基于安全模板的Windows终端安全策略部署.docVIP

基于安全模板的Windows终端安全策略部署 　　摘要：随着机构信息化程度越来越高，信息安全问题也日益对机构的安全运营产生巨大影响，而终端计算机安全与机构整体信息安全水平关系重大。Windows操作系统在全球机构办公终端中占着极高的占有率。如何对Windows办公终端进行快速的安全策略部署，提高安全管理效果和效率是个亟需解决的问题。该文将探讨如何利用微软提供的安全模板和命令行工具对Windows办公终端进行快速批量的部署。 　　关键词：windows终端；安全模板；安全策略；自动化部署 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5326-04 　　Deploying Windows-Based Terminal Security Policy Based on Security Templates 　　TAN Ke-jiu1,2 　　(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China) 　　Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organizations security operationfs, and the terminal computer security and overall information security level of institutions is at stake. Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment. 　　Key words: Windows-based terminal; security template; security policy; automation deployment 　　1 Windows办公终端安全风险 　　终端计算机作为机构信息处理的一个重要组成部分，其安全事关整个信息系统。近年来的网络安全形势不容乐观，国家互联网应急中心的《2010年上半年中国互联网网络安全报告》指出2010年上半年CNCERT共接收到网络安全事件报告与2009年上半年相比增长105%，给企业造成了不可挽回的经济和政治上的损失。另据市场研究公司NetApplications的最新数据显示，2010年Windows操作系统的全球市场占有率达91%，Windows系统占据着大部分企业、政府部门和学校的办公电脑终端。 　　很多企事业单位的办公终端数量多，分布地理位置分散又未进行集约管理，管理人员少而负责事务杂，用户计算机水平参差不齐，出现信息安全问题多，管理员疲于奔命。如何更快速有效的对Windows终端进行安全策略部署、管理、监测，是亟需解决的问题。本文将利用安全模板部署工具尝试解决这一问题。 　　2 安全模板（Security Templates） 　　安全模板是基于文本的INF文件，该文件以特定格式定义了几个安全区域的安全设置。这些安全区域包括密码和帐户锁定策略，审核、用户权利及安全选项策略，事件日志设置，受限制的组设置，系统服务设置，注册表安全设置和文件系统安全设置。模板文件的某些章节包含由安全描述符定义语言(SDDL)定义的特定访问控制列表(ACL)。 　　使用MMC系统控制台的“安全模板”管理单元或文本编辑器来更改这些文件，进而使用MMC系统控制台的“安全配置和分析”模块或命令行工具将安全模板所定义的安全设置应用到计算机，利用该模块