XP安全模板快速配置安全选项(1)

　Windows XP操作系统提供了强大的安全机制，但是如果要一一设置这些安全配置，却是非常费时、费力的事，那么有没有一种可以快速配置安全选项的办法呢？答案是肯定的，用安全模板就能快速、批量地设定所有安全选项。

　　一、了解安全模板

　　"安全模板"是一种可以定义安全策略的文件表示方式，它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf格式的文本文件存在，用户可以方便地复制、粘贴、导入或导出某些模板。此外，安全模板并不引入新的安全参数，而只是将所有现有的安全属性组织到一个位置以简化安全性管理，并且提供了一种快速批量修改安全选项的方法。

　　系统已经预定义了几个安全模板以帮助加强系统安全，在默认情况下，这些模板存储在"%Systemroot%\Security\Templates"目录下。它们分别是：

　　1.Compatws.inf

　　提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。"Power Users"组通常用于运行没有验证的应用程序。

　　2.Hisec*.inf

　　提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。

　　3.Rootsec.inf

　　确保系统根的安全，可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下，Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。

　　4.Secure*.inf

　　定义了至少可能影响应用程序兼容性的增强安全设置，还限制了LAN Manager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LAN Manager的响应。

　　5.Setupsecurity.inf

　　重新应用默认设置。这是一个针对于特定计算机的模板，它代表在安装操作系统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限，可用于系统灾难恢复。

　　以上就是系统预定义的安全模板，用户可以使用其中一种安全模板，也可以创建自己需要的新安全模板。

　　二、管理安全模板

　　1.安装安全模板

　　安全模板文件都是基于文本的.inf文件，可以用文本打开进行编辑，但是这种方法编辑安全模板太复杂了，所以要将安全模板载入到MMC控制台，以方便使用。

　　①依次点击"开始"和"运行"按钮，键入"mmc"并点击"确定"按钮就会打开控制台节点；

　　②点击"文件"菜单中的"添加/删除管理单元"，在打开的窗口中点击"独立"标签页中的"添加"按钮；

　　③在"可用的独立管理单元"列表中选中"安全模板"，然后点击"添加"按钮，最后点击"关闭"，这样安全模板管理单元就被添加到MMC控制台中了。

　　为了避免退出后再运行MMC时每次都要重新载入，可以点击"文件"菜单上的"保存"按钮，将当前设置为保存。

　　2.建立、删除安全模板

　　将安全模板安装到MMC控制台后，就会看到系统预定义的那几个安全模板，你还可以自己建立新的安全模板。

　　首先打开"控制台根节点"列表中的"安全模板"，在存储安全模板文件的文件夹上点击鼠标右键，在弹出的快捷菜单中选择"新加模板"，这样就会弹出新建模板窗口，在"模板名称"中键入新建模板的名称，在"说明"中，键入新模板的说明，最后点击"确定"按钮。这样一个新的安全模板就成功建立了。

　　删除安全模板非常简单，打开"安全模板"，在控制台树中找到要删除的模板，在其上面点击鼠标右键，选择"删除"即可。

　　3.应用安全模板

　　新的安全模板经过配置后，就可以应用了，你必须通过使用"安全配置和分析"管理单元来应用安全模板设置。

　　①首先要添加"安全配置和分析"管理单元，打开MMC控制台的"文件"菜单，点击"添加/删除管理单元"，在"添加独立管理单元"列表中选中"安全配置和分析"，并点击"添加"按钮，这样"安全配置和分析"管理单元就被添加到MMC控制台中了；

　　②在控制台树中的"安全配置和分析"上点击鼠标右键，选择"打开数据库"，在弹出的窗口中键入新数据库名，然后点击"打开"按钮；

　　③在安全模板列表窗口中选择要导入的安全模板，然后点击"打开"按钮，这样该安全模板就被成功导入了；

　　④在控制台树中的"安全配置和分析"上点击右键，然后在快捷菜单中选择"立即配置计算机"，就会弹出确认错误日志文件路径窗口，点击"确定"按钮。

　　这样，刚才被导入的安全模板就被成功应用了。

　　三、设置安全模板

　　1.设置账户策略

　　账户策略之中包括密码策略、账户锁定策略和Kerberos策略的安全设置，密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段，以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登录尝试，并且在必要时可以锁定相应账户。Kerberos策略用于域用户的账户，它们决定了与Kerberos相关的设置，诸如票据的期限和强制实施。

　　(1)密码策略

　　在这里可以配置5种与密码特征相关的设置，分别是"强制密码历史"、"密码最长使用期限"、"密码最短使用期限"、"密码长度最小值"和"密码必须符合复杂性要求"。

　　①强制密码历史：确定互不相同的新密码的个数，在重新使用旧密码之前，用户必须使用过这么多的密码，此设置值可介于0和24之间；

　　②密码最长使用期限：确定在要求用户更改密码之前用户可以使用该密码的天数。其值介于0和999之间；如果该值设置为0，则密码永不过期；

　　③密码最短使用期限：确定用户可以更改新密码之前这些新密码必须保留的天数。此设置被设计为与"强制密码历史"设置一起使用，这样用户就不能很快地重置有次数要求的密码并更改回旧密码。该设置值可以介于0和999之间；如果设置为0，用户可以立即更改新密码。建议将该值设为2天；

　　④密码长度最小值：确定密码最少可以有多少个字符。该设置值介于0和14个字符之间。如果设置为0，则允许用户使用空白密码。建议将该值设置为8个字符；

　　⑤密码必须符合复杂性要求：该项启用后，将对所有的新密码进行检查，确保它们满足复杂密码的基本要求。如果启用该设置，则用户密码必须符合特定要求，如至少有6个字符、密码不得包含三个或三个以上来自用户账户名中的字符等。

　　(2)账户锁定策略

　　在这里可以设置在指定的时间内一个用户账户允许的登录尝试次数，以及登录失败后，该账户的锁定时间。

　　①账户锁定时间：这里的设置决定了一个账户在解除锁定并允许用户重新登录之前所必须经过的时间，即被锁定的用户不能进行登录操作的时间，该时间的单位为分钟，如果将时间设置为0，将会永远锁定该账户，直到管理员解除账户的锁定；

　　②账户锁定阀值：确定尝试登录失败多少次后锁定用户账户。除非管理员进行了重新设置或该账户的锁定期已满，才能重新使用账户。尝试登录失败的次数可设置为1到999之间的值，如果设置为0，则始终不锁定该账户。