上面我们介绍了配置本地计算机安全的命令行方法,下面介绍在Windows 图形界面如何完成。
二、使用用安全配置和分析工具 下面是图形界面下使用安全配置和分析工具提升windows 2003系统安全详细步骤:
1、使用管理员权限登录 首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意 :要执行该过程,您必须是本地计算机Administrators 组的成员,或者您必须被委派适当的权限。如果将计算机加入域,Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作,可以考虑使用运行方式来执行这个过程。
2、打开“安全配置和分析” 要打开“安全配置和分析”,请先单击“开始”,接着单击“运行”,然后输入 mmc,最后单击“确定”。在“文件”菜单上,单击“打开”,单击要打开的控制台,然后单击“打开”。然后,在控制台树中,使用Ctrl+M 快捷键打开“添加/删除管理单元”。
3、添加“安全配置和分析”管理单元 在“添加/删除管理单元”对话框中,点击选项页的“添加”,在弹出的“添加独立管理单元”对话框中,选择列表中的“安全配置和分析”项,点击“添加”;
添加“安全配置和分析”管理单元
4、完成添加 点击“关闭”,返回“添加/删除管理单元”对话框,此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”,完成“安全配置和分析” 管理单元的加载。说明:执行安全性分析是根据系统提供的安全模板来实现的,这个过程中,需要用户打开或新建一个包含安全信息的数据库,并选择合适的安全模板。
5、打开数据库 在控制台窗口中,右键点击控制台根节点下的“安全配置和分析”,或者在快捷菜单中选择“打开数据库”命令;如果是首次对系统进行安全性分析,需要新建一个数据库,在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称,然后点击“打开”;
6、安全模板 在弹出的“导入模板”对话框中,可以看到几个安全模板文件,这些安全模板文件的安全级别以及作用的效果为:
预定义的安全模板预定义的安全模板是作为创建安全策略的初始点而提供的,这些策略都经过自定义设置以满足不同的组织要求。可以使用安全模板管理单元对该模板进行自定义。一旦对预定义的安全模板进行了自定义,就可以用它们配置单台或数以千计的计算机的安全。可以使用安全配置和分析管理单元、 Secedit 命令行工具,或将模板导入本地安全策略中来配置单台计算机。可以通过将模板导入安全设置(属于组策略的扩展)来对多台计算机进行配置。通过使用“安全配置和分析”管理单元,也可以将安全模板作为分析系统潜在安全漏洞或策略侵犯的基础。
说明:可以通过“安全模板”查看安全模板设置。*.inf 文件也可以按文本文件查看。这些文件位于:%windir%\Security\Templates。%windir%表示系统目录如:c:\windows。定义安全模板步骤如下:
·打开“安全模板”。
·右键单击要存储新模板的文件夹,然后单击“新加模板”。
·在“模板名”中,键入新建安全模板的名称。
·在“描述”中,键入新安全模板的说明,然后单击“确定”。
·在控制台树中,双击新安全模板,以显示安全区域,并定位到详细信息窗格中所要配置的安全设置。
·在详细信息窗格中,右键单击要配置的安全设置,然后单击“属性”。
·选中“在模板中定义这个策略设置”复选框,编辑该设置,然后单击“确定”。
如果再想用其他的安全模板进行安全性分析,可以在“安全配置和分析”节点上单击右键,点击快捷菜单中的“导入模板”命令,在“导入模板”对话框中,选择需要的安全模板文件,同时选择“导入之前清除这个数据库”选择框,重复上述步骤的操作。
7、安全分析 使用安全模板进行系统安全性分析就可以了。选择一个适宜的安全模板,如Securews.inf,点击“打开”;右键单击“安全配置和分析” 项,选择菜单中的“立即分析计算机”命令,并在“进行分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的分析进程;
8、查看安全分析结果 安全分析进程结束后,展开“安全配置和分析”节点下的各项,在右侧窗格的项目列表中,通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别匹配,哪些不匹配,
查看安全分析结果,密码策略中有六项策略带有绿色的对号,表示匹配。如果策略带有红色的差号,这表明不匹配。
安全分析结果不匹配策略
具体安全分析结果说明见表-1
表-1 安全分析结果说明
标志
标志说明
红色 X
在分析数据库和系统中定义了该项,但安全设置值不匹配。
绿色勾号
在分析数据库和系统中定义了该项,并且设置值匹配。
问号
没有在分析数据库中定义该项,因此没有进行分析。 如果某一项没有分析,则可能是由于没有在分析数据库中定义,或者执行分析的用户没有足够的权限对特定对象或区域执行分析。
感叹号
该项在分析数据库中定义了,但在实际系统中并不存在。例如,在分析数据库中可能会定义实际分析的系统中不存在的受限制的组。
没有突出显示
没有在分析数据库或系统中定义该项。
“安全配置和分析”按安全区显示分析结果,并使用可视标志表明问题。它可显示安全区中每个安全属性的当前系统配置设置和基本配置设置。要更改分析数据库的设置,请右键单击项目,然后单击“属性”。
9、配置系统安全机制 接着我们可以修改分析结果中的不匹配策略。然后进行重新分析知道满意为止。右键单击“安全配置和分析”项,选择菜单中的“立即配置计算机”命令,并在“配置分析”对话框中指定保存错误日志文件的路径,点击“确定”,开始系统安全机制的配置进程;完成配置可以选择“保存”选项完成操作。
“立即配置计算机”安全界面
10、注意事项 使用Windows 2003的安全配置和分析管理工具,您不仅可以分析系统的安全配置是否适合,同时还可以设置系统安全配置,从而将您系统的安全状况掌握在自己手中,但是在使用安全配置和分析管理工具时您需要注意以下两点:
·进行安全性分析和配置时,选择安全模板一定要适宜,特别是对于系统安全性配置,如果安全模板的级别较低,我们不易发现存在的安全薄弱环节;级别太高,可能会影响用户的习惯性操作。彻底安全的系统从理论上讲不可能,因此我们所指安全性只是在代价与可用性间作平衡。若是用户提交的每一个变量都要求有生物学验证(如指纹鉴定),则将获得极高水平的可靠性。但是也会造成用户登录就要几十分钟。这时用户就会采取绕过安全验证的方法。一个系统的可靠性只能由整个链条中最薄弱的环节来决定。在任何安全系统里面,人是最脆弱的连接,单单技术本身不能让系统安全。
·如果您使用windows 2000和Windows XP也可以使用相似的安全配置和分析工具提升系统安全性能。
总结:Windows 2003系统提供的“安全配置和分析”管理工具可以帮助我们实现这个目标,它的主要作用是对本地系统的安全性进行分析和配置。“安全配置和分析”管理工具可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析,在分析结果中,以可视化的标记或注释突出显示当前的设置与系统建议的安全级别不匹配的区域,从而找出系统安全的薄弱环节,同时这个工具为我们提供了快速对系统进行安全配置的途径,用户只需要选择相应的安全模板,剩下的事情由“安全配置和分析”管理工具自动为您完成,从而轻松地掌控系统的安全。
上一页 [1] [2]
责任编辑:小草
