用安全模板修改XP本地策略设置

作者: 刘晖
时间: 2004-04-22
出处: 天极

[文章导读]
安全模板的本地策略部分组合了审核策略、用户权限分配、安全选项的安全设置到一个集中统一……

　安全模板的本地策略部分组合了审核策略、用户权限分配、安全选项的安全设置到一个集中统一，便于管理的界面下，要查看安全模板的本地策略设置，依次双击MMC中的：


　　安全模板
　　默认的配置文件保存文件夹(%SystemRoot%/Security/Templates)
　　特定的配置文件
　　本地策略

　　注意：在对一个配置文件进行了任何修改之后，请记得保存修改，然后在正式使用之前一定要先测试好。

　　审核策略

　　审核对于保证域的安全是非常重要的，在Windows XP系统中，默认情况下审核并没有被启用，而每个版本的Windows XP系统都包括了审核功能，以便收集关于系统使用的信息。系统日志就收集了关于应用程序、系统以及安全的相关信息，审核策略中审核的对象发生的事件都会被记录到日志中，日志可以通过时间查看器查看。

　　警告：审核可能会造成处理器时间以及磁盘空间的大量占用，为了减小系统的负担，管理员最好能每天/周都检查、保存和清空审核日志，或者直接把日志保存到其他计算机上。同时也建议直接把审核日志保存到其他计算机中。

　　要通过安全模板组建修改审核策略设置，依次双击：

　　本地策略 审核策略 ，右键点击特定的选项以查看或者编辑

　　图3和表4显示了对于Windows XP Professional建议的审核策略设置。而对于Windows 2000成员服务器和域控制器的建议设置可以在 Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set一文中找到。



图3 建议的审核策略








用户权限分配

　　用户权限分配决定了用户或者组被允许做哪些事情，建议的用户权限都在表5中有列举和详细说明。高级的用户权限都指派给了Administrators组成员或者其他被信任的允许运行管理工具、安装Service Pack、创建打印机和安装设备驱动程序的组的成员。Administrators组成员的用户权限没有在表5中列举出来，因为这个组的成员具有全部的权限，除非默认的用户权限设置被更改。举例来说，Backup Operators组和Administrators组具有“备份文件和目录”的权限，然而安全的做法是只有Administrators组成员具有这个权限，因此Administrators组被显示在表里，尽管Administrators组本身就具有所有的权限。

　　注意：基于特定的网络策略，某些用户/用户组可能需要被添加某些不建议的用户权限或者删除一些建议的用户权限。

　　要通过安全模板组件修改用户权限设置，依次双击：

　　本地策略 用户权限指派
　　双击右侧面板中的目标对象
　　要添加一个用户或者用户组，添加用户或组→输入用户或组-添加-确定-确定
　　要删除一个用户或用户组，选中用户或组-删除-确定
　















表5 用户权限选项

安全选项

　　安全模板中安全选项一段包含了大量可以通过添加或者删除注册表键进行设置的安全选项。建议的安全选项设置都显示在了表6中，其中在NSA的安全模板中增加的自定义安全选项都用灰色区分了出来。

　　警告：在配置安全选项的时候记得使用安全配置工具，使用注册表编辑器代替的话可能引起其它方面的问题，甚至可能需要你重新安装Windows XP。

　　注意：大部分安全选项都可以通过注册表键直接设定，下面就列出了所有相关的注册表键，至于没有包含注册表键设置的选项则是直接在图形界面上进行安全设置的。

























































　向安全选项中添加其他项目

　　在Windows XP中，还可以把一些自定义的注册表设置添加到安全配置工具中去，要实现这个功能，可以采取如下的操作：

　　复制%SystemRoot%/inf/sceregvl.inf到其他名字的文件夹中，并重命名。这样如果有什么问题还可以用最原始的文件恢复。

　　在记事本或者写字板或其他文本编辑器中打开%SystemRoot%/inf/sceregvl.inf
　　在regpath、type、displayname、displaytype下输入内容，其中：
　　regpath - 注册表键值的路径，例如 MACHINE/System/CurrentControlSet/Control/Lsa/AuditBaseObjects
　　type - 以数字表示添加的注册表项目的数据类型可用的值有：REG_SZ (1)，REG_EXPAND_SZ (2)，REG_BINARY (3)，REG_DWORD (4)，REG_MULTISZ (7)。
　　displayname - 在安全模板中要显示的名称，例如"审核对全局系统对象的访问"。
　　displaytype - 添加的注册表项目所显示的类型。可用的值有：Boolean (0)，number (1)，string (2)，choices (3)，multivalued (4)，bitmask (5)，其中数字4和5 只有Windows XP才可用。如果没有指定某个选项，系统会默认使用类似value1|display1，value2|display2… 这样的方式。

　　在命令行下重新执行regsvr32 scecli.dll 以重注册scecli.dll。

　　举例来说，sceregvl.inf中添加的一行命令可以显示为：

　　MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/ScRemoveOpti on,1,%ScRemove%,3,0|%ScRemove0%,1|%ScRemove1%,2|%ScRemove2%

　　上面使用的一些字符串都用于sceregvl.inf文件的[Strings]字段下：

　　%ScRemove% = 智能卡移除操作
　　%ScRemove0% = 无操作
　　%ScRemove1% = 锁定工作站
　　%ScRemove2% = 强制注销

　　关于如何编辑安全配置管理模板的详细信息，请参阅微软知识库文章Q214752：

　　删除自定义的选项

　　删除自定义的选项不像从sceregvl.inf 文件中删除该选项和重新注册DLL文件那么简单，要从模板中删除选项，这样操作：

　　使用文本编辑器（例如记事本）打开sceregvl.inf
　　删除sceregvl.inf文件中[Register Registry Values]下需要删除的安全选项
　　在sceregvl.inf文件中标记有"delete these values from the UI"字段下，添加想要从模板中删除的选项的注册表键。例如，想要把上面示例中添加的自定义选项删除，则把以下内容放在这个字段下：
MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winl ogon/ScRemoveOption
　　保存并关闭sceregvl.inf
　　在命令行窗口中，执行regsvr32 scecli.dll命令
　　要确认该选项已经被删除，在MMC中打开安全模板组件，并检查要删除的选项还有没有在本地策略-安全选项中出现
　　最后，需要再次编辑sceregvl.inf文件，删除之前在"delete these values from current system"下添加的所有注册表键，然后保存并关闭该文件，并再次运行regsvr32 scecli.dll。