Windows 2003安全之强化堡垒主机(2)

　　下面的步骤描述了使用“安全配置和分析”管理单元来导入并应用BHLP安全模板的过程。

　　警告：Microsoft强烈推荐在应用High Security – Bastion Host.inf前，对堡垒主机服务器进行一次完全备份。以便在应用High Security – Bastion Host.inf安全模板后如果出现了问题，可将堡垒主机恢复到其初始配置。请确信您已经对安全模板进行了配置，以启用您所在环境需要的堡垒主机功能。

　　导入安全模板：

　　1. 运行“安全配置和分析”管理单元。

　　2. 右健单击“安全配置和分析”的范围项目。

　　3. 单击“打开数据库”。

　　4. 输入一个新的数据库名，然后单击“打开”。

　　5. 选择“High Security – Bastion Host.inf”安全模板，然后单击“打开”。

　　这样，所有堡垒主机的设置就将被导入，然后您可以审查和应用这些设置。

　　应用安全设置

　　1. 右健单击“安全配置和分析”的范围项目。

　　2. 选择“现在配置计算机”。

　　3. 在“现在配置计算机”对话框中输入希望查看的日志文件名称，然后单击“确定”。

　　完成这些步骤后，所有相关安全模板设置将全部应用于环境中堡垒主机的本地策略。您必须重新启动堡垒主机才能使这些设置生效。

　　下面部分描述了使用BHLP实施的安全设置 。在本章中只论述那些与在MSBP中不同的设置。

　　审核策略设置

　　用于堡垒主机的BHLP审核策略的设置与在High Security – Member Server Baseline.inf文件中所指定的设置是相同的，详情请看第三章 “创建成员服务器基线。”BHLP设置确保了所有相关的安全审核信息都被记录到所有的堡垒主机服务器上。

　　用户权限分配

　　用于堡垒主机的BHLP用户权限分配基于High Security – Member Server Baseline.inf文件所指定的设置。详情请看第三章“创建成员服务器基线。”下面描述了BHLP和MSBP间的差别。

　　允许本地登录

　　表11.1：设置

　　“允许本地登录”用户权限允许用户在计算机上启动一个交互会话。对那些能登录到堡垒主机服务器控制台的账号做出限制，将有助于阻止未经授权的用户访问服务器上的文件系统和系统服务。

　　默认情况下，Account Operators、Backup Operators、Print Operators及Power Users组被授予了本地登录的权限。应该将该权限仅授予Administrators组，以便只有高度信任的用户才拥有对堡垒服务器的管理访问权限，而且能够提供更高水平的安全性。