Windows安全配置 教学课件 作者 冯秀彦 吕秀鉴 褚云霞 第八章 Windows安全分析配置.pptVIP

第八章 Windows安全分析配置 本章描述：对于Windows系统管理员来说，最关心的事情莫过于windows系统的安全了。为了提高系统的安全程度，我们可能对系统进行了多方面的安全设置，但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平，对于这些，我们需要有一个整体的认识，通过系统自带的安全配置和分析工具，我们可以获取对系统的安全分析结果。 8.1 Windows安全分析配置标准 通过对WINDOWS 7和windows server 2008进行安全分析，Windows 安全分析配置标准如下： 1．设置密码策略。密码是否符合复杂性要求；最短密码长度；密码最短使用期限；密码最长使用期限等。 2．设置账户策略，包括用户名和账户锁定策略。 3．设置交互式登录设置，如“无须按 Ctrl+Alt+Del”设置为已启用 4．设置网络访问，如“本地帐户的共享和安全模型”设置为“经典 - 对本地用户进行身份验证，不改变其本来身份” 5．管理员帐户设置，如 管理员帐户状态设置为“启用本地管理员帐户” 6．其他帐户，如“使用空密码的本地帐户只允许进行控制台登录”设置为“已禁用” 7．系统服务设置，如“Application Experience”设置为“停用”；“Print Spooler” 设置为“停用”；“Remote Registry”设置为“停用”；“themes”设置为“已启用”等。 8.2 安全配置向导 “安全配置和分析”使您能够快速复查安全分析结果。在当前系统设置的旁边提出建议，用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。“安全配置和分析”也提供了解决分析显示的任何矛盾的功能。 8.2.1 安全配置和分析 “安全配置和分析”是分析和配置本地系统安全性的一个工具。常规分析作为企业风险管理程序的一部分，允许管理员跟踪并确保在每台计算机上有足够高的安全级别。管理员可以调整安全级别，最重要的是，检测在系统长期运行过程中出现的任何安全故障。“安全配置和分析”使您能够快速查阅安全分析结果。在当前系统设置的旁边提出建议，用可视化的标记或注释突出显示当前设置与建议的安全级别不匹配的区域。“安全配置和分析”还可以用于直接配置本地系统的安全性。利用个人数据库，可以导入由“安全模板”创建的安全模板，并将这些模板应用于本地计算机。这将立即使用模板中指定的级别配置系统安全性。 8.2.2安全模板 安全模板使用 Microsoft 管理控制台的安全模板管理单元，您可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。安全模板管理单元并不引入新的安全参数，它只是将所有的现有安全属性组织在一起以便于安全管理。将安全模板导入到“组策略”对象中可以通过立即配置域或部门的安全性来简化域管理。要将安全模板应用 于本地计算机，可以使用“安全配置和分析”或 Secedit 命令行工具。安全模板可用于定义以下内容: ·帐户策略 ·密码策略 ·帐户锁定策略 ·Kerberos 策略 ·本地策略 ·审核策略 ·用户权限分配 ·安全选项 ·事件日志:应用程序、系统和安全的事件日志设置 ·受限制的组:安全敏感组的成员资格 ·系统服务:系统服务的启动和权限 ·注册表:注册表项的权限 ·文件系统:文件夹和文件的权限 将每个模板都另存为基于文本的 .inf 文件。这允许您复制、粘贴、导入或导出某些或所有模板属性。在安全模板中可以包含除“Internet 协议”安全和公用密钥策略之外的所有安全属性。 8.3 安全配置和分析 配置本地计算机安全有两种方法使用命令行和Windows 图形界面。这里主要介绍前者。Windows命令行最大的一个特点就是对网络管理的便宜性，管理员只需在命令行窗口输入几个命令，就可以完成诸多繁杂的操作，达到预期的目的。而且可以通过一些命令工具判断网络内部的物理故障以及网络安全问题，实现网络管理的自动化和批量化。 8.3.1命令行方式 1、命令行格式:secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet] 主要参数: /db FileName :指定用于执行此次分析的数据库。 /cfg FileName :指定在执行分析前要导入到数据库中的安全模板。安全模板是使用安全模板管理单元创建的。 /log FileName :指定一个文件，用于记录配置过程所处的状态。如果未指定，配置数据将被记录在 %windir%\security\logs 文件夹的 Scesrv.log 中。 /quiet :指定在执行分析过程时不作更多参与。 /l