XP安全模板快速配置安全选项(3)

5.设置系统服务

　　在这里可以定义所有系统服务的启动模式和访问权限，启动模式包括自动、手动和已禁用，其中自动表示重新启动计算机时自动启动；手动表示只有在有人启动时才启动；已禁用表示不能启动该服务。而访问权限指的是用户对服务的读取、写入、删除、启动、暂停和停止等操作。利用这个安全模板可以很方便地设定哪些用户或组账户具有读取、写入、删除的权限，或具有执行继承设置或审核以及所有权的权限。需要注意的是，禁用某些服务可能会导致系统无法引导，所以如果要禁用系统的服务，请先在非生产系统中进行测试。

　　那么如何来配置系统服务设置呢？

　　①双击要配置的服务，就会弹出服务的属性对话框；

　　②选中"在模板中定义这个策略配置"项，如果这个策略以前从来没有被配置过，就会自动出现安全设置对话框。如果没有自动出现的话，需要点击"编辑安全设置"按钮，调出对话框；

　　③点击"添加"按钮，按照添加用户或组的步骤将想要操作的用户添加到列表中；

　　④在"组或用户名称"下的列表中选择某一用户或组，下面的权限列表中就会列出所有能够编辑的权限。按照实际需要选择是允许还是拒绝某项权限，如想编辑特别权限或高级设置，则点击"高级"按钮，编辑完成后点击"确定"按钮；

　　⑤在属性窗口中的"选择服务启动模式"下，选择自动、手动或已停用。

　　6.设置注册表

　　在这里，允许管理员定义注册表项的访问权限(关于DACL)和审核设置(关于SACL)。

　　DACL即任意访问控制列表，它赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改DACL中赋予或拒绝的权限，这样，此对象的所有者就可以自由访问该对象。SACL即系统访问控制列表，它表示部分对象的安全描述符的列表，该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。

　　(1)设置注册表安全性

　　①在控制台树中，用鼠标右键点击"注册表"节点，在弹出的快捷菜单中选择"添加密钥"；

　　②在"选择注册表项"对话框中，选择好要添加密钥的注册表项，然后点击"确定"按钮；

　　③在"数据库安全设置"对话框中，为该注册表项选择合适的权限，然后点击"确定"按钮；

　　④在"模板安全策略设置"对话框中，选择需要的继承权限方式，最后点击"确定"按钮。

　　(2)修改注册表键的权限

　　①在注册表项详细列表中，双击要进行修改的注册表键；

　　②在弹出的"模板安全策略设置"窗口中，选中"配置这个键，然后"，下面有两项：其中"将继承权传播到所有子项"项表示所有子键都从被设置的键处继承新设置的权限；"用可继承权代替所有子项上的现有权限"项表示所有子键都会被应用新设置的权限。按自己的需要选择其中一项。

　　③点击"编辑安全设置"按钮，然后在弹出的对话框中点击"高级"按钮，进入高级安全设置窗口；

　　④在"高级安全设置"窗口中，点击"添加"按钮来增删用户，以符合建议的设置标准；

　　⑤选中要进行操作的用户或组，然后点击"编辑"按钮就会弹出权限设置对话框，首先在"应用到"后的下拉按钮中选择正确的设置，如只有该项、该项及子项等。接着在"权限"列表中选择希望使用的权限，最后点击"确定"按钮即可完成设置。

　　7.设置文件系统

　　文件系统是指文件命名、存储和组织的总体结构。Windows XP支持FAT、FAT32和NTFS三种文件系统，在安装Windows、格式化现有的卷或者安装新的硬盘时，可选择文件系统。每个文件系统都有其自己的优点和局限性，其中，NTFS文件系统所能提供的性能、安全性、可靠性是其他文件系统所不具备的。如NTFS可以通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS就会使用日志文件和检查点信息来恢复文件系统的一致性。而在Windows XP操作系统中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。

　　(1)查看文件系统安全设置

　　想要手工查看一个特定文件或文件夹的权限，可参考如下操作：

　　首先打开Windows资源管理器，在要查看的文件或文件夹上点击鼠标右键，在弹出的快捷菜单中选择"属性"。然后在属性窗口中，进入"安全"选项卡，最后点击"高级"按钮，在打开的窗口中就可以查看文件或文件夹相关的权限信息了。

　　(2)为文件设置文件系统安全性

　　①用右键点击控制台数中的"文件系统"节点，在弹出的快捷菜单中点击"添加文件"按钮；

　　②在"添加文件或文件夹"对话框中，找到要为其添加安全的文件或文件夹，然后点击"确定"按钮；

　　③在出现的"数据库安全设置"对话框中配置适当的权限，然后点击"确定"按钮；

　　④回到"模板安全策略设置"对话框中，点击"确定"按钮即可完成设置。

　　(3)修改文件系统安全设置

　　手工逐个修改每个文件和文件夹的权限设置，是非常浪费时间和精力的，通过安全模板可以快速、批量进行设置。

　　①在窗口右侧的面板中，双击要改变的文件或文件夹；

　　②在出现的"模板安全策略设置"窗口中有两个选项，其中"向所有子文件夹和文件传播继承权限"表示该文件夹的子文件夹和文件都被重新配置并全部继承新的权限；"替换所有带继承权限的子文件夹和文件上的现存权限"表示不管那些子文件夹是否具备允许继承权限，都将会被应用新的权限，并且会从被配置的键继承新的权限。按需要任选一项，然后点击"编辑安全设置"按钮。

　　③在"安全设置"窗口中，点击"高级"按钮；

　　④在高级安全设置窗口中，如果父项的权限没有被继承，就需要保证"从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目"项没有被选中，然后点击"添加"按钮来修改会受到权限影响的用户或组，最后选中要进行配置的组或用户，并点击"编辑"按钮；

　　⑤在文件夹的权限项目窗口中，首先点击"应用到"后的下拉按钮，选择一个合适的应用位置，如只有子文件夹、只有该文件夹等，然后就可以到"权限"列表中配置权限了。最后点击"确定"按钮来应用配置的权限。