日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

用安全模板加強Windows的安全( 二 )

云知道


3.啟用和禁用服務
模板可以啟用或關閉服務,控制誰有權啟動或關閉服務 。你想要關閉大部分機器的IIS服務,只留下個別服務器運行IIS嗎?這可不是一件輕松的工作,因為默認情況下,Win 2K和NT 4.0會把IIS安裝到所有服務器上(可喜的是,Windows Server 2003改正了這一做法 。)除了IIS,你可能還希望禁止許多其他不必要的服務,可能還想對Server、Computer Browser、Index、Wireless Zero Configuration之類的服務痛下殺手,但是,到每一臺機器上逐個禁用這些服務實在太麻煩了,好在模板能夠幫助我們迅速完成這些工作 。安全模板允許我們停止(針對服務運行的狀態(tài))以及禁用(針對服務的啟動方式)服務 。當你開始了解模板時,會驚奇地發(fā)現(xiàn)模板允許我們控制哪些人有權開啟和關閉服務——了解Windows服務的ACL的人可能不是很多,但模板卻提供了調整這些ACL的途徑 。例如,如果你想讓Mary有權開啟和關閉Server服務,卻又不想讓Mary成為管理員,現(xiàn)在可以通過模板來設置 。4.調整注冊表授權 安全模板允許我們調整注冊表的授權 。注冊表包含了大量只能讀取、不能修改的信息 。例如,假設有一個NT 4.0的工作站安裝了AutoCAD,現(xiàn)在把它升級到了Win 2K,但卻發(fā)現(xiàn)用戶需要本地管理員權限才能運行AutoCAD 。注冊表中究竟發(fā)生了什么事情才導致如此怪異的現(xiàn)象? 注重細節(jié)的應用程序會在兩個注冊鍵下面保存其配置信息:HKEY_LOCAL_MacHINESOFTWARE和HKEY_CURRENT_USERSoftware 。具有管理員權限的用戶負責初始的安裝以及大部分的配置,這些配置信息保存在HKEY_LOCAL_MACHINESOFTWARE注冊鍵下 。但是,每一個用戶又必須根據(jù)自己的需要和愛好調整應用程序,應用程序需要一個適當?shù)奈恢脕肀4孢@部分配置信息 。如果應用程序把所有的配置信息都保存在HKEY_LOCAL_MACHINESOFTWARE,普通用戶每次要修改配置時都要找管理員才行 。正是考慮到該問題,注重細節(jié)的應用程序會把非關鍵性的配置選項(用戶個人的配置選項)保存在HKEY_CURRENT_USERSoftware注冊鍵下,所以我們應該讓用戶擁有對該注冊鍵的寫入權限 。也就是說,如果用戶沒有管理員權限,那么他至少要有HKEY_LOCAL_MACHINESOFTWARE注冊鍵的讀取權限、HKEY_CURRENT_USERSoftware注冊鍵的讀取和寫入權限 。遺憾的是,許多軟件廠商還沒有重視HKEY_LOCAL_MACHINESOFTWARE、HKEY_CURRENT_USERSoftware這兩個注冊鍵的區(qū)別,而是把所有配置信息都保存到了HKEY_LOCAL_MACHINESOFTWARE注冊鍵下 。在NT 4.0下,這種處置辦法不會引起問題,因為NT 4.0默認允許所有用戶寫入HKEY_LOCAL_MACHINE,由于NT 4.0控制HKEY_LOCAL_MACHINE的ACL非常寬松,所以即使普通用戶也不會遇到問題 。但在Win 2K中,注冊表ACL的默認配置已經(jīng)變化,非管理員的用戶只有讀取HKEY_LOCAL_MACHINE的權限,所以用戶必須以本地管理員身份登錄才能正常運行AutoCAD 。如何解決這類問題呢?獲取一份應用軟件的新版本,或者將XP、Win2K的注冊表ACL放寬到NT 4.0的程序 。如果采用后面的解決辦法,我們既可以用注冊表編輯器(對于XP或Windows Server 2003,使用Regedit,對于Win2K,使用Regedt32)手工執(zhí)行修改,也可以用模板來調整注冊表的授權 。其實,我們根本不必自己創(chuàng)建修改注冊表授權的模板,微軟已經(jīng)提供了一個:winntsecurity emplatescompatws.inf 。微軟提供的另一個模板winntsecurity emplatesasicws.inf能夠把注冊表授權恢復到Win 2K的默認狀態(tài) 。

5.控制本地安全策略設置
安全模板能夠控制本地安全策略設置 。每一臺機器都有許多本地安全策略設置,例如是否顯示出最后登錄系統(tǒng)的用戶名稱、多長時間修改本地帳戶的密碼,等等 。在NT 4.0中,這些設置通過用戶管理器的本地版本(lusrmgr.exe)修改;在Win 2K中,修改工具是本地安全策略管理單元secpol.msc 。手工修改這類設置的步驟是:從控制面板的管理工具中啟動“本地安全策略”,或者點擊“開始”→“運行”,輸入secpol.msc,點擊“確定”啟動本地安全策略管理器 。本地安全策略管理器可以用來關閉或啟動系統(tǒng)審核功能、調整密碼管理策略、授予或者收回用戶操作XP和Win2K的許多權限、控制IP安全(IPSec) 。實際上,“本地安全策略”管理器可能是Windows默認提供的唯一控制IPSec的工具 。以上就是安全模板能夠調整的五個方面,所有這些安全選項的調整都只要一個安全模板文件就可以完成 。二、如何創(chuàng)建安全模板 下面我們從實踐應用的角度介紹模板的應用,示范如何為工作站或成員服務器創(chuàng)建一個模板,這個模板主要包括三方面的功能:首先,該安全模板能夠控制組的成員,即限制本地的Administrators組只能由本地Administrator帳戶和域的Domain Admins組加入;第二,該模板將設置F:adminstuff目錄的NTFS權限,只允許本地的Administrators組訪問;最后,該模板將禁止Indexing服務 。1.設置工具 我們知道,安全模板其實就是文本文件,因此從理論上講,我們可以用記事本來創(chuàng)建安全模板 。不過事實上,用記事本創(chuàng)建安全模板的工作量相當大,如果改用微軟管理控制臺的安全模板管理單元就要方便多了 。Windows XP和2K都帶有該工具 。首先打開一個空的MMC控制臺 。點擊“開始”→“運行”,輸入“mmc /a”,按Enter鍵打開一個空白的MMC控制臺 。在該控制臺中,點擊“文件”(對于Win2K,點擊“控制臺”)→“添加/刪除管理單元”,打開“添加/刪除管理單元”對話框,點擊“添加”打開“添加獨立管理單元”對話框,在管理單元清單中選擇“安全模板”,依次點擊“添加”、“關閉”、“確定” 。接下來就可以開始設置安全模板了 。

推薦閱讀