在WIN2K中大家都很熟悉组策略,那么大家知道利用安全模板来定义安全性能吗?
1.了解安全模板[如图1]
compatws:提供基本的安全策略,放松用户组的默认文件和注册表权限,使之与多数没有验证的应用程序的要求一致。Power Users 组通常用于运行没有验证的应用程序。
hisecdc: 配置高安全的DC模板,默认具有一定的安全性能,securedc 的超集。对 LanManager 身份验证以及安全频道和 SMB 数据的加密和签字的进一步要求提供进一步的限制。为了将 hisecdc 用于 DC,在所有信任和受信域中的 DC 必须运行 Windows 2000 或更新版本。
hisecws:提供高安全的客户端策略模板,securews 的超集。对 LanManager 身份验证以及安全频道和 SMB 数据的加密和签字的进一步要求提供进一步的限制。为了将 hisecws 用于一个成员,包含登录到此客户所有用户的账户的所有 DC 必须运行 NT4 SP4 或更高。
rootsec:将默认的根目录权限运用于 OS 磁盘分区并将此权限传播到从根目录继承的子对象。传播时间由未受保护的子对象的数目决定。
securedc:安全的策略模板,提供了较高的安全策略给DC,提供增强的域账户策略,限制 LanManager 身份验证的使用,对匿名用户提供进一步的限制。 如果 DC 配置了安全域控制器(securedc),位于那个域账户的用户将不能连接到一个只是 LanMan 客户的任何成员服务器
securews:提供安全的策略给客户机,提供增强的本地账户策略,限制 LanMan 身份验证的使用, 启用服务器端 SMB 签字,对匿名用户提供进一步的限制。 要用于一个域的成员,包含登录到此成员所有用户的账户的所有 DC 必须运行 NT4 SP4 或更高。
setup security:默认提供的安全策略,全新安装系统的默认安全设置 。
2.配置一个安全策略模板[如图2]
进入后配置你需要配置的信息,也可以保持默认!
3.利用运行--输入MMC调用选择安全配置和分析[如图3,图4]
4.选择安全配置和分析--右键--选择打开数据库,这个时候会让你选择一个数据库,你不用管他直接随便输入一个名字就可以了!然后选择打开[如图5]
然后系统会自动提示你配置的结果[如图6]
选择安全配置和分析--选择立即配置到计算机[如图7]
以上的方法可以让我们通过安全模板来设置自己系统的安全性,当然我们还可以通过secedit的命令来配置,下面说一个列子。具体参数和详细资料参考SECEDIT命令
配置一个安全模板到计算机
secedit /secedit /configure
通过应用已存储模板,配置系统安全性。
语法
secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas area1 area2...] [/log FileName] [/quiet]
参数
/db FileName
必需的。提供数据库的文件名,该数据库包含应该使用的安全模板。
/cfg FileName
指定安全模板的文件名,此安全模板将导入到数据库并应用于系统。只有当使用了 /db 参数时此命令行选项才有效。如果没有指定该参数,将应用已存储在数据库中的模板。
/overwrite
指定 /cfg 参数中的安全模板是否应该覆盖存储在数据库中的任何模板或复合模板,而不是将结果附加到存储的模板中。只有当使用了 /cfg 参数时此命令行选项才有效。如果没有指定,就会将 /cfg 参数中的模板附加到存储的模板中。
/areas area1 area2...
指定应用到系统中的安全区域。如果没有指定区域,则所有区域都应用到系统。每个区域应通过空格分隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 在安全模板中指定的任何组的受限组设置
USER_RIGHTS 用户登录权限和特权
REGKEYS 本地注册表项上的安全性
FILESTORE 本地文件存储的安全性
SERVICES 所有定义的服务的安全性
/log FileName
指定过程日志文件的文件名。如果没有指定,将使用默认路径。
/quiet
不使用屏幕和日志文件的输出。
secedit /export
此命令从安全数据库中将存储的模板导出到安全模板文件中。
语法
secedit /export [/mergedpolicy] [/DB FileName] [/CFG FileName] [/areas area1 area2...] [/log FileName] [/quiet]
参数
/mergedpolicy
合并并导出域和本地策略安全性。
/db FileName
指定包含将被导出的模板的数据库文件。如果没有提供数据库文件的名称,将使用系统策略数据库。
/db FileName
指定保存模板的文件名称。
/areas area1 area2...
指定将被导出到模板的安全区域。如果没有指定区域,则所有区域都将被导出。每个区域应通过空格分隔。 区域名称 说明
SECURITYPOLICY 系统的本地策略和域策略,包含帐户策略、审核策略等等。
GROUP_MGMT 指定在安全模板中指定的任何组的受限组设置。
USER_RIGHTS 指定用户登录权限和特权
REGKEYS 指定本地注册表项的安全性
FILESTORE 指定本地文件存储的安全性
SERVICES 指定所有定义的服务的安全性
/log FileName
指定该过程日志文件的文件名。如果没有指定,将使用默认路径。
/quiet
不使用屏幕和日志文件的输出。
secedit /validate
验证要导入到分析数据库或系统应用程序的安全模板的语法。
语法
secedit /validate FileName
参数
FileName
指定使用安全模板创建的安全模板文件名。
注释
secedit /refreshpolicy 已经被 gpupdate 替代。有关如何刷新安全设置的信息,请参阅 gpupdate。
格式化图例
格式 含义
斜体 用户必须提供的信息
粗体 用户必须准确键入的要显示的元素
省略号 (...) 在命令行中可多次重复的参数
中括号 ([]) 可选项
大括号 ({});选项用竖线 (|) 分隔。例如: {even|odd} 用户必须从选项集合中选择一个
Courier 字体 代码或程序输出
|