用好安全模板与分析工具

引言： Windows Server 2012有安全模板，它可以作用于DC和服务器中有关角色和应用的高级别的安全设置，这些.inf文件可以被导入进GPOs (Group Policy Objects)；更进一步，安全模板可以导入到安全数据库，用于配置那些没有活动目录AD的个别服务器。

从安全模板谈起

Windows Server 2003（以 下 简 称WS2003，Windows Server 2012简称WS2012等）中，系统就提供有安全模板（Security Templates），默认位置为%systemroot%security templates，其中包含有模板 如Setup Security.inf和 Compatws.inf，前 者 是在系统安装时便生成，不同安装方式（如纯安装和升级安装）其内容有所不同；模板Compatws.inf则涉及访问控制列表，包括用户组文件及其注册信息。此外，还有多个模板文件如DC security.inf 、Securedc.inf、Rootsec.inf等。但WS2008之后版本，安全模板默认位置 是 在%systemroot%inf，而且限制性更强，模板包括：Defltbase.inf，Defltsv.inf，Defltdc.inf，DCfirst.inf（域内的第一个域控制器DC）。

那么这些模板作用是什么呢？它可以作用于DC和服务器中有关角色和应用的高级别的安全设置，这些.inf文件可以被导入进GPOs(Group Policy Objects)；更进一步，安全模板可以导入到安全数据库，用于配置那些没有活动目录AD的个别服务器。微软网站提供了一个工具SCW，可以将安全数据库中的配置与本地服务器进行比较和分析，便于系统安全维护。

如何生成一个新的安全数据库

为系统安全配置进行分析了解，管理员有必要生成一个安全数据库。笔者仅以英文版WS2012 R2为例介绍生成方法：

1.以本地管理员身份登录系统，在开始菜单运行“mmc”命令，然后从“File”菜单选取“Add/Remove Snapin…”；2.出现“Addor RemoveSnap-ins” 对话框，从下拉列表选择“Security Configuration and Analysis”，依次点击“Add”和“OK”按钮；

3.在MMC窗口内，右键“Security Configuration and Analysis”后从菜单选取“Open Database”选项；

4.看 到“Open database”对话框，输入新数据库的名称；

5.进 入“Import Template”对话框，此时需要选取一个.inf文件对安全数据库进行配置，此时需要打开WS2012 R2提供的默认安全模板，例如Defltsv.inf，几秒之后便完成。

如何分析服务器安全状况

建立好了新的安全数据库即可通过库内设置项与本地机器进行比较：

1.在MMC左侧面板有一项名为“Security Configurationand Analysis”，右击后从菜单选取“Analyze Computer Now”，对错误记录文件等一律选“OK”；

2.在MMC窗口内，将“Security Configuration and Analysis”栏目下的“Account Policies” 进 行扩展，对其中的密码策略“Password Policy” 进 行点击，在MMC中会看到Password Policy的逐项设置，还有“Database Setting”列表以及本地机器设置。假设登录的是一部独立的服务器，还没有改变默认设置，那么数据库和本地机设置应该是一致的。

还可对数据库中的安全设置项进行编辑，例如：

1.在MMC窗口内，将“Security Configuration and Analysis” 栏 目 下的“Account Policies” 加以扩展后点击“Password Policy”；

2.双击面板中的“Password must meet complexity requirements”（密码必须适用复杂环境），此时需要勾选“Define this policy in the database”，将策略设置从Enabled改变为Disabled后选“OK”；

3.右点MMC中的“Security Configuration and Analysis” 后 选 择“Save”。类似的操作适用于安全数据库中的任何策略设置，此处不作赘述。

如何对服务器进行安全配置

可以通过安全数据库中的设置对服务器进行配置：在MMC 中右击“Security Configuration and Analysis”后，从菜单选择“Configure Computer Now”即可完成。

经过一段时期后，安全数据库设置趋于完善，可以将该设置导出为.inf文件，以用于其他系统或通过组策略发布。实现方式为：在MMC中右点“Security Configuration and Analysis”后，从菜单选取“Import Template”即可。

功能全面的安全管理工具SCM

在微软网站提供了免费 工 具 SCM （Security Compliance Manager），便于管理员进行系统安全维护和组策略设置，它还能够跟踪安全模板基准的变化情况。虽然SCM可以而且被多数人直接安装到WS2012，但微软建议将其安装到管理工作站。SCM 安装要求的系统配置有：.NET Framework 、SQL Express Server 2008以及Microsoft Visual C++。

安装完成后启动SCM，它会自动导入安全基准模板，为此需要几分钟。重启SCM后，可能会提示下载更新安全模板，此时就会启动向导工具“Import Baselines Wizard”：对于每个模板的安全提示均点击“Run”按钮 ，选择相应的更新模板后 进 入“Baseline details”页面，点击“Import”后在“Results”页面点击“Finish”按钮。

然后，在SCM左侧面板就会看到所有导入的基准模板的列表。此时，如果我们扩展开左侧面板的WS2012栏目，就会看到针对多个不同服务器角色的基准模板，如域控制器DC和File Server。微软建议服务器仅采用这样三类安全模板：Domain Controller,Domain Security以 及Member Server 。

在所列模板中有一个是WS2012 Member Server Security Compliance 1.0，可以对其复制并进行某些设定，具体操作为：

1.在SCM 中点击该模板，然后点击“Duplicate”按钮；

2.在“Duplicate”对话框中，给出模板的新名称并点击“Save ”按钮；

3.这样，新的模板便出现在左侧面板中，然后点击“Network Security”: “Do not store LAN manager hashes on next password change” 选项 ；

4.看到在默认时该设置为Enabled ，现在将其改为Disabled，方法为从“Customize”下拉菜单中选取Disabled，等几秒完成后点击“Collapse”即可。

SCM有一项很重要的功能是能够比较两个模板，发现两者不同并选出佳者，具体操作为：

1.在SCM中，扩展开左侧的“Custom Baselines,Windows Server 2012”选项，然后选取刚才特制的模板；

2.点击右侧面板的“Compare / Merge”选项；

3.在“Compare Baselines”对话框内，扩展开“Microsoft Baselines,Windows Server 2012”选 项 后，选 择“WS2012 Member Server Security Compliance 1.0”选项后点击“OK”；

4.我们会直接看到SCM所发现的不同设置，比如Network安全项目中的LAN Manager配置有问题，此时我们可以进行弥补。

5.在SCM中 点 击“Merge”选项，进入“Merge Baselines”窗口后在“LAN Manager”设置项中点击“Enabled”，然后输入指定的新的基准模板即可。

SCM除了用于安全设置的分析与管理外，它对组策略（GP）也颇具工具性，其实管理员完全可以将GP设置加入到基准中去。现在，假设需要生成一个新的设置组，其设置在默认模板并未包括，那么具体实现方式是：

1.在SCM中，从左侧选取想要加入设置的基准模 板，然后点击“Setting Group”栏目下的“Add”按钮；

2.在“Setting Group Properties”属性对话框中输入“Windows Installer”后点击“Add”按钮；

3. 在“Add Settings”对话框中，从产品列表选择“Windows Server 2012”选项；

4. 从“Setting Group”菜 单 选 择“Windows Installer”选项；

5.从“Choose Settings”中的下拉菜单选择“Computer Configuration”选项；

6.出现一个新的菜单，将其设置到“Administrative Templates”选项，设置好菜单“Windows Components”和 “Windows Installer”选项；

7.从设置列表中选 择“Prohibit nonadministrators from applying vendor signed updates”后点击“Add”按钮。此时，从SCM的设置模板列表中就会看到有“Windows Installer组”，增加的设置就在这里。