Windows 2000 上配置和应用安全模板

一、 介绍：

安全模板是windows 2000的新特性。它是安全配置的物理表示方法，由Windows 2000 支持的安全属性的文件（.inf）组成。它将所有现有的安全属性组织到一个位置以简化安全性管理。安全模板所包含的安全性信息有这样七类：帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务。安全模板也可以用作安全分析。.

 

二、适用范围

       Windows 2000 专业版和服务器版

 

三、模板：

微软推荐了一系列 Windows 2000 安全配置模板

W2KHG_baseline.inf – 应该应用于所有计算机的通用设置。

W2KHG_MemberWks.inf – 只针对作为域成员的工作站的设置。

W2KHG_MemberLaptop.inf – 只针对作为域成员的便携式计算机的设置。

W2KHG_MemberServer.inf – 只针对与域连接的服务器的设置。

W2KHG_DomainController.inf – 只针对域控制器的设置。

W2KHG_StandaloneWKS.inf – 只针对独立工作站的设置。

W2KHG_StandaloneSrv.inf – 只针对独立服务器的设置。

安全模板可以从http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en下载

 

四、查看和编辑安全配置模板

1、将所需的模板复制到“/%Systemroot%/Security/Templates”目录中或硬盘的其他某一位置。

注意：如果您将它们复制到不同的位置，则需要 (a) 适当地保证该位置的安全，以使用户无法修改模板，(b) 将其添加到 MMC 的安全模板管理单元中。

2、单击“开始”，单击“运行”，键入 mmc.exe，然后单击“确定”。

3、在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。

4、选定“安全模板”，单击“添加”，单击“关闭”，然后单击“确定”。

5、要保存管理单元设置，请单击“控制台”菜单上的“保存”。键入此控制台的名称，然后单击“保存”。

6、在“安全模板”管理单元中，双击“安全模板”。

7、双击默认的路径文件夹 (%Systemroot%/Security/Templates)，然后双击要修改的安全配置模板。

8、双击要修改的安全策略（例如“帐户策略”）。

9、单击要自定义的安全区域（如“密码策略”），然后双击要修改的安全属性（如“密码长度最小值”）。

10、修改步骤与本文档的“安全配置”一节中所述的步骤相同。

11、完成修改后，右键单击已修改的安全配置模板的名称，然后单击“保存”。

 

五、使用模板

1、 用具有管理权限的帐户登录计算机。

2 、将所需的模板复制到系统分区的“/%Systemroot%/Security/Templates”（或“C:/WINNT/Security/Templates”）文件夹中。

3、单击“开始”，单击“运行”，键入 mmc.exe，然后单击“确定”。

4、在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。

5、选择“安全配置和分析”，单击“添加”，再单击“关闭”，然后单击“确定”。

6、要保存管理单元设置，请单击“控制台”菜单上的“保存”。

7、在“安全配置和分析”管理单元中，右键单击“安全配置和分析”。

如果还未设置一台工作数据库，单击“打开数据库”以设置一台工作数据库。键入新数据库的名称，以“.sdb”为扩展名，然后单击“打开”。找到安全配置模板，并选定它，这样它就会出现在“文件名：”文本框中。选定“清除此数据库”并单击“打开”。

如果已设置工作数据库，单击“导入模板”。找到安全配置模板，并选定它，这样它就会出现在“文件名：”文本框中。选定“清除此数据库”并单击“打开”。

8、右键单击“安全配置和分析”，然后单击“立即配置计算机”。一个窗口出现，显示出错误日志文件的路径，这时单击“确定”。

注意：安全设置可立即设置好，部分设置尽管已被应用，但它们只有在重启计算机后才生效。

9、关闭“安全配置和分析”工具，并重启计算机。

 

六、几个必须修改的参数

       1、安全日志的设置：因为安全日志是记录一个系统的重要手段，因此通过日志可以查看系统一些运行状态，而Windows 2000的默认安装是不开任何安全审核的，因此需要在安全模板→审核策略中打开相应的审核。单击“本地策略→审核策略”

设成：审核策略更改         成功，失败

         审核登录事件         成功，失败

         审核对像访问           成功，失败

         审核过程跟踪           成功，失败

         审核目录服务访问             失败

         审核特权使用                    失败

         审核系统事件      成功，失败

         审核帐户登录事件  成功，失败

         审核帐户管理           成功，失败

然后按右键保存

 

       2、账号安全设置：Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，造成一些密码容易泄漏而对电脑进行攻击，所以必须采用以下进行安全设置。单击“帐户策略→密码策略”，这个项目。

设成：在密码策略中设置：启用“密码必须符合复杂性要求”，“密码长度最小值”为12    个字符，“强制密码历史”为5次，“密码最长存留期”为30天。然后按右键保存

 

       3、安全选项设置：单击“本地策略→安全选项”，找到右栏“对匿名连接的额外限制”。双击对其中有效策略进行设置，选择“不允许枚举SAM账号和共享”。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息，一般选择此项。然后按右键保存

 

注意：改动过后请重复第五步！（或者在控制面板->管理工具->本地安全策略的相关条目里修改