我們提供了快速對系統進行安全配置的途徑,用戶只需要選擇相應的安全模板,剩下的事情由“安全配置和分析”管理工具自動為您完成,從而輕松地掌控系統的安全。