使用安全模版加固系统安全

在笔者单位的服务器上配置了严密的安全策略，如果想将其应用到其他单位的主机上，还得逐一进行调配等。如果能够自动批量设置所有与安全相关的组策略，无疑可以大大提高操作效率。使用系统自带的安全模版，可快速批量修改相关的安全项目，提高了操作效率。

安全模版其实是由一些名称不同的“.inf”文件组成。其定义了和本地权限，安全配置，本地组成员，服务，文件和目录授权，注册表授权等方面的内容。管理员可以使用记事本的工具，对其进行复制、移动、修改等操作。例如，对于Windows Server 2012来说，就预设了“dc security.inf”，“Web server.inf”等。

对 于Windows Server 2003来说，其提供的“Setup security.inf”模版是默认的安全模版，定义了默认的安全配置。“compatws.inf”是兼容模版，以“Secure”开头的文件是安全模版，定义了诸如密码复杂性策略，锁定和审核策略等增强型的安全设置项目。以“hisec”开头的文件是高级安全模版，可以对加密和签名进行限制。“rootsec.inf”文件是系统根目录安全模版，为系统盘中的目录的权限进行定义。“iesacls.inf”文件是IE浏览器安全模版，主要用来增强IE的安全性能。

图1 安全模版设置窗口

执行“mmc”程序，在控制台中依次点击菜单“文件”、“添加删除/删除管理单元”项，在弹出窗口左侧选择“安全模版”项，点击“添 加”和“确定”按钮：在控制台左侧依次选择“安全模版”、“模版文件路径”项，在其下显示策略策略（包括密码策略、账户锁定策略等），本地策略（包括审核策略、用户权限分配等），事务日志（和事件查看器相关的策略），受限制的组（控制哪些用户可以进入本地组），系统服务（调整系统服务活动状态），注册表（对注册表访问权限进行控制）。选择对应的模版项目，可以对其中的配置项目进行调整（如图1）。

除了使用系统自带的安全模版外，可以自定义所需的模版。如在模版路径节点的右键菜单上点击“新加模版”项，在弹出窗口中输入其名 称（例如“NewTemplate”）和描述信息。之后选择“NewTemplate”、“受限制的组”项，在右侧窗口点击右键，在弹出菜单中点击“添加组”项，点击浏览按钮，选择输入组的名称（例如“Administrators”），点击“确定”按钮，在弹出窗口中点击“添加”按钮，导入所需的组名（例如“Domain Admins”）。 这样，就可将该组添加到本地的Administrators组中。其好处在于可以控制本地管理员组的成员。针对Administrators组进行上述受限制的策略配置，就只允许“Domain Admins”中的用户拥有管理员权限，其余的用户将被自动清理出本地的Administrators。

选择“NewTemplate”、“文件系统”项，在在右侧窗口的右键菜单上点击“添加文件”项，选择“D盘”，点击“确定”按钮，在弹出窗口中“组或用户名”列表中只保留Administrators组，将其余的账户全部删除。针对Administrators组启用“完全控制”权限。这样，只有管理员才可以对D盘中的文件进行完全控制。选择“NewTemplate”、“系 统 服务”项，在右侧列表中双击“Remote Registry”项，在弹出窗口（如图2）中选择“在模版中定义此策略设置”项，选择“已禁用”项。这样，额可以防止别人通过远程注册表服务，来随意控制本机。

图2 管理系统服务

选择“NewTemplate”、“注册表”项，在右侧窗口的右键菜单上点击“添加”项，选择“MACHINESOFTWAREMicrosoftWindow sCurrentVersionRun”项，点击“确定”按钮，在弹出窗口中“组或用户名”列表中之保留Administrators组，将其余的账户全部删除，针对Administrators组之选择允许读取权限。这样可防止无关程序随意在启动项中添加内容。当然，这里只是说明了几个简单的配置项目，您可以根据实际需要，对其进行更加复杂的安全设置。

当配置好自定义模版后，在“NewTemplate”项的右键菜单上点击“保存”项，即可在上述模版存储路径下得到名为“NewTemplate.inf”的文件。要想让精心配置的模版发挥作用，需要使用安全配置和分析管理单元进行配合。执行“mmc”程序，在控制台中点击菜单“文件”、“添加删除/删除管理单元”项，在弹出窗口左侧选择“安全配置和分析”项，点击“添加”和“确定”按钮：在控制台左侧选择“安全模版”、“安全配置和分析”项，在其右键菜单上点击“打开数据库”项，输入新的数据库名称，可以创建该数据库。

之后在自动打开的导入模版窗口中选择上述“NewTemplate.inf”文件，将该安全模版导入进来。在“安全配置和分析”项的右键菜单上点击“立即配置计算机”项，就可以应用该模版文件中的配置项目了。此外。利用安全模版，还可以对系统进行安全分析。在“安全配置和分析”项的右键菜单上点击“立即分析计算机”选项，可以将当前主机设置项目和安全模版中的内容进行对不分析，找出两者不同点。这样就可以轻松查看本机上的安全设置究竟发生了哪些变化。