教你如何用安全模板加强Windows的安全

教你如何用平安模板加强Windows的平安WindowsNT家族的操作系统——WindowsXP、Windows2000、NT4.0和NT3.x一直以缺乏平安性饱受争议。但实际上，这些操作系统（包括NovellNetware和各种UNIX变种）都具有相当好的平安性，它们都装备了数以千计的“锁”——这是一些操作系统用来确保平安性的部件，可以让我们作出只允许用户A可以在对象B上施行动作C之类的规定。NT和Netware之间的区别在于，虽然两种操作系统都提供了这类锁，但一个新装的Netware系统中这些锁默认是锁上的，员根据需要有选择地翻开某些锁；而在一个新装的NT操作系统中，大部分的锁默认处于翻开状态，员的任务是关闭某些可能引起平安隐患的锁。（WindowsServerxx的情况有所不同，它的设计改用了Netware策略。相比之下，Win2K默认锁上的选项要多于NT4.0，而新装的XP又比Win2KPro有更多的平安限制。）对于NT系列平台的管理员来说，这些锁带来的是一个两难的场面：从理论上看，它们确实提供了保障效劳器和工作站平安的机制；但实际操作起来却要消耗大量的时间。XP是一个优秀的操作系统，但假设要我们检查每一台机器，依次调整数十种受权和权限选项来保证系统的平安，很多人会把XP或其他NT系列的操作系统看成代价昂贵和浪费时间的代名词。我们需要一种快速配置平安选项的方法，它可以根据要求自动批量设定所有与平安有关的配置。这种方法确实存在，它就是平安模板。平安模板是一种ASCII文本文件，它定义了本地权限、平安配置、本地组成员、效劳、文件和目录受权、表受权等方面的信息。创立好平安模板之后，我们只要一个命令就可以将它定义的信息应用/部署到系统，所有它定义的平安配置都立即生效——本来需要数小时修补表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作，如今只需数秒就可以搞定。平安模板并非WindowsServerxx或XP独创的功能，第一次提出这个概念的是NT4.0SP4。平安模板是每一个管理员都必须理解的重要工具。平安模板不会让你修改不能通过其他方式修改的平安选项，它只是提供了一种快速批量修改平安选项的方法。但凡可以利用平安模板设置的平安选项，同样可以使用Windows的GUI工具手工修改，但后者消耗的时间肯定多得多。模板可以调整本地的组成员。假设你的用户使用的是NT系列的桌面系统，或许你也在为这样的问题烦恼：授予用户哪些控制桌面系统的权限才适宜？有的公司让每一位用户都拥有本地管理员权限，有些那么授予PowerUsers权限，还有的只授予Users权限。假设限制了用户对自己桌面系统的管理权限，可以肯定的是，某些时候你不得不放宽限制，至少是临时性地放宽。例如，假设设置一个工作站时只允许本地的Administrator帐户成为本地Administrators组的成员，后来有一个维护人员为了方便“临时”地将普通用户帐户提升为Administrators组的成员，本来他打算稍后恢复原来的设置，但后来却忘记了。假设我们定义了一个“只有Administrator才能参加本地Administrators组”的平安模板，只要重新应用一下这个模板就可以防止其他用户进入Administrators组。当然，模板不是随时jian视平安设置选项确实已被采纳的守护神，确保平安设置策略已被执行的最好方法是定期重新应用整个模板，或者创立一个组策略来应用模板（组策略大约每隔90分钟重新应用自己的设置信息）。但凡平安模板可以做到的事情，组策略同样都可以做到，但假设使用组策略的话就要有一个ActiveDirectory（AD）域，而模板却没有这方面的要求。平安模板可以调整NTFS权限。例如，假设我们想要授予C:Stuff目录System/完全控制和Aministrators/完全控制的NTFS权限，但制止任何其他用户访问，模板可以方便地设定这些受权和限制。另外，由于模板可以应用到多台机器（倘假设使用组策略的话），我们可以将同样的NTFS受权应用到整个域。假设你和大多数NT管理员一样，那么也一定对NT默认的目录权限（Everyone/完全控制）大为不满，并决定加强ACL设置。但是，这个过程很容易出错，以致于把ACL调整到没有一个人可以正常使用机器的地步。因此最好先做一些试验，找出适当的平衡点，然后将平衡点的权限配置用模板表达出来，再将模板应用到所有的系统。模板可以启用或关闭效劳，控制谁有权启动或关闭效劳。你想要关闭大部分机器的IIS效劳，只留下个别效劳器运行IIS吗？这可不是一件轻松的工作，因为默认情况下，Win2K和NT4.0会把IIS安装到所有效劳器上（可喜的是，WindowsServerxx改正了这一做法。）除了IIS，你可能还希望制止许多其他不必要的效劳，可能还想对Server、ComputerBrowser、Index、WirelessZeroConfiguration之类的效劳痛下杀手，但是，到每一台机器上逐个禁用这些效劳实在太费事了，好在模板可以帮助我们迅速完成这些工作。平安模板允许我们停顿（针对效劳运行的状态）以及禁用（针对效劳的启动方式）效劳。当你开场理解模板时，会惊奇地发现模板允许我们控制哪些人有权开启和关闭效劳——理解Windows效劳的ACL的人可能不是很多，但模板却提供了调整这些ACL的途径。例如，假设你想让Mary有权开启和关闭Server效劳，却又不想让Mary成为管理员，如今可以通过模板来设置。平安模板允许我们调整表的受权。表包含了大量只能读取、不能修改的信息。例如，假设有一个NT4.0的工作站安装了，如今把它晋级到了Win2K，但却发现用户需要本地管理员权限才能运行。表中终究发生了什么事情才导致如此怪异的现象？注重细节的应用程序会在两个键下面保存其配置信息：HKEYLOCALMACHINESOFTWARE和HKEYCURRENTUSERSoftware。具有管理员权限的用户负责初始的安装以及大部分的配置，这些配置信息保存在HKEYLOCALMACHINESOFTWARE键下。但是，每一个用户又必须根据自己的需要和爱好调整应用程序，应用程序需要一个适当的位置来保存这部分配置信息。假设应用程序把所有的配置信息都保存在HKEYLOCALMACHINESOFTWARE，普通用户每次要修改配置时都要找管理员才行。正是考虑到该问题，注重细节的应用程序会把非关键性的配置选项（用户个人的配置选项）保存在HKEYCURRENTUSERSoftware键下，所以我们应该让用户拥有对该键的写入权限。也就是说，假设用户没有管理员权限，那么他至少要有HKEYLOCALMACHINESOFTWARE键的读取权限、HKEYCURRENTUSERSoftware键的读取和写入权限。遗憾的是，许多软件厂商还没有重视HKEYLOCALMACHINESOFTWARE、HKEYCURRENTUSERSoftware这两个键的区别，而是把所有配置信息都保存到了HKEYLOCALMACHINESOFTWARE键下。在NT4.0下，这种处置方法不会引起问题，因为NT4.0默认允许所有用户写入HKEYLOCALMACHINE，由于NT4.0控制HKEYLOCALMACHINE的ACL非常宽松，所以即使普通用户也不会遇到问题。但在Win2K中，表ACL的默认配置已经变化，非管理员的用户只有读取HKEYLOCALMACHINE的权限，所以用户必须以本地管理员身份才能正常运行。如何解决这类问题呢？获取一份应用软件的新版本，或者将XP、Win2K的表ACL放宽到NT4.0的程序。假设采用后面的解决方法，我们既可以用表器（对于XP或WindowsServerxx，使用Regedit，对于Win2K，使用Regedt32）手工执行修改，也可以用模板来调整表的受权。其实，我们根本不必自己创立修改表受权的模板，微软已经提供了一个：winntsecurityemplatespatws.inf。微软提供的另一个模板winntsecurityemplatesasicws.inf可以把表受权恢复到Win2K的默认状态。平安模板可以控制本地平安策略设置。每一台机器都有许多本地平安策略设置，例如是否显示出最后系统的用户名称、多长时间修改本地帐户的密码，等等。在NT4.0中，这些设置通过用户管理器的本地版本（lusrmgr.exe）修改；在Win2K中，修改工具是本地平安策略管理单元secpol.msc。手工修改这类设置的步骤是：从控制面板的管理工具中启动“本地平安策略”，或者点击“开场”→“运行”，输入secpol.msc，点击“确定”启动本地平安策略管理器。本地平安策略管理器可以用来关闭或启动系统审核功能、调整密码管理策略、授予或者收回用户操作XP和Win2K的许多权限、控制IP平安（IPSec）。实际上，“本地平安策略”管理器可能是Windows默认提供的唯一控制IPSec的工具。以上就是平安模板可以调整的五个方面，所有这些平安选项的调整都只要一个平安模板文件就可以完成。下面我们从理论应用的角度介绍模板的应用，示范如何为工作站或成员效劳器创立一个模板，这个模板主要包括三方面的功能：首先，该平安模板可以控制组的成员，即限制本地的Administrators组只能由本地Administrator帐户和域的DomainAdmins组参加；第二，该模板将设置F:adminstuff目录的NTFS权限，只允许本地的Administrators组访问；最后，该模板将制止Indexing效劳。我们知道，平安模板其实就是文本文件，因此从理论上讲，我们可以用记事本来创立平安模板。不过事实上，用记事本创立平安模板的工作量相当大，假设改用微软管理控制台的平安模板管理单元就要方便多了。WindowsXP和2K都带有该工具。首先翻开一个空的MMC控制台。点击“开场”→“运行”，输入“mmc/a”，按Enter键翻开一个空白的MMC控制台。在该控制台中，点击“文件”（对于Win2K，点击“控制台”）→“添加/删除管理单元”，翻开“添加/删除管理单元”对话框，点击“添加”翻开“添加独立管理单元”对话框，在管理单元清单中选择“平安模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开场设置平安模板了。在控制台根节点下面有一个平安模板的图标——一台加上了锁的计算机，如图一。扩展该标记，子节点显示出了当前系统平安模板的途径。一般情况下，平安模板位于%systemroot%目录的securityemplates文件夹。扩展该途径节点，可以看到一组预制的平安模板；依赖于操作系统的版本和已安装的ServicePack数量，预制平安模板的数量也可能不同。点击任意一个平安模板，右边的窗格显示出可以利用该平安模板控制的平安选项类别：⑴帐户策略：控制密码策略、锁定策略、Kerberos策略。⑵本地策略：控制审核策略、用户权利指派、平安选项。⑶事件日志：控制事件日志设置和NT的事件查看器的行为。⑷受限制的组：控制哪些用户可以或者不可以进入各种本地组。⑸系统效劳：启动、关闭各种系统效劳，控制哪些用户有权修改系统效劳的启动方式。⑹表：控制修改或查看各个键的权限，启用键的修改审核功能。⑺文件系统：控制文件夹、文件的NTFS受权。根本知识已经理解得差不多了，下面就让我们从头开场构建一个模板。右击模板的途径（图一是d:windowssecurityemplates，你的Windows可能有所不同），然后选择菜单“新加模板”，输入模板的名称，假设是Simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。下面，作为一个试验，让我们限制Administrators组、设置F:adminstuff的ACL、关闭Indexing效劳。所有这些设置都可以在Simple节点下完成。首先，我们要设置一下Administrator组，只允许本地的Administrator帐户和域的DomainAdmins组参加Administrators组。扩展左边窗格中的Simple节点，选中“受限制的组”。假设操作系统是XP，右边窗格会显示出“此视图中没有可显示的工程”；假设是Win2K，右边窗格保持空白。如今右击“受限制的组”节点，选择菜单“添加组”，在新出现的对话框中，点击“阅读”并找到本地工作站或成员效劳器的Administrators组。注意，这里我们要参加的是本地的Administrators组，而不是参加域的组；假设你用域的帐户工作站，“阅读”对话框将假定你想要从域参加组（而不是假定你要从工作站或成员效劳器的本地SAM参加组）。返回“添加成员”对话框后，点击“确定”。假设你使用的是XP，可以看到一个“Administrators属性”对话框；假设是Win2K，必须右击右边窗格中的Administrators然后选择“平安”才能翻开类似的对话框，但Win2K对话框的标题是“为Administrators配置成员”。在这个对话框中，窗口上方有一个“这个组的成员”清单，窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮翻开“添加成员”对话框。假设是Win2K，点击“阅读”按钮并选择域的DomainAdmins组；假设是XP，点击“阅读”按钮翻开的是一个“选择用户”对话框，但DomainAdmins不会出如今列表中，你必须首先点击“对象类型”，选择“组”，点击“确定”返回“选择用户”对话框，选择（或者输入）DomainAdmins。按照同样的步骤参加Administrator帐户。接下来我们设置模板的第二部分，使得任何拥有F:adminstuff文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中，右击“文件系统”，选择“添加文件”，在“添加文件或文件夹”对话框中找到或者输入f:adminstuff目录。点击“确定”，出现一个标准的NTFS权限设置对话框。如今删除所有默认提供的受权规那么，参加对本地Administrators组的“完全控制”受权。注意NTFS平安设置对话框里还可以调整高级NTFS选项，例如设置审核功能、所有者权限等。点击“确定”，系统会询问是否把权限设置传播给所有子文件夹和文件，根据需要选择一个选项，点击“确定”。自CodeRed和Nimda肆虐以来，Indexing效劳就引起了人们担忧，在不必使用该效劳的系统上，最好的选择就是将它关闭。在控制台左边的窗格中，点击“系统效劳”，在右边窗格中右击Indexing效劳，选择“属性”（对于XP）或者“平安”（对于Win2K）。在“IndexingService属性”对话框中，选中“在模板中定义这个策略设置”，这时系统显示出“平安设置IndexingService”对话框，如今我们不需要设置该对话框的选项，因此点击“取消”返回图四的对话框。在对话框中选择“已停用”，然后点击“确定”。右击控制台左边窗格中的Sim