项目2Windows系统安全加固选编.ppt

2. 预定义的安全模板 预定义的安全模板是作为创建安全策略的初始点而提供的，这些策略都经过自定义设置以满足不同的组织要求。 可以使用安全模板管理单元对模板进行自定义设置。一旦对预定义的安全模板进行了自定义设置，就可以用这些模板配置单台或数千台计算机的安全性。 可以使用安全配置和分析管理单元、Secedit.exe 命令提示符工具或将模板导入本地安全策略中来配置单台计算机。在Windows Server 2003中预定义的安全模板如下。 (1) 默认安全设置(setup security.inf)。setup security.inf代表在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。此模板的某些部分可应用于故障恢复。 (2) 兼容(compatws.inf)。工作站和服务器的默认权限主要授予3个本地组：Administrators、Power Users 和 Users。Administrators 享有最高的权限，而 Users 的权限最低。不要将兼容模板应用到域控制器。 (3) 安全(secure*.inf)。安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如，安全模板定义了更严密的密码、锁定和审核设置。 此外，安全模板还限制了 LAN?Manager 和 NTLM 身份认证协议的使用，其方式是将客户端配置为仅可发送 NTLMv2 响应，而将服务器配置为可拒绝 LAN?Manager 的响应。 安全模板细分为securews.inf和securedc.inf。securews.inf应用于成员计算机，securedc.inf应用于服务器。 (4) 高级安全(hisec*.inf)。高级安全模板是对加密和签名做进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在 SMB 客户机和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝 LAN Manager 的响应，而高级安全模板则可以使服务器同时拒绝 LAN Manager 和 NTLM 的响应。安全模板可以启用服务器端的 SMB 数据包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对安全通道数据进行强力加密和签名，从而形成域到成员以及域到域的信任关系。 高级安全模板细分为hisecws.inf和hisecdc.inf。一般，hisecws.inf应用于普通服务器，hisecdc.inf应用于域控制器。 (5) 系统根目录安全(rootsec.inf)。rootsec.inf可以指定由Windows Server 2003所引入的新的根目录权限。默认情况下，rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可以利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。 3. 使用安全模板 运行“mmc.exe”命令，打开控制台，选择菜单“文件”→“添加/删除管理单元”命令，把“安全模板”添加到控制台中。双击“安全模板”选项，可以看到几个预定义的安全模板，如图2-55所示。这些模板保存在%systemroot%\security\templates中，用户也可以创建包含安全设置的自定义安全模板。 双击要修改的安全策略，根据需要进行修改后，右击已修改的安全配置模板的名称，然后选择“另存为”命令，新建一个模板。 说明： ① C$、D$等：允许管理人员连接到驱动器根目录下的共享资源。 ② ADMIN$：计算机远程管理期间使用的资源。该资源的路径总是系统根目录路径(安装操作系统的目录，如C:\Windows)。 ③ IPC$：共享命名管理的资源，在程序之间的通信过程中，该命名管道起着至关重要的作用。在计算机的远程管理期间，以及在查看计算机的共享资源时使用IPC$。不能删除该资源。 ④ 系统重新启动后，被删除的特殊共享资源将会重新建立。因此，为保证不会出现特殊共享资源攻击，应使用批处理的方式在系统重启时自动进行删除操作。 ⑤ 全部删除系统中的特殊共享资源，将影响系统提供的文件共享服务、打印共享服务等网络服务，删除前应仔细确认Windows Server 2003操作系统所扮演的角色，是作为单独的桌面操作系统使用，还是作为网络操作系统提供各种网络服务使用。 (4) 关闭自动播放功能 现在很多病毒(如U盘病毒)会利用系统的自动播放功能来进行传播，关闭系统的自动播放功能可以降低病毒传播的风险。 步骤1：选择“开始”→“运行”命令，打开“运行”对话框，在对话框的“打开”文本框中输入“gpedit.msc”命令，然后单击“确定”按钮，打开“组策略编辑器”窗口。 步骤2：在窗口的左侧窗格中，选择“‘本地计算机’策略”→“计算机配置”→“管理模板”→“