增强win 2003系统安全的工具与配置(2)

　　命令行格式:/secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]

　　主要参数:

　　/db FileName :指定用于执行此次分析的数据库。

　　/cfg FileName :指定在执行分析前要导入到数据库中的安全模板。安全模板是使用安全模板管理单元创建的。

　　/log FileName :指定一个文件，用于记录配置过程所处的状态。如果未指定，配置数据将被记录在 %windir%\security\logs 文件夹的 Scesrv.log 中。

　　/quiet :指定在执行分析过程时不作更多参与。

　　/log logpath : 指定一个文件，该文件用于记录配置过程所处的状态。如未指定，配置数据将被记录在 %windir%\Security\Logs 文件夹的 scesrv.log 文件中。

　　/quiet :指定应该在不提示用户的情况下进行配置。

　　使用Secedit 命令行工具建立模板。通过在批处理文件或自动任务计划程序的命令提示符下调用 Secedit.exe 工具，可以自动创建和应用模板，以及分析系统的安全性。也可以从命令提示符下动态运行该命令。当必须分析或配置多台计算机的安全性，并且需要在非工作时间执行任务时，Secedit.exe 很有用。要查看该命令的完整语法，请在命令提示符下输入:secedit /?

　　下面简单介绍以下子命令:

　　l secedit /analyze :可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。

　　l secedit /configure :通过应用存储在数据库中的设置配置本地计算机的安全性设置。

　　l secedit /export :可将存储在数据库中的安全性设置导出。

　　l secedit /import :可将安全性模板导入到数据库以便模板中指定的设置可应用到系统或作为分析系统的依据。

　　l secedit /validate :验证要导入到分析数据库或系统应用程序的安全模板的语法。

　　l secedit /GenerateRollback: 可根据配置模板生成一个回滚模板。在将配置模板应用到计算机上时，可以选择创建回滚模板，该模板在应用时会将安全性设置重置为应用配置模板前的值。

　　默认情况下几个安全模板文件如下:

　　·默认安全设置 模板(Setup security.inf)

　　Setup security.inf 模板是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户端计算机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。请不要通过使用“组策略”来应用 Setup security.inf。此模板含有大量数据，如果通过组策略来应用它，可能会严重降低性能(因为策略是定期刷新的，这样做将导致在域中移动大量数据)。因此，建议在局部应用 Setup security.inf 模板。由于 Secedit 命令行工具支持该功能，因此建议使用该工具。

　　·域控制器默认安全设置模板 (DC security.inf)

　　该模板是在服务器被升级为域控制器时创建的。它反映了文件、注册表以及系统服务的默认安全设置。重新应用它后，上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或 Secedit 命令行工具可以应用它。

　　·兼容模板 (compatws.inf)

　　工作站和服务器的默认权限主要授予三个本地组:Administrators、Power Users 和 Users。Administrators 享有最高的特权，而 Users 的特权最低。正因为如此，可以通过以下方式极大地提高系统所有权的安全性、可靠性，并降低其总成本:确保最终用户都是 Users 成员。 部署可由 Users 组的成员成功运行的应用程序。具有 User 权限的人可以成功运行已加入在 Windows Logo Program for Software 中的应用程序。但是，User 可能无法运行不符合该计划要求的应用程序。

　　·高级安全模板 (hisec*.inf)

　　高级安全模板是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在 SMB 客户端和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝 LAN Manager 的响应，而高级安全模板则可导致同时对 LAN Manager 和 NTLM 响应的拒绝。安全模板可以启用服务器端的 SMB 信息包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。 Hisecdc和Hisecws:高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的，要求对安全通道数据进行强力的加密和签名，从而形成域到成员和成员到域的信任关系。

　　·系统根目录安全 模板(Rootsec.inf)

　　Rootsec.inf 可指定根目录权限。默认情况下，Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。正如所说明的那样，该模板并不覆盖已明确定义在子对象上的权限，它只是传递由子对象继承的权限。

　　·无终端服务器用户 SID 模板(Notssid.inf)

　　服务器上的默认文件系统和注册表访问控制列表可将权限授予终端服务器的安全标识符 (SID)。仅当“终端服务器 SID”以应用程序兼容模式运行时，它才能被使用。如果当前没有使用“终端服务器 SID”，则可以应用该模板从文件系统和注册表位置删除不需要的“终端服务器 SID”。然而，从这些默认的文件系统和注册表位置删除“终端服务器 SID”的访问控制项并不会增加系统的安全性。因此请不要删除“终端服务器 SID”，而直接以“完整安全”模式运行终端服务器。当以“完整安全”模式运行时，则不使用“终端服务器 SID”。

　　上面我们介绍了配置本地计算机安全的命令行方法，下面介绍在Windows 图形界面如何完成。