Windows XP安全模板快速配置安全选项(2)

　3.设置事件日志

　　这个安全模板是定义与应用程序、安全和系统日志相关的属性的，如最大的日志大小、对每个日志的访问权限以及保留设置和方法。其中，应用程序日志负责记录由程序生成的事件；安全日志根据审核对象记录安全事件；系统日志记录操作系统事件。

　　(1)日志保留天数

　　这个选项可以设置应用程序、安全性和系统日志可以保留多少天。需要注意的是，仅当以预定的时间间隔对日志进行存档时才应设置此值，并要确保最大日志大小足够大，以满足此时间间隔。这个天数可以是1到365天中的任何一个，用户可按需要进行设置，建议设置为14天。

　　(2)日志保留方法

　　在这里可以设置达到设定的最大日志文件的处理方法，共有按天数改写事件、按需要改写事件和不改写事件(手动清除日志)三种方式。如果希望将应用程序日志存档，就要选中"按需要覆盖事件"；如果希望以预定的时间间隔对日志进行存档，可选中"按天数覆盖事件"；如果需要在日志中保留所有事件，可选中"不要改写事件(手动清除日志)"，在这种情况下，当达到最大日志大小时，将会丢弃新事件日志。

　　(3)限制本地来宾组访问日志

　　在这里可以设置是否限制来宾访问应用程序、安全性和系统事件日志。默认设置是允许来宾用户和空连接可以查看系统日志，但禁止访问安全日志。

　　(4)日志最大值

　　这里可以设置日志文件的最大值和最小值，可用值的范围是64KB到4194240KB。如果设置值太小会导致日志经常被填满，这样就需要经常性地清理、保存日志；而设置值过大，会占据大量的硬盘空间，所以一定要根据自己的需要进行设置。

　　4.设置受限制的组

　　在这里可以允许管理员对安全性敏感的组定义"成员"和"隶属组"两个属性，其中"成员"定义了哪些用户属于以及哪些用户不属于受限制的组；"隶属组"定义了受限制的组属于其他哪些组。利用本策略，可以控制组中的成员身份，所有未在本策略中指定的成员都会被删除，而当前不是该组成员的用户将被添加。

　　(1)创建受限制的组

　　首先在控制台树中的"受限制的组"上点击鼠标右键，选择"添加组"。然后在"添加组"窗口中键入受限制的策略组的名称，或点击"浏览"，在打开的"选择组"窗口中查找要进行操作的组，最后点击"确定"按钮。这时你会发现新的一个组已经被创建成功了。

　　如果你想将所有受限制的组项从一个模板复制到另一个模板，可以在控制台树中右键点击"受限制的组"，在弹出的快捷菜单中选择"复制"，然后在另一个模板中右键点击"受限制的组"，并在弹出的快捷菜单中选择"粘贴"。

　　(2)添加用户

　　先在详细信息窗格中，找到要添加用户的组，然后在上面点击鼠标右键，在弹出的快捷菜单中选择"属性"，就会弹出该组的属性窗口。点击"这个组的成员"列表框右边的"添加"按钮，然后键入要添加的成员即可。重复此步骤，可添加更多的成员。

　　同样，如要将本组添加为任何其他组的成员中，请点击在"这个组隶属于"列表框右侧的"添加"按钮，然后在弹出的窗口中键入组名称，最后点击"确定"即可。

　　5.设置系统服务

　　在这里可以定义所有系统服务的启动模式和访问权限，启动模式包括自动、手动和已禁用，其中自动表示重新启动计算机时自动启动；手动表示只有在有人启动时才启动；已禁用表示不能启动该服务。而访问权限指的是用户对服务的读取、写入、删除、启动、暂停和停止等操作。利用这个安全模板可以很方便地设定哪些用户或组账户具有读取、写入、删除的权限，或具有执行继承设置或审核以及所有权的权限。需要注意的是，禁用某些服务可能会导致系统无法引导，所以如果要禁用系统的服务，请先在非生产系统中进行测试。

　　那么如何来配置系统服务设置呢？

　　①双击要配置的服务，就会弹出服务的属性对话框；

　　②选中"在模板中定义这个策略配置"项，如果这个策略以前从来没有被配置过，就会自动出现安全设置对话框。如果没有自动出现的话，需要点击"编辑安全设置"按钮，调出对话框；

　　③点击"添加"按钮，按照添加用户或组的步骤将想要操作的用户添加到列表中；

　　④在"组或用户名称"下的列表中选择某一用户或组，下面的权限列表中就会列出所有能够编辑的权限。按照实际需要选择是允许还是拒绝某项权限，如想编辑特别权限或高级设置，则点击"高级"按钮，编辑完成后点击"确定"按钮；

　　⑤在属性窗口中的"选择服务启动模式"下，选择自动、手动或已停用。

　　6.设置注册表

　　在这里，允许管理员定义注册表项的访问权限(关于DACL)和审核设置(关于SACL)。

　　DACL即任意访问控制列表，它赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改DACL中赋予或拒绝的权限，这样，此对象的所有者就可以自由访问该对象。SACL即系统访问控制列表，它表示部分对象的安全描述符的列表，该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。

　　(1)设置注册表安全性

　　①在控制台树中，用鼠标右键点击"注册表"节点，在弹出的快捷菜单中选择"添加密钥"；

　　②在"选择注册表项"对话框中，选择好要添加密钥的注册表项，然后点击"确定"按钮；

　　③在"数据库安全设置"对话框中，为该注册表项选择合适的权限，然后点击"确定"按钮；

　　④在"模板安全策略设置"对话框中，选择需要的继承权限方式，最后点击"确定"按钮。

　　(2)修改注册表键的权限

　　①在注册表项详细列表中，双击要进行修改的注册表键；

　　②在弹出的"模板安全策略设置"窗口中，选中"配置这个键，然后"，下面有两项：其中"将继承权传播到所有子项"项表示所有子键都从被设置的键处继承新设置的权限；"用可继承权代替所有子项上的现有权限"项表示所有子键都会被应用新设置的权限。按自己的需要选择其中一项。

　　③点击"编辑安全设置"按钮，然后在弹出的对话框中点击"高级"按钮，进入高级安全设置窗口；

　　④在"高级安全设置"窗口中，点击"添加"按钮来增删用户，以符合建议的设置标准；

　　⑤选中要进行操作的用户或组，然后点击"编辑"按钮就会弹出权限设置对话框，首先在"应用到"后的下拉按钮中选择正确的设置，如只有该项、该项及子项等。接着在"权限"列表中选择希望使用的权限，最后点击"确定"按钮即可完成设置。

　　7.设置文件系统

　　文件系统是指文件命名、存储和组织的总体结构。Windows XP支持FAT、FAT32和NTFS三种文件系统，在安装Windows、格式化现有的卷或者安装新的硬盘时，可选择文件系统。每个文件系统都有其自己的优点和局限性，其中，NTFS文件系统所能提供的性能、安全性、可靠性是其他文件系统所不具备的。如NTFS可以通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS就会使用日志文件和检查点信息来恢复文件系统的一致性。而在Windows XP操作系统中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。

　　(1)查看文件系统安全设置

　　想要手工查看一个特定文件或文件夹的权限，可参考如下操作：

　　首先打开Windows资源管理器，在要查看的文件或文件夹上点击鼠标右键，在弹出的快捷菜单中选择"属性"。然后在属性窗口中，进入"安全"选项卡，最后点击"高级"按钮，在打开的窗口中就可以查看文件或文件夹相关的权限信息了。

　　(2)为文件设置文件系统安全性

　　①用右键点击控制台数中的"文件系统"节点，在弹出的快捷菜单中点击"添加文件"按钮；

　　②在"添加文件或文件夹"对话框中，找到要为其添加安全的文件或文件夹，然后点击"确定"按钮；

　　③在出现的"数据库安全设置"对话框中配置适当的权限，然后点击"确定"按钮；

　　④回到"模板安全策略设置"对话框中，点击"确定"按钮即可完成设置。

　　(3)修改文件系统安全设置

　　手工逐个修改每个文件和文件夹的权限设置，是非常浪费时间和精力的，通过安全模板可以快速、批量进行设置。

　　①在窗口右侧的面板中，双击要改变的文件或文件夹；

　　②在出现的"模板安全策略设置"窗口中有两个选项，其中"向所有子文件夹和文件传播继承权限"表示该文件夹的子文件夹和文件都被重新配置并全部继承新的权限；"替换所有带继承权限的子文件夹和文件上的现存权限"表示不管那些子文件夹是否具备允许继承权限，都将会被应用新的权限，并且会从被配置的键继承新的权限。按需要任选一项，然后点击"编辑安全设置"按钮。

　　③在"安全设置"窗口中，点击"高级"按钮；

　　④在高级安全设置窗口中，如果父项的权限没有被继承，就需要保证"从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目"项没有被选中，然后点击"添加"按钮来修改会受到权限影响的用户或组，最后选中要进行配置的组或用户，并点击"编辑"按钮；

　　⑤在文件夹的权限项目窗口中，首先点击"应用到"后的下拉按钮，选择一个合适的应用位置，如只有子文件夹、只有该文件夹等，然后就可以到"权限"列表中配置权限了。最后点击"确定"按钮来应用配置的权限。