使用安全模版加固系統安全

在筆者單位的服務器上配置了嚴密的安全策略，如果想將其應用到其他單位的主機上，還得逐一進行調配等。如果能夠自動批量設置所有與安全相關的組策略，無疑可以大大提高操作效率。使用系統自帶的安全模版，可快速批量修改相關的安全項目，提高了操作效率。

安全模版其實是由一些名稱不同的“.inf”文件組成。其定義了和本地權限，安全配置，本地組成員，服務，文件和目錄授權，注冊表授權等方面的內容。管理員可以使用記事本的工具，對其進行復制、移動、修改等操作。例如，對于Windows Server 2012來說，就預設了“dc security.inf”，“Web server.inf”等。

對 于Windows Server 2003來說，其提供的“Setup security.inf”模版是默認的安全模版，定義了默認的安全配置。“compatws.inf”是兼容模版，以“Secure”開頭的文件是安全模版，定義了諸如密碼復雜性策略，鎖定和審核策略等增強型的安全設置項目。以“hisec”開頭的文件是高級安全模版，可以對加密和簽名進行限制。“rootsec.inf”文件是系統根目錄安全模版，為系統盤中的目錄的權限進行定義。“iesacls.inf”文件是IE瀏覽器安全模版，主要用來增強IE的安全性能。

圖1 安全模版設置窗口

執行“mmc”程序，在控制臺中依次點擊菜單“文件”、“添加刪除/刪除管理單元”項，在彈出窗口左側選擇“安全模版”項，點擊“添 加”和“確定”按鈕：在控制臺左側依次選擇“安全模版”、“模版文件路徑”項，在其下顯示策略策略（包括密碼策略、賬戶鎖定策略等），本地策略（包括審核策略、用戶權限分配等），事務日志（和事件查看器相關的策略），受限制的組（控制哪些用戶可以進入本地組），系統服務（調整系統服務活動狀態），注冊表（對注冊表訪問權限進行控制）。選擇對應的模版項目，可以對其中的配置項目進行調整（如圖1）。

除了使用系統自帶的安全模版外，可以自定義所需的模版。如在模版路徑節點的右鍵菜單上點擊“新加模版”項，在彈出窗口中輸入其名 稱（例如“NewTemplate”）和描述信息。之后選擇“NewTemplate”、“受限制的組”項，在右側窗口點擊右鍵，在彈出菜單中點擊“添加組”項，點擊瀏覽按鈕，選擇輸入組的名稱（例如“Administrators”），點擊“確定”按鈕，在彈出窗口中點擊“添加”按鈕，導入所需的組名（例如“Domain Admins”）。 這樣，就可將該組添加到本地的Administrators組中。其好處在于可以控制本地管理員組的成員。針對Administrators組進行上述受限制的策略配置，就只允許“Domain Admins”中的用戶擁有管理員權限，其余的用戶將被自動清理出本地的Administrators。

選擇“NewTemplate”、“文件系統”項，在在右側窗口的右鍵菜單上點擊“添加文件”項，選擇“D盤”，點擊“確定”按鈕，在彈出窗口中“組或用戶名”列表中只保留Administrators組，將其余的賬戶全部刪除。針對Administrators組啟用“完全控制”權限。這樣，只有管理員才可以對D盤中的文件進行完全控制。選擇“NewTemplate”、“系 統 服務”項，在右側列表中雙擊“Remote Registry”項，在彈出窗口（如圖2）中選擇“在模版中定義此策略設置”項，選擇“已禁用”項。這樣，額可以防止別人通過遠程注冊表服務，來隨意控制本機。

圖2 管理系統服務

選擇“NewTemplate”、“注冊表”項，在右側窗口的右鍵菜單上點擊“添加”項，選擇“MACHINESOFTWAREMicrosoftWindow sCurrentVersionRun”項，點擊“確定”按鈕，在彈出窗口中“組或用戶名”列表中之保留Administrators組，將其余的賬戶全部刪除，針對Administrators組之選擇允許讀取權限。這樣可防止無關程序隨意在啟動項中添加內容。當然，這里只是說明了幾個簡單的配置項目，您可以根據實際需要，對其進行更加復雜的安全設置。

當配置好自定義模版后，在“NewTemplate”項的右鍵菜單上點擊“保存”項，即可在上述模版存儲路徑下得到名為“NewTemplate.inf”的文件。要想讓精心配置的模版發揮作用，需要使用安全配置和分析管理單元進行配合。執行“mmc”程序，在控制臺中點擊菜單“文件”、“添加刪除/刪除管理單元”項，在彈出窗口左側選擇“安全配置和分析”項，點擊“添加”和“確定”按鈕：在控制臺左側選擇“安全模版”、“安全配置和分析”項，在其右鍵菜單上點擊“打開數據庫”項，輸入新的數據庫名稱，可以創建該數據庫。

之后在自動打開的導入模版窗口中選擇上述“NewTemplate.inf”文件，將該安全模版導入進來。在“安全配置和分析”項的右鍵菜單上點擊“立即配置計算機”項，就可以應用該模版文件中的配置項目了。此外。利用安全模版，還可以對系統進行安全分析。在“安全配置和分析”項的右鍵菜單上點擊“立即分析計算機”選項，可以將當前主機設置項目和安全模版中的內容進行對不分析，找出兩者不同點。這樣就可以輕松查看本機上的安全設置究竟發生了哪些變化。