教你如何用安全模板加強(qiáng)Windows的安全

教你如何用平安模板加強(qiáng)Windows的平安WindowsNT家族的操作系統(tǒng)——WindowsXP、Windows2000、NT4.0和NT3.x一直以缺乏平安性飽受爭(zhēng)議。但實(shí)際上，這些操作系統(tǒng)（包括NovellNetware和各種UNIX變種）都具有相當(dāng)好的平安性，它們都裝備了數(shù)以千計(jì)的“鎖”——這是一些操作系統(tǒng)用來確保平安性的部件，可以讓我們作出只允許用戶A可以在對(duì)象B上施行動(dòng)作C之類的規(guī)定。NT和Netware之間的區(qū)別在于，雖然兩種操作系統(tǒng)都提供了這類鎖，但一個(gè)新裝的Netware系統(tǒng)中這些鎖默認(rèn)是鎖上的，員根據(jù)需要有選擇地翻開某些鎖；而在一個(gè)新裝的NT操作系統(tǒng)中，大部分的鎖默認(rèn)處于翻開狀態(tài)，員的任務(wù)是關(guān)閉某些可能引起平安隱患的鎖。（WindowsServerxx的情況有所不同，它的設(shè)計(jì)改用了Netware策略。相比之下，Win2K默認(rèn)鎖上的選項(xiàng)要多于NT4.0，而新裝的XP又比Win2KPro有更多的平安限制。）對(duì)于NT系列平臺(tái)的管理員來說，這些鎖帶來的是一個(gè)兩難的場(chǎng)面：從理論上看，它們確實(shí)提供了保障效勞器和工作站平安的機(jī)制；但實(shí)際操作起來卻要消耗大量的時(shí)間。XP是一個(gè)優(yōu)秀的操作系統(tǒng)，但假設(shè)要我們檢查每一臺(tái)機(jī)器，依次調(diào)整數(shù)十種受權(quán)和權(quán)限選項(xiàng)來保證系統(tǒng)的平安，很多人會(huì)把XP或其他NT系列的操作系統(tǒng)看成代價(jià)昂貴和浪費(fèi)時(shí)間的代名詞。我們需要一種快速配置平安選項(xiàng)的方法，它可以根據(jù)要求自動(dòng)批量設(shè)定所有與平安有關(guān)的配置。這種方法確實(shí)存在，它就是平安模板。平安模板是一種ASCII文本文件，它定義了本地權(quán)限、平安配置、本地組成員、效勞、文件和目錄受權(quán)、表受權(quán)等方面的信息。創(chuàng)立好平安模板之后，我們只要一個(gè)命令就可以將它定義的信息應(yīng)用/部署到系統(tǒng)，所有它定義的平安配置都立即生效——本來需要數(shù)小時(shí)修補(bǔ)表、倒騰管理控制臺(tái)“計(jì)算機(jī)管理”單元以及其他管理工具才能完成的工作，如今只需數(shù)秒就可以搞定。平安模板并非WindowsServerxx或XP獨(dú)創(chuàng)的功能，第一次提出這個(gè)概念的是NT4.0SP4。平安模板是每一個(gè)管理員都必須理解的重要工具。平安模板不會(huì)讓你修改不能通過其他方式修改的平安選項(xiàng)，它只是提供了一種快速批量修改平安選項(xiàng)的方法。但凡可以利用平安模板設(shè)置的平安選項(xiàng)，同樣可以使用Windows的GUI工具手工修改，但后者消耗的時(shí)間肯定多得多。模板可以調(diào)整本地的組成員。假設(shè)你的用戶使用的是NT系列的桌面系統(tǒng)，或許你也在為這樣的問題煩惱：授予用戶哪些控制桌面系統(tǒng)的權(quán)限才適宜？有的公司讓每一位用戶都擁有本地管理員權(quán)限，有些那么授予PowerUsers權(quán)限，還有的只授予Users權(quán)限。假設(shè)限制了用戶對(duì)自己桌面系統(tǒng)的管理權(quán)限，可以肯定的是，某些時(shí)候你不得不放寬限制，至少是臨時(shí)性地放寬。例如，假設(shè)設(shè)置一個(gè)工作站時(shí)只允許本地的Administrator帳戶成為本地Administrators組的成員，后來有一個(gè)維護(hù)人員為了方便“臨時(shí)”地將普通用戶帳戶提升為Administrators組的成員，本來他打算稍后恢復(fù)原來的設(shè)置，但后來卻忘記了。假設(shè)我們定義了一個(gè)“只有Administrator才能參加本地Administrators組”的平安模板，只要重新應(yīng)用一下這個(gè)模板就可以防止其他用戶進(jìn)入Administrators組。當(dāng)然，模板不是隨時(shí)jian視平安設(shè)置選項(xiàng)確實(shí)已被采納的守護(hù)神，確保平安設(shè)置策略已被執(zhí)行的最好方法是定期重新應(yīng)用整個(gè)模板，或者創(chuàng)立一個(gè)組策略來應(yīng)用模板（組策略大約每隔90分鐘重新應(yīng)用自己的設(shè)置信息）。但凡平安模板可以做到的事情，組策略同樣都可以做到，但假設(shè)使用組策略的話就要有一個(gè)ActiveDirectory（AD）域，而模板卻沒有這方面的要求。平安模板可以調(diào)整NTFS權(quán)限。例如，假設(shè)我們想要授予C:Stuff目錄System/完全控制和Aministrators/完全控制的NTFS權(quán)限，但制止任何其他用戶訪問，模板可以方便地設(shè)定這些受權(quán)和限制。另外，由于模板可以應(yīng)用到多臺(tái)機(jī)器（倘假設(shè)使用組策略的話），我們可以將同樣的NTFS受權(quán)應(yīng)用到整個(gè)域。假設(shè)你和大多數(shù)NT管理員一樣，那么也一定對(duì)NT默認(rèn)的目錄權(quán)限（Everyone/完全控制）大為不滿，并決定加強(qiáng)ACL設(shè)置。但是，這個(gè)過程很容易出錯(cuò)，以致于把ACL調(diào)整到?jīng)]有一個(gè)人可以正常使用機(jī)器的地步。因此最好先做一些試驗(yàn)，找出適當(dāng)?shù)钠胶恻c(diǎn)，然后將平衡點(diǎn)的權(quán)限配置用模板表達(dá)出來，再將模板應(yīng)用到所有的系統(tǒng)。模板可以啟用或關(guān)閉效勞，控制誰有權(quán)啟動(dòng)或關(guān)閉效勞。你想要關(guān)閉大部分機(jī)器的IIS效勞，只留下個(gè)別效勞器運(yùn)行IIS嗎？這可不是一件輕松的工作，因?yàn)槟J(rèn)情況下，Win2K和NT4.0會(huì)把IIS安裝到所有效勞器上（可喜的是，WindowsServerxx改正了這一做法。）除了IIS，你可能還希望制止許多其他不必要的效勞，可能還想對(duì)Server、ComputerBrowser、Index、WirelessZeroConfiguration之類的效勞痛下殺手，但是，到每一臺(tái)機(jī)器上逐個(gè)禁用這些效勞實(shí)在太費(fèi)事了，好在模板可以幫助我們迅速完成這些工作。平安模板允許我們停頓（針對(duì)效勞運(yùn)行的狀態(tài)）以及禁用（針對(duì)效勞的啟動(dòng)方式）效勞。當(dāng)你開場(chǎng)理解模板時(shí)，會(huì)驚奇地發(fā)現(xiàn)模板允許我們控制哪些人有權(quán)開啟和關(guān)閉效勞——理解Windows效勞的ACL的人可能不是很多，但模板卻提供了調(diào)整這些ACL的途徑。例如，假設(shè)你想讓Mary有權(quán)開啟和關(guān)閉Server效勞，卻又不想讓Mary成為管理員，如今可以通過模板來設(shè)置。平安模板允許我們調(diào)整表的受權(quán)。表包含了大量只能讀取、不能修改的信息。例如，假設(shè)有一個(gè)NT4.0的工作站安裝了，如今把它晉級(jí)到了Win2K，但卻發(fā)現(xiàn)用戶需要本地管理員權(quán)限才能運(yùn)行。表中終究發(fā)生了什么事情才導(dǎo)致如此怪異的現(xiàn)象？注重細(xì)節(jié)的應(yīng)用程序會(huì)在兩個(gè)鍵下面保存其配置信息：HKEYLOCALMACHINESOFTWARE和HKEYCURRENTUSERSoftware。具有管理員權(quán)限的用戶負(fù)責(zé)初始的安裝以及大部分的配置，這些配置信息保存在HKEYLOCALMACHINESOFTWARE鍵下。但是，每一個(gè)用戶又必須根據(jù)自己的需要和愛好調(diào)整應(yīng)用程序，應(yīng)用程序需要一個(gè)適當(dāng)?shù)奈恢脕肀４孢@部分配置信息。假設(shè)應(yīng)用程序把所有的配置信息都保存在HKEYLOCALMACHINESOFTWARE，普通用戶每次要修改配置時(shí)都要找管理員才行。正是考慮到該問題，注重細(xì)節(jié)的應(yīng)用程序會(huì)把非關(guān)鍵性的配置選項(xiàng)（用戶個(gè)人的配置選項(xiàng)）保存在HKEYCURRENTUSERSoftware鍵下，所以我們應(yīng)該讓用戶擁有對(duì)該鍵的寫入權(quán)限。也就是說，假設(shè)用戶沒有管理員權(quán)限，那么他至少要有HKEYLOCALMACHINESOFTWARE鍵的讀取權(quán)限、HKEYCURRENTUSERSoftware鍵的讀取和寫入權(quán)限。遺憾的是，許多軟件廠商還沒有重視HKEYLOCALMACHINESOFTWARE、HKEYCURRENTUSERSoftware這兩個(gè)鍵的區(qū)別，而是把所有配置信息都保存到了HKEYLOCALMACHINESOFTWARE鍵下。在NT4.0下，這種處置方法不會(huì)引起問題，因?yàn)镹T4.0默認(rèn)允許所有用戶寫入HKEYLOCALMACHINE，由于NT4.0控制HKEYLOCALMACHINE的ACL非常寬松，所以即使普通用戶也不會(huì)遇到問題。但在Win2K中，表ACL的默認(rèn)配置已經(jīng)變化，非管理員的用戶只有讀取HKEYLOCALMACHINE的權(quán)限，所以用戶必須以本地管理員身份才能正常運(yùn)行。如何解決這類問題呢？獲取一份應(yīng)用軟件的新版本，或者將XP、Win2K的表ACL放寬到NT4.0的程序。假設(shè)采用后面的解決方法，我們既可以用表器（對(duì)于XP或WindowsServerxx，使用Regedit，對(duì)于Win2K，使用Regedt32）手工執(zhí)行修改，也可以用模板來調(diào)整表的受權(quán)。其實(shí)，我們根本不必自己創(chuàng)立修改表受權(quán)的模板，微軟已經(jīng)提供了一個(gè)：winntsecurityemplatespatws.inf。微軟提供的另一個(gè)模板winntsecurityemplatesasicws.inf可以把表受權(quán)恢復(fù)到Win2K的默認(rèn)狀態(tài)。平安模板可以控制本地平安策略設(shè)置。每一臺(tái)機(jī)器都有許多本地平安策略設(shè)置，例如是否顯示出最后系統(tǒng)的用戶名稱、多長(zhǎng)時(shí)間修改本地帳戶的密碼，等等。在NT4.0中，這些設(shè)置通過用戶管理器的本地版本（lusrmgr.exe）修改；在Win2K中，修改工具是本地平安策略管理單元secpol.msc。手工修改這類設(shè)置的步驟是：從控制面板的管理工具中啟動(dòng)“本地平安策略”，或者點(diǎn)擊“開場(chǎng)”→“運(yùn)行”，輸入secpol.msc，點(diǎn)擊“確定”啟動(dòng)本地平安策略管理器。本地平安策略管理器可以用來關(guān)閉或啟動(dòng)系統(tǒng)審核功能、調(diào)整密碼管理策略、授予或者收回用戶操作XP和Win2K的許多權(quán)限、控制IP平安（IPSec）。實(shí)際上，“本地平安策略”管理器可能是Windows默認(rèn)提供的唯一控制IPSec的工具。以上就是平安模板可以調(diào)整的五個(gè)方面，所有這些平安選項(xiàng)的調(diào)整都只要一個(gè)平安模板文件就可以完成。下面我們從理論應(yīng)用的角度介紹模板的應(yīng)用，示范如何為工作站或成員效勞器創(chuàng)立一個(gè)模板，這個(gè)模板主要包括三方面的功能：首先，該平安模板可以控制組的成員，即限制本地的Administrators組只能由本地Administrator帳戶和域的DomainAdmins組參加；第二，該模板將設(shè)置F:adminstuff目錄的NTFS權(quán)限，只允許本地的Administrators組訪問；最后，該模板將制止Indexing效勞。我們知道，平安模板其實(shí)就是文本文件，因此從理論上講，我們可以用記事本來創(chuàng)立平安模板。不過事實(shí)上，用記事本創(chuàng)立平安模板的工作量相當(dāng)大，假設(shè)改用微軟管理控制臺(tái)的平安模板管理單元就要方便多了。WindowsXP和2K都帶有該工具。首先翻開一個(gè)空的MMC控制臺(tái)。點(diǎn)擊“開場(chǎng)”→“運(yùn)行”，輸入“mmc/a”，按Enter鍵翻開一個(gè)空白的MMC控制臺(tái)。在該控制臺(tái)中，點(diǎn)擊“文件”（對(duì)于Win2K，點(diǎn)擊“控制臺(tái)”）→“添加/刪除管理單元”，翻開“添加/刪除管理單元”對(duì)話框，點(diǎn)擊“添加”翻開“添加獨(dú)立管理單元”對(duì)話框，在管理單元清單中選擇“平安模板”，依次點(diǎn)擊“添加”、“關(guān)閉”、“確定”。接下來就可以開場(chǎng)設(shè)置平安模板了。在控制臺(tái)根節(jié)點(diǎn)下面有一個(gè)平安模板的圖標(biāo)——一臺(tái)加上了鎖的計(jì)算機(jī)，如圖一。擴(kuò)展該標(biāo)記，子節(jié)點(diǎn)顯示出了當(dāng)前系統(tǒng)平安模板的途徑。一般情況下，平安模板位于%systemroot%目錄的securityemplates文件夾。擴(kuò)展該途徑節(jié)點(diǎn)，可以看到一組預(yù)制的平安模板；依賴于操作系統(tǒng)的版本和已安裝的ServicePack數(shù)量，預(yù)制平安模板的數(shù)量也可能不同。點(diǎn)擊任意一個(gè)平安模板，右邊的窗格顯示出可以利用該平安模板控制的平安選項(xiàng)類別：⑴帳戶策略：控制密碼策略、鎖定策略、Kerberos策略。⑵本地策略：控制審核策略、用戶權(quán)利指派、平安選項(xiàng)。⑶事件日志：控制事件日志設(shè)置和NT的事件查看器的行為。⑷受限制的組：控制哪些用戶可以或者不可以進(jìn)入各種本地組。⑸系統(tǒng)效勞：?jiǎn)?dòng)、關(guān)閉各種系統(tǒng)效勞，控制哪些用戶有權(quán)修改系統(tǒng)效勞的啟動(dòng)方式。⑹表：控制修改或查看各個(gè)鍵的權(quán)限，啟用鍵的修改審核功能。⑺文件系統(tǒng)：控制文件夾、文件的NTFS受權(quán)。根本知識(shí)已經(jīng)理解得差不多了，下面就讓我們從頭開場(chǎng)構(gòu)建一個(gè)模板。右擊模板的途徑（圖一是d:windowssecurityemplates，你的Windows可能有所不同），然后選擇菜單“新加模板”，輸入模板的名稱，假設(shè)是Simple。新的模板將在左邊窗格中作為一個(gè)節(jié)點(diǎn)列出，位于預(yù)制的模板之下。下面，作為一個(gè)試驗(yàn)，讓我們限制Administrators組、設(shè)置F:adminstuff的ACL、關(guān)閉Indexing效勞。所有這些設(shè)置都可以在Simple節(jié)點(diǎn)下完成。首先，我們要設(shè)置一下Administrator組，只允許本地的Administrator帳戶和域的DomainAdmins組參加Administrators組。擴(kuò)展左邊窗格中的Simple節(jié)點(diǎn)，選中“受限制的組”。假設(shè)操作系統(tǒng)是XP，右邊窗格會(huì)顯示出“此視圖中沒有可顯示的工程”；假設(shè)是Win2K，右邊窗格保持空白。如今右擊“受限制的組”節(jié)點(diǎn)，選擇菜單“添加組”，在新出現(xiàn)的對(duì)話框中，點(diǎn)擊“閱讀”并找到本地工作站或成員效勞器的Administrators組。注意，這里我們要參加的是本地的Administrators組，而不是參加域的組；假設(shè)你用域的帳戶工作站，“閱讀”對(duì)話框?qū)⒓俣阆胍獜挠騾⒓咏M（而不是假定你要從工作站或成員效勞器的本地SAM參加組）。返回“添加成員”對(duì)話框后，點(diǎn)擊“確定”。假設(shè)你使用的是XP，可以看到一個(gè)“Administrators屬性”對(duì)話框；假設(shè)是Win2K，必須右擊右邊窗格中的Administrators然后選擇“平安”才能翻開類似的對(duì)話框，但Win2K對(duì)話框的標(biāo)題是“為Administrators配置成員”。在這個(gè)對(duì)話框中，窗口上方有一個(gè)“這個(gè)組的成員”清單，窗口的下方有一個(gè)“這個(gè)組隸屬于”清單。點(diǎn)擊上面清單旁邊的“添加”按鈕翻開“添加成員”對(duì)話框。假設(shè)是Win2K，點(diǎn)擊“閱讀”按鈕并選擇域的DomainAdmins組；假設(shè)是XP，點(diǎn)擊“閱讀”按鈕翻開的是一個(gè)“選擇用戶”對(duì)話框，但DomainAdmins不會(huì)出如今列表中，你必須首先點(diǎn)擊“對(duì)象類型”，選擇“組”，點(diǎn)擊“確定”返回“選擇用戶”對(duì)話框，選擇（或者輸入）DomainAdmins。按照同樣的步驟參加Administrator帳戶。接下來我們?cè)O(shè)置模板的第二部分，使得任何擁有F:adminstuff文件夾的系統(tǒng)把該文件夾設(shè)置成只允許本地管理員訪問。在左邊窗格中，右擊“文件系統(tǒng)”，選擇“添加文件”，在“添加文件或文件夾”對(duì)話框中找到或者輸入f:adminstuff目錄。點(diǎn)擊“確定”，出現(xiàn)一個(gè)標(biāo)準(zhǔn)的NTFS權(quán)限設(shè)置對(duì)話框。如今刪除所有默認(rèn)提供的受權(quán)規(guī)那么，參加對(duì)本地Administrators組的“完全控制”受權(quán)。注意NTFS平安設(shè)置對(duì)話框里還可以調(diào)整高級(jí)NTFS選項(xiàng)，例如設(shè)置審核功能、所有者權(quán)限等。點(diǎn)擊“確定”，系統(tǒng)會(huì)詢問是否把權(quán)限設(shè)置傳播給所有子文件夾和文件，根據(jù)需要選擇一個(gè)選項(xiàng)，點(diǎn)擊“確定”。自CodeRed和Nimda肆虐以來，Indexing效勞就引起了人們擔(dān)憂，在不必使用該效勞的系統(tǒng)上，最好的選擇就是將它關(guān)閉。在控制臺(tái)左邊的窗格中，點(diǎn)擊“系統(tǒng)效勞”，在右邊窗格中右擊Indexing效勞，選擇“屬性”（對(duì)于XP）或者“平安”（對(duì)于Win2K）。在“IndexingService屬性”對(duì)話框中，選中“在模板中定義這個(gè)策略設(shè)置”，這時(shí)系統(tǒng)顯示出“平安設(shè)置IndexingService”對(duì)話框，如今我們不需要設(shè)置該對(duì)話框的選項(xiàng)，因此點(diǎn)擊“取消”返回圖四的對(duì)話框。在對(duì)話框中選擇“已停用”，然后點(diǎn)擊“確定”。右擊控制臺(tái)左邊窗格中的Sim