用好安全模板與分析工具

引言： Windows Server 2012有安全模板，它可以作用于DC和服務(wù)器中有關(guān)角色和應(yīng)用的高級別的安全設(shè)置，這些.inf文件可以被導(dǎo)入進GPOs (Group Policy Objects)；更進一步，安全模板可以導(dǎo)入到安全數(shù)據(jù)庫，用于配置那些沒有活動目錄AD的個別服務(wù)器。

從安全模板談起

Windows Server 2003（以 下 簡 稱WS2003，Windows Server 2012簡稱WS2012等）中，系統(tǒng)就提供有安全模板（Security Templates），默認(rèn)位置為%systemroot%security templates，其中包含有模板 如Setup Security.inf和 Compatws.inf，前 者 是在系統(tǒng)安裝時便生成，不同安裝方式（如純安裝和升級安裝）其內(nèi)容有所不同；模板Compatws.inf則涉及訪問控制列表，包括用戶組文件及其注冊信息。此外，還有多個模板文件如DC security.inf 、Securedc.inf、Rootsec.inf等。但WS2008之后版本，安全模板默認(rèn)位置 是 在%systemroot%inf，而且限制性更強，模板包括：Defltbase.inf，Defltsv.inf，Defltdc.inf，DCfirst.inf（域內(nèi)的第一個域控制器DC）。

那么這些模板作用是什么呢？它可以作用于DC和服務(wù)器中有關(guān)角色和應(yīng)用的高級別的安全設(shè)置，這些.inf文件可以被導(dǎo)入進GPOs(Group Policy Objects)；更進一步，安全模板可以導(dǎo)入到安全數(shù)據(jù)庫，用于配置那些沒有活動目錄AD的個別服務(wù)器。微軟網(wǎng)站提供了一個工具SCW，可以將安全數(shù)據(jù)庫中的配置與本地服務(wù)器進行比較和分析，便于系統(tǒng)安全維護。

如何生成一個新的安全數(shù)據(jù)庫

為系統(tǒng)安全配置進行分析了解，管理員有必要生成一個安全數(shù)據(jù)庫。筆者僅以英文版WS2012 R2為例介紹生成方法：

1.以本地管理員身份登錄系統(tǒng)，在開始菜單運行“mmc”命令，然后從“File”菜單選取“Add/Remove Snapin…”；2.出現(xiàn)“Addor RemoveSnap-ins” 對話框，從下拉列表選擇“Security Configuration and Analysis”，依次點擊“Add”和“OK”按鈕；

3.在MMC窗口內(nèi)，右鍵“Security Configuration and Analysis”后從菜單選取“Open Database”選項；

4.看 到“Open database”對話框，輸入新數(shù)據(jù)庫的名稱；

5.進 入“Import Template”對話框，此時需要選取一個.inf文件對安全數(shù)據(jù)庫進行配置，此時需要打開WS2012 R2提供的默認(rèn)安全模板，例如Defltsv.inf，幾秒之后便完成。……