用安全模板加强windows的安全

用安全模板加强windows的安全

ID:9076017

大小:109.50 KB

页数:9页

时间:2018-04-16

用安全模板加强windows的安全_第1页
用安全模板加强windows的安全_第2页
用安全模板加强windows的安全_第3页
用安全模板加强windows的安全_第4页
用安全模板加强windows的安全_第5页
资源描述:

《用安全模板加强windows的安全》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、用安全模板加强Windows的安全http://www.sina.com.cn  2008年09月26日 14:27  IT168.com  WindowsNT家族的操作系统——WindowsXP、Windows2000、NT4.0和NT3.x一直以缺乏安全性饱受争议。但实际上,这些操作系统(包括NovellNetware和各种UNIX变种)都具有相当好的安全性,它们都装备了数以千计的“锁”——这是一些操作系统用来确保安全性的部件,能够让我们作出只允许用户A可以在对象B上实施动作C之类的规定。  NT和N

2、etware之间的区别在于,虽然两种操作系统都提供了这类锁,但一个新装的Netware系统中这些锁默认是锁上的,管理员根据需要有选择地打开某些锁;而在一个新装的NT操作系统中,大部分的锁默认处于打开状态,管理员的任务是关闭某些可能引起安全隐患的锁。(WindowsServer2003的情况有所不同,它的设计改用了Netware策略。相比之下,Win2K默认锁上的选项要多于NT4.0,而新装的XP又比Win2KPro有更多的安全限制。)  对于NT系列平台的管理员来说,这些锁带来的是一个两难的局面:从理论上

3、看,它们确实提供了保障服务器和工作站安全的机制;但实际操作起来却要耗费大量的时间。XP是一个优秀的操作系统,但如果要我们检查每一台机器,依次调整数十种授权和权限选项来保证系统的安全,很多人会把XP或其他NT系列的操作系统看成代价昂贵和浪费时间的代名词。我们需要一种快速配置安全选项的办法,它能够根据要求自动批量设定所有与安全有关的配置。  这种办法确实存在,它就是安全模板。安全模板是一种ASCII文本文件,它定义了本地权限、安全配置、本地组成员、服务、文件和目录授权、注册表授权等方面的信息。创建好安全模板之

4、后,我们只要一个命令就可以将它定义的信息应用/部署到系统,所有它定义的安全配置都立即生效——原本需要数小时修补注册表、倒腾管理控制台“计算机管理”单元以及其他管理工具才能完成的工作,现在只需数秒就可以搞定。  安全模板并非WindowsServer2003或XP独创的功能,第一次提出这个概念的是NT4.0SP4。安全模板是每一个管理员都必须了解的重要工具。安全模板不会让你修改不能通过其他方式修改的安全选项,它只是提供了一种快速批量修改安全选项的办法。凡是可以利用安全模板设置的安全选项,同样可以使用Wind

5、ows的GUI工具手工修改,但后者耗费的时间肯定多得多。   一、安全模板可以批量修改的五类和安全有关的设置  1.管理组  模板能够调整本地的组成员。如果你的用户使用的是NT系列的桌面系统,或许你也在为这样的问题烦恼:授予用户哪些控制桌面系统的权限才合适?有的公司让每一位用户都拥有本地管理员权限,有些则授予PowerUsers权限,还有的只授予Users权限。  如果限制了用户对自己桌面系统的管理权限,可以肯定的是,某些时候你不得不放宽限制,至少是临时性地放宽。例如,假设设置一个工作站时只允许本地的Ad

6、ministrator帐户成为本地Administrators组的成员,后来有一个维护人员为了方便“临时”地将普通用户帐户提升为Administrators组的成员,本来他打算稍后恢复原来的设置,但后来却忘记了。如果我们定义了一个“只有Administrator才能加入本地Administrators组”的安全模板,只要重新应用一下这个模板就可以防止其他用户进入Administrators组。  当然,模板不是随时监视安全设置选项确实已被采纳的守护神,确保安全设置策略已被执行的最好办法是定期重新应用整个模

7、板,或者创建一个组策略来应用模板(组策略大约每隔90分钟重新应用自己的设置信息)。凡是安全模板能够做到的事情,组策略同样都能够做到,但如果使用组策略的话就要有一个ActiveDirectory(AD)域,而模板却没有这方面的要求。  2.调整NTFS权限  安全模板能够调整NTFS权限。例如,假设我们想要授予C:Stuff目录System/完全控制和Aministrators/完全控制的NTFS权限,但禁止任何其他用户访问,模板可以方便地设定这些授权和限制。  另外,由于模板可以应用到多台机器(倘若使用组

8、策略的话),我们可以将同样的NTFS授权应用到整个域。如果你和大多数NT管理员一样,那么也一定对NT默认的目录权限(Everyone/完全控制)大为不满,并决定加强ACL设置。但是,这个过程很容易出错,以至于把ACL调整到没有一个人能够正常使用机器的地步。因此最好先做一些试验,找出适当的平衡点,然后将平衡点的权限配置用模板表达出来,再将模板应用到所有的系统。   3.启用和禁用服务  模板可以启用或关闭服务,控制谁有权启动或关

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。