用配置和工具提升Windows 2003系统安全

　　默认情况下几个安全模板文件如下:

　　·默认安全设置 模板(Setup security.inf)

　　Setup security.inf 模板是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户端计算机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。请不要通过使用“组策略”来应用 Setup security.inf。此模板含有大量数据，如果通过组策略来应用它，可能会严重降低性能(因为策略是定期刷新的，这样做将导致在域中移动大量数据)。因此，建议在局部应用 Setup security.inf 模板。由于 Secedit 命令行工具支持该功能，因此建议使用该工具。

　　·域控制器默认安全设置模板 (DC security.inf)

　　该模板是在服务器被升级为域控制器时创建的。它反映了文件、注册表以及系统服务的默认安全设置。重新应用它后，上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或 Secedit 命令行工具可以应用它。

　　·兼容模板 (compatws.inf)

　　工作站和服务器的默认权限主要授予三个本地组:Administrators、Power Users 和 Users。Administrators 享有最高的特权，而 Users 的特权最低。正因为如此，可以通过以下方式极大地提高系统所有权的安全性、可靠性，并降低其总成本:确保最终用户都是 Users 成员。 部署可由 Users 组的成员成功运行的应用程序。具有 User 权限的人可以成功运行已加入在 Windows Logo Program for Software 中的应用程序。但是，User 可能无法运行不符合该计划要求的应用程序。

　　·高级安全模板 (hisec*.inf)

　　高级安全模板是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在 SMB 客户端和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝 LAN Manager 的响应，而高级安全模板则可导致同时对 LAN Manager 和 NTLM 响应的拒绝。安全模板可以启用服务器端的 SMB 信息包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。Hisecdc和Hisecws:高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的，要求对安全通道数据进行强力的加密和签名，从而形成域到成员和成员到域的信任关系。

　　·系统根目录安全 模板(Rootsec.inf)

　　Rootsec.inf 可指定根目录权限。默认情况下，Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。正如所说明的那样，该模板并不覆盖已明确定义在子对象上的权限，它只是传递由子对象继承的权限。

　　·无终端服务器用户 SID 模板(Notssid.inf)

　　服务器上的默认文件系统和注册表访问控制列表可将权限授予终端服务器的安全标识符 (SID)。仅当“终端服务器 SID”以应用程序兼容模式运行时，它才能被使用。如果当前没有使用“终端服务器 SID”，则可以应用该模板从文件系统和注册表位置删除不需要的“终端服务器 SID”。然而，从这些默认的文件系统和注册表位置删除“终端服务器 SID”的访问控制项并不会增加系统的安全性。因此请不要删除“终端服务器 SID”，而直接以“完整安全”模式运行终端服务器。当以“完整安全”模式运行时，则不使用“终端服务器 SID”。

　　上面我们介绍了配置本地计算机安全的命令行方法，下面介绍在Windows 图形界面如何完成。

　　二、使用用安全配置和分析工具

　　下面是图形界面下使用安全配置和分析工具提升windows 2003系统安全详细步骤:

　　1、使用管理员权限登录

　　首先必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作;注意 :要执行该过程，您必须是本地计算机Administrators 组的成员，或者您必须被委派适当的权限。如果将计算机加入域，Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作，可以考虑使用运行方式来执行这个过程。

　　2、打开“安全配置和分析”

　　要打开“安全配置和分析”，请先单击“开始”，接着单击“运行”，然后输入 mmc，最后单击“确定”。在“文件”菜单上，单击“打开”，单击要打开的控制台，然后单击“打开”。然后，在控制台树中，使用Ctrl+M 快捷键打开“添加/删除管理单元” 如图2。

　　图2使用Ctrl+M 快捷键打开“添加/删除管理单元”

　　3、添加“安全配置和分析”管理单元

　　在“添加/删除管理单元”对话框中，点击选项页的“添加”，在弹出的“添加独立管理单元”对话框中，选择列表中的“安全配置和分析”项，点击“添加”，如图3所示;

　　图3 添加“安全配置和分析”管理单元

　　4、完成添加

　　点击“关闭”，返回“添加/删除管理单元”对话框，此时在列表中可以看到新增加了“安全配置和分析”项;点击“确定”，完成“安全配置和分析”管理单元的加载。说明:执行安全性分析是根据系统提供的安全模板来实现的，这个过程中，需要用户打开或新建一个包含安全信息的数据库，并选择合适的安全模板。

　　5、打开数据库

　　在控制台窗口中，右键点击控制台根节点下的“安全配置和分析”，或者在快捷菜单中选择“打开数据库”命令;如果是首次对系统进行安全性分析，需要新建一个数据库，在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称，然后点击“打开”;