利用安全模板定義安全策略

在WIN2K中大家都很熟悉組策略，那么大家知道利用安全模板來定義安全性能嗎？

1.了解安全模板[如圖1]

screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0>


compatws:提供基本的安全策略，放松用戶組的默認文件和注冊表權限，使之與多數沒有驗證的應用程序的要求一致。Power Users 組通常用于運行沒有驗證的應用程序。

hisecdc: 配置高安全的DC模板，默認具有一定的安全性能，securedc 的超集。對 LanManager 身份驗證以及安全頻道和 SMB 數據的加密和簽字的進一步要求提供進一步的限制。為了將 hisecdc 用于 DC，在所有信任和受信域中的 DC 必須運行 Windows 2000 或更新版本。

hisecws:提供高安全的客戶端策略模板，securews 的超集。對 LanManager 身份驗證以及安全頻道和 SMB 數據的加密和簽字的進一步要求提供進一步的限制。為了將 hisecws 用于一個成員，包含登錄到此客戶所有用戶的賬戶的所有 DC 必須運行 NT4 SP4 或更高。

rootsec:將默認的根目錄權限運用于 OS 磁盤分區并將此權限傳播到從根目錄繼承的子對象。傳播時間由未受保護的子對象的數目決定。

securedc:安全的策略模板,提供了較高的安全策略給DC，提供增強的域賬戶策略，限制 LanManager 身份驗證的使用，對匿名用戶提供進一步的限制。 如果 DC 配置了安全域控制器(securedc)，位于那個域賬戶的用戶將不能連接到一個只是 LanMan 客戶的任何成員服務器

securews:提供安全的策略給客戶機,提供增強的本地賬戶策略，限制 LanMan 身份驗證的使用， 啟用服務器端 SMB 簽字，對匿名用戶提供進一步的限制。 要用于一個域的成員，包含登錄到此成員所有用戶的賬戶的所有 DC 必須運行 NT4 SP4 或更高。

setup security:默認提供的安全策略，全新安裝系統的默認安全設置 。

2.配置一個安全策略模板[如圖2]

screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0>

進入后配置你需要配置的信息，也可以保持默認！

3.利用運行--輸入MMC調用選擇安全配置和分析[如圖3,圖4]

screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0 pop="Click Here to Open New Window">

screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0 pop="Click Here to Open New Window">
4.選擇安全配置和分析--右鍵--選擇打開數據庫，這個時候會讓你選擇一個數據庫，你不用管他直接隨便輸入一個名字就可以了！然后選擇打開[如圖5]
screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0>

然后系統會自動提示你配置的結果[如圖6]
screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0>

選擇安全配置和分析--選擇立即配置到計算機[如圖7]
screen.width-333) {this.width=screen.width-333;this.alt=@#Click Here to Open New Window@#;}" border=0>

以上的方法可以讓我們通過安全模板來設置自己系統的安全性，當然我們還可以通過secedit的命令來配置，下面說一個列子。具體參數和詳細資料參考SECEDIT命令
配置一個安全模板到計算機
secedit /secedit /configure

通過應用已存儲模板，配置系統安全性。

語法
secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas area1 area2...] [/log FileName] [/quiet]

參數
/db FileName
必需的。提供數據庫的文件名，該數據庫包含應該使用的安全模板。
/cfg FileName
指定安全模板的文件名，此安全模板將導入到數據庫并應用于系統。只有當使用了 /db 參數時此命令行選項才有效。如果沒有指定該參數，將應用已存儲在數據庫中的模板。
/overwrite
指定 /cfg 參數中的安全模板是否應該覆蓋存儲在數據庫中的任何模板或復合模板，而不是將結果附加到存儲的模板中。只有當使用了 /cfg 參數時此命令行選項才有效。如果沒有指定，就會將 /cfg 參數中的模板附加到存儲的模板中。
/areas area1 area2...
指定應用到系統中的安全區域。如果沒有指定區域，則所有區域都應用到系統。每個區域應通過空格分隔。 區域名稱 說明
SECURITYPOLICY 系統的本地策略和域策略，包含帳戶策略、審核策略等等。
GROUP_MGMT 在安全模板中指定的任何組的受限組設置
USER_RIGHTS 用戶登錄權限和特權
REGKEYS 本地注冊表項上的安全性
FILESTORE 本地文件存儲的安全性
SERVICES 所有定義的服務的安全性

/log FileName
指定過程日志文件的文件名。如果沒有指定，將使用默認路徑。
/quiet
不使用屏幕和日志文件的輸出。
secedit /export

此命令從安全數據庫中將存儲的模板導出到安全模板文件中。

語法
secedit /export [/mergedpolicy] [/DB FileName] [/CFG FileName] [/areas area1 area2...] [/log FileName] [/quiet]

參數
/mergedpolicy
合并并導出域和本地策略安全性。
/db FileName
指定包含將被導出的模板的數據庫文件。如果沒有提供數據庫文件的名稱，將使用系統策略數據庫。
/db FileName
指定保存模板的文件名稱。
/areas area1 area2...
指定將被導出到模板的安全區域。如果沒有指定區域，則所有區域都將被導出。每個區域應通過空格分隔。 區域名稱 說明
SECURITYPOLICY 系統的本地策略和域策略，包含帳戶策略、審核策略等等。
GROUP_MGMT 指定在安全模板中指定的任何組的受限組設置。
USER_RIGHTS 指定用戶登錄權限和特權
REGKEYS 指定本地注冊表項的安全性
FILESTORE 指定本地文件存儲的安全性
SERVICES 指定所有定義的服務的安全性

/log FileName
指定該過程日志文件的文件名。如果沒有指定，將使用默認路徑。
/quiet
不使用屏幕和日志文件的輸出。
secedit /validate

驗證要導入到分析數據庫或系統應用程序的安全模板的語法。

語法
secedit /validate FileName

參數
FileName
指定使用安全模板創建的安全模板文件名。
注釋
secedit /refreshpolicy 已經被 gpupdate 替代。有關如何刷新安全設置的信息，請參閱 gpupdate。
格式化圖例
格式 含義
斜體 用戶必須提供的信息
粗體 用戶必須準確鍵入的要顯示的元素
省略號 (...) 在命令行中可多次重復的參數
中括號 ([]) 可選項
大括號 ({})；選項用豎線 (|) 分隔。例如： {even|odd} 用戶必須從選項集合中選擇一個  
Courier 字體 代碼或程序輸出

原文轉自：http://www.kjueaiud.com