日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

用安全模板加強(qiáng)Windows的安全

云知道

Windows NT家族的操作系統(tǒng)——Windows XP、Windows 2000、NT 4.0和NT 3.x一直以缺乏安全性飽受爭(zhēng)議 。但實(shí)際上,這些操作系統(tǒng)(包括Novell Netware和各種Unix變種)都具有相當(dāng)好的安全性,它們都裝備了數(shù)以千計(jì)的“鎖”——這是一些操作系統(tǒng)用來(lái)確保安全性的部件,能夠讓我們作出只允許用戶A可以在對(duì)象B上實(shí)施動(dòng)作C之類(lèi)的規(guī)定 。
NT和Netware之間的區(qū)別在于,雖然兩種操作系統(tǒng)都提供了這類(lèi)鎖,但一個(gè)新裝的Netware系統(tǒng)中這些鎖默認(rèn)是鎖上的,管理員根據(jù)需要有選擇地打開(kāi)某些鎖;而在一個(gè)新裝的N T操作系統(tǒng)中,大部分的鎖默認(rèn)處于打開(kāi)狀態(tài),管理員的任務(wù)是關(guān)閉某些可能引起安全隱患的鎖 。(Windows Server 2003的情況有所不同,它的設(shè)計(jì)改用了Netware策略 。相比之下,Win 2K默認(rèn)鎖上的選項(xiàng)要多于NT 4.0,而新裝的XP又比Win 2K Pro有更多的安全限制 。)
對(duì)于NT系列平臺(tái)的管理員來(lái)說(shuō),這些鎖帶來(lái)的是一個(gè)兩難的局面:從理論上看,它們確實(shí)提供了保障服務(wù)器和工作站安全的機(jī)制;但實(shí)際操作起來(lái)卻要耗費(fèi)大量的時(shí)間 。XP是一個(gè)優(yōu)秀的操作系統(tǒng),但如果要我們檢查每一臺(tái)機(jī)器,依次調(diào)整數(shù)十種授權(quán)和權(quán)限選項(xiàng)來(lái)保證系統(tǒng)的安全,很多人會(huì)把XP或其他NT系列的操作系統(tǒng)看成代價(jià)昂貴和浪費(fèi)時(shí)間的代名詞 。我們需要一種快速配置安全選項(xiàng)的辦法,它能夠根據(jù)要求自動(dòng)批量設(shè)定所有與安全有關(guān)的配置 。
這種辦法確實(shí)存在,它就是安全模板 。安全模板是一種ASCII文本文件,它定義了本地權(quán)限、安全配置、本地組成員、服務(wù)、文件和目錄授權(quán)、注冊(cè)表授權(quán)等方面的信息 。創(chuàng)建好安全模板之后,我們只要一個(gè)命令就可以將它定義的信息應(yīng)用/部署到系統(tǒng),所有它定義的安全配置都立即生效——原本需要數(shù)小時(shí)修補(bǔ)注冊(cè)表、倒騰管理控制臺(tái)“計(jì)算機(jī)管理”單元以及其他管理工具才能完成的工作,現(xiàn)在只需數(shù)秒就可以搞定 。
安全模板并非Windows Server 2003或XP獨(dú)創(chuàng)的功能,第一次提出這個(gè)概念的是NT 4.0 SP 4 。安全模板是每一個(gè)管理員都必須了解的重要工具 。安全模板不會(huì)讓你修改不能通過(guò)其他方式修改的安全選項(xiàng),它只是提供了一種快速批量修改安全選項(xiàng)的辦法 。凡是可以利用安全模板設(shè)置的安全選項(xiàng),同樣可以使用Windows的GUI工具手工修改,但后者耗費(fèi)的時(shí)間肯定多得多 。
一、安全模板可以批量修改的五類(lèi)和安全有關(guān)的設(shè)置
1.管理組 模板能夠調(diào)整本地的組成員 。如果你的用戶使用的是NT系列的桌面系統(tǒng),或許你也在為這樣的問(wèn)題煩惱:授予用戶哪些控制桌面系統(tǒng)的權(quán)限才合適?有的公司讓每一位用戶都擁有本地管理員權(quán)限,有些則授予Power Users權(quán)限,還有的只授予Users權(quán)限 。如果限制了用戶對(duì)自己桌面系統(tǒng)的管理權(quán)限,可以肯定的是,某些時(shí)候你不得不放寬限制,至少是臨時(shí)性地放寬 。例如,假設(shè)設(shè)置一個(gè)工作站時(shí)只允許本地的Administrator帳戶成為本地Administrators組的成員,后來(lái)有一個(gè)維護(hù)人員為了方便“臨時(shí)”地將普通用戶帳戶提升為Administrators組的成員,本來(lái)他打算稍后恢復(fù)原來(lái)的設(shè)置,但后來(lái)卻忘記了 。如果我們定義了一個(gè)“只有Administrator才能加入本地Administrators組”的安全模板,只要重新應(yīng)用一下這個(gè)模板就可以防止其他用戶進(jìn)入Administrators組 。當(dāng)然,模板不是隨時(shí)監(jiān)視安全設(shè)置選項(xiàng)確實(shí)已被采納的守護(hù)神,確保安全設(shè)置策略已被執(zhí)行的最好辦法是定期重新應(yīng)用整個(gè)模板,或者創(chuàng)建一個(gè)組策略來(lái)應(yīng)用模板(組策略大約每隔90分鐘重新應(yīng)用自己的設(shè)置信息) 。凡是安全模板能夠做到的事情,組策略同樣都能夠做到,但如果使用組策略的話就要有一個(gè)Active Directory(AD)域,而模板卻沒(méi)有這方面的要求 。2.調(diào)整NTFS權(quán)限 安全模板能夠調(diào)整NTFS權(quán)限 。例如,假設(shè)我們想要授予C:Stuff目錄System/完全控制和Aministrators/完全控制的NTFS權(quán)限,但禁止任何其他用戶訪問(wèn),模板可以方便地設(shè)定這些授權(quán)和限制 。另外,由于模板可以應(yīng)用到多臺(tái)機(jī)器(倘若使用組策略的話),我們可以將同樣的NTFS授權(quán)應(yīng)用到整個(gè)域 。如果你和大多數(shù)NT管理員一樣,那么也一定對(duì)NT默認(rèn)的目錄權(quán)限(Everyone/完全控制)大為不滿,并決定加強(qiáng)ACL設(shè)置 。但是,這個(gè)過(guò)程很容易出錯(cuò),以至于把ACL調(diào)整到?jīng)]有一個(gè)人能夠正常使用機(jī)器的地步 。因此最好先做一些試驗(yàn),找出適當(dāng)?shù)钠胶恻c(diǎn),然后將平衡點(diǎn)的權(quán)限配置用模板表達(dá)出來(lái),再將模板應(yīng)用到所有的系統(tǒng) 。

推薦閱讀