XP安全模板快速配置安全选项(2)

　　2.设置本地策略

　　本地策略包括审核策略、用户权限分配和安全选项三项安全设置，其中，审核策略确定了是否将安全事件记录到计算机上的安全日志中；用户权利指派确定了哪些用户或组具有登录计算机的权利或特权；安全选项确定启用或禁用计算机的安全设置。

　　(1)审核策略

　　审核被启用后，系统就会在审核日志中收集审核对象所发生的一切事件，如应用程序、系统以及安全的相关信息，因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种，默认是不审核，若要启用审核，可在某项上双击鼠标，就会弹出"属性"窗口，首先选中"在模板中定义这些策略设置"，然后按需求选择"成功"或"失败"即可。

　　审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等，下面分别进行介绍。

　　①审核策略更改：主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为"成功"和"失败"；

　　②审核登录事件：用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功，则可用来确定哪个用户成功登录到哪台计算机；如果设为审核失败，则可以用来检测入侵，但攻击者生成的庞大的登录失败日志，会造成拒绝服务(Dos)状态。建议设置为"成功"；

　　③审核对象访问：确定是否审核用户访问某个对象，例如文件、文件夹、注册表项、打印机等，它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为"失败"；

　　④审核过程跟踪：确定是否审核事件的详细跟踪信息，如程序激活、进程退出、间接对象访问等。如果你怀疑系统被攻击，可启用该项，但启用后会生成大量事件，正常情况下建议将其设置为"无审核"；

　　⑤审核目录服务访问：确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用。建议设置为"无审核"；

　　⑥审核特权使用：该项用于确定是否对用户行使用户权限的每个实例进行审核，但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为"不审核"；

　　⑦审核系统事件：用于确定当用户重新启动或关闭计算机时，或者对系统安全或安全日志有影响的事件发生时，是否予以审核。这些事件信息是非常重要的，所以建议设置为"成功"和"失败"；

　　⑧审核账户登录事件：该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时，是否进行审核。建议设置为"成功"和"失败"；

　　⑨审核账户管理：用于确定是否对计算机上的每个账户管理事件，如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为"成功"和"失败"。

　　(2)用户权利指派

　　用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是：

　　①双击某项策略，在弹出"属性"窗口中，首先选中"在模板中定义这些策略设置"；

　　②点击"添加用户或组"按钮就会出现"选择用户或组"窗口，先点击"对象类型"选择对象的类型，再点击"位置"选择查找的位置，最后在"输入对象名称来选择"下的空白栏中输入用户或组的名称，输完后可点击"检查名称"按钮来检查名称是否正确；

　　③最后点击"确定"按钮即可将输入的对象添加到用户列表中。

　　(3)安全选项

　　在这里可以启用或禁用计算机的安全设置，如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。

　　①防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机，网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。

　　双击"设备：防止用户安装打印机驱动程序"，会弹出属性窗口，首先选中"在模板中定义这个策略设置"项，然后将"已启用"选中，最后点击"确定"按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序；

　　②无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时，系统默认会弹出警告窗口，然后让用户选择是否安装，这样很麻烦，你可以将其设置为无提示就直接安装。

　　双击"设备：未签名驱动程序的安装操作"项，在出现的属性窗口中，选中"在模板中定义这个策略设置"项，然后点击后面的下拉按钮，选择"默认安装"，最后点击"确定"按钮即可；

　　③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核，从而更好地保护系统数据。

　　双击"交互式登录：用户试图登录时消息文字"，进入属性窗口，先将"在模板中定义这个策略设置"选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击"确定"按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。

　　3.设置事件日志

　　这个安全模板是定义与应用程序、安全和系统日志相关的属性的，如最大的日志大小、对每个日志的访问权限以及保留设置和方法。其中，应用程序日志负责记录由程序生成的事件；安全日志根据审核对象记录安全事件；系统日志记录操作系统事件。

　　(1)日志保留天数

　　这个选项可以设置应用程序、安全性和系统日志可以保留多少天。需要注意的是，仅当以预定的时间间隔对日志进行存档时才应设置此值，并要确保最大日志大小足够大，以满足此时间间隔。这个天数可以是1到365天中的任何一个，用户可按需要进行设置，建议设置为14天。

　　(2)日志保留方法

　　在这里可以设置达到设定的最大日志文件的处理方法，共有按天数改写事件、按需要改写事件和不改写事件(手动清除日志)三种方式。如果希望将应用程序日志存档，就要选中"按需要覆盖事件"；如果希望以预定的时间间隔对日志进行存档，可选中"按天数覆盖事件"；如果需要在日志中保留所有事件，可选中"不要改写事件(手动清除日志)"，在这种情况下，当达到最大日志大小时，将会丢弃新事件日志。

　　(3)限制本地来宾组访问日志

　　在这里可以设置是否限制来宾访问应用程序、安全性和系统事件日志。默认设置是允许来宾用户和空连接可以查看系统日志，但禁止访问安全日志。

　　(4)日志最大值

　　这里可以设置日志文件的最大值和最小值，可用值的范围是64KB到4194240KB。如果设置值太小会导致日志经常被填满，这样就需要经常性地清理、保存日志；而设置值过大，会占据大量的硬盘空间，所以一定要根据自己的需要进行设置。

　　4.设置受限制的组

　　在这里可以允许管理员对安全性敏感的组定义"成员"和"隶属组"两个属性，其中"成员"定义了哪些用户属于以及哪些用户不属于受限制的组；"隶属组"定义了受限制的组属于其他哪些组。利用本策略，可以控制组中的成员身份，所有未在本策略中指定的成员都会被删除，而当前不是该组成员的用户将被添加。

　　(1)创建受限制的组

　　首先在控制台树中的"受限制的组"上点击鼠标右键，选择"添加组"。然后在"添加组"窗口中键入受限制的策略组的名称，或点击"浏览"，在打开的"选择组"窗口中查找要进行操作的组，最后点击"确定"按钮。这时你会发现新的一个组已经被创建成功了。

　　如果你想将所有受限制的组项从一个模板复制到另一个模板，可以在控制台树中右键点击"受限制的组"，在弹出的快捷菜单中选择"复制"，然后在另一个模板中右键点击"受限制的组"，并在弹出的快捷菜单中选择"粘贴"。

　　(2)添加用户

　　先在详细信息窗格中，找到要添加用户的组，然后在上面点击鼠标右键，在弹出的快捷菜单中选择"属性"，就会弹出该组的属性窗口。点击"这个组的成员"列表框右边的"添加"按钮，然后键入要添加的成员即可。重复此步骤，可添加更多的成员。

　　同样，如要将本组添加为任何其他组的成员中，请点击在"这个组隶属于"列表框右侧的"添加"按钮，然后在弹出的窗口中键入组名称，最后点击"确定"即可。