用安全模板修改XP本地策略设置

《用安全模板修改XP本地策略设置》由会员分享，可在线阅读，更多相关《用安全模板修改XP本地策略设置（26页珍藏版）》请在装配图网上搜索。

1、用安全模板修改XP本地策略设置 2004年04月22日 Yesky 刘晖1 2 3 4 下一页 安全模板的本地策略部分组合了审核策略、用户权限分配、安全选项的安全设置到一个集中统一，便于管理的界面下，要查看安全模板的本地策略设置，依次双击MMC中的：-安全模板默认的配置文件保存文件夹(%SystemRoot%SecurityTemplates) 特定的配置文件本地策略注意：在对一个配置文件进行了任何修改之后，请记得保存修改，然后在正式使用之前一定要先测试好。审核策略审核对于保证域的安全是非常重要的，在Windows XP系统中，默认情况下审核并没有被启用，而每个版本的Windows XP系统都

2、包括了审核功能，以便收集关于系统使用的信息。系统日志就收集了关于应用程序、系统以及安全的相关信息，审核策略中审核的对象发生的事件都会被记录到日志中，日志可以通过时间查看器查看。警告：审核可能会造成处理器时间以及磁盘空间的大量占用，为了减小系统的负担，管理员最好能每天/周都检查、保存和清空审核日志，或者直接把日志保存到其他计算机上。同时也建议直接把审核日志保存到其他计算机中。要通过安全模板组建修改审核策略设置，依次双击：本地策略审核策略 ，右键点击特定的选项以查看或者编辑图3和表4显示了对于Windows XP Professional建议的审核策略设置。而对于Windows 2000成员服务器

3、和域控制器的建议设置可以在 Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set一文中找到。图3 建议的审核策略审核策略选项建议的设置审核账户登录事件用来审核每一个登录和注销本机的用户实例。成功、失败审核账户管理审核安全账户数据库的变动（例如账户的创建、改变和删除）。成功、失败审核目录服务访问审核用户访问那些指定自己的SACL （system access control list，系统访问控制列表）的活动目录对象的事件。这个选项跟审核对象访问类似，只不过本策略只对活动目录对

4、象起作用而不对一般文件或者注册表项目生效。既然这个选项仅对活动目录对象生效，对于工作站和成员服务器来说就没必要启用了。无审核审核登录事件 跟踪用户的登录和注销以及打开的网络连接，同时记录登录请求的类型（交互式登录、网络登录或者服务）。这个策略跟审核账户登录事件策略不同，因为本策略仅记录发生的登录的类型以及登录用户的所在位置。该策略还会跟踪所有无法通过验证的失败登陆。注意：对登录成功或失败的审核会生成大量数据，因为网络、服务以及用户的登录全部被记录下来了。对成功事件的审核也是很重要的，这样就可以在系统被攻击时了解用户的登录情况。因此如果日志文件可以占据较多硬盘空间，那么最好把煤粉中登录的信息无论

5、成功或失败都能记录下来。成功审核对象访问追踪对对象（例如目录、文件、打印机）的失败访问，其中个别对象的审核不是自动的，需要在对象的属性中打开。失败审核策略更改跟踪用户权限分配、审核策略以及信任策略等安全策略的更改。注意：审核策略的成功更改时存在一个问题，其中的一个问题就是在启用了安全选项中的“审核：如果无 法记录安全审核则立即关闭系统”（CrashOnAuditFail）这一策略后重启动时发生的，然而重启动时，系统将会蓝屏或者崩溃。显然，在向审核日 志中写入策略改变的事件时发生了问题，正因为如此，系统才会崩溃。不过再次重启动将会成功，但是根据设计只有Administrator才可以登录。为了使

6、其他用户可以访问系统，Administrator在登录后必须把注册表的CrashOnAuditFail键的键值由2改为0或者1。如果“审核策略更改”这个策略没有启用就不会发生这种情况。成功、失败审核特权使用审核使用特权失败的事件以及给用户指派特权的事件。本策略会审核用户的所有权限，除了跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录。注意：在安全选项中对用户的所有权限包括备份和还原都设置了审核的话将会使系统审核所有用户的执行情况，这将会在很短的时间内产生大量的审核日志，因此不建议启用。失败审核过程跟踪审核例如程序激活和退出等事件，如果你怀疑你

7、的系统被攻击，那么这个选项的记录就会很有用?/span无审核审核系统事件跟踪所有影响到整个系统或者审核日志的事件，记录例如冲启动或者关机之类的事件。成功、失败表4 审核策略选项用户权限分配用户权限分配决定了用户或者组被允许做哪些事情，建议的用户权限都在表5中有列举和详细说明。高级的用户权限都指派给了Administrators组成员或者其他被信任的允许运行管理工具、安装Service Pack、创建打印机和安装设备驱动程 序的组的成员。Administrators组成员的用户权限没有在表5中列举出来，因为这个组的成员具有全部的权限，除非默认的用户权限设置被更改。举 例来说，Backup Ope

8、rators组和Administrators组具有“备份文件和目录”的权限，然而安全的做法是只有Administrators组成员具有这个 权限，因此Administrators组被显示在表里，尽管Administrators组本身就具有所有的权限。注意：基于特定的网络策略，某些用户/用户组可能需要被添加某些不建议的用户权限或者删除一些建议的用户权限。要通过安全模板组件修改用户权限设置，依次双击：本地策略用户权限指派双击右侧面板中的目标对象要添加一个用户或者用户组，添加用户或组输入用户或组-添加-确定-确定要删除一个用户或用户组，选中用户或组-删除-确定用户权限建议的设置从网络访问此计算机允许

9、一个用户通过网络连接到这台计算机AdministratorsUsers以操作系统方式操作允许一个进程作为一个安全的、被信任的操作系统的一部分。某些子系统就具有这样的权限。空白域中添加工作站允许用户添加工作站到特定的域，这个权限设置仅在域控制器上有效。Administrators组和Account Operators组本身就具有添加工作站到域的权限，因此不需要在这里再次指派。空白调整进程的内存配额决定哪个用户可以更改进程消耗的最大内存AdministratorsNETWORK SERVICELOCAL SERVICE允许通过终端服务登录决定哪些用户或者用户组具有作为终端服务客户端登录的权限。远程

10、用户需要这个权限，但如果同时远程协助被打开，就只有administrators组成员有权限使用这个新特性。空白备份文件和目录允许用户备份文件和目录。这个权限可以跳过文件和文件夹的访问权限。注意：如果网络中使用了BackupOperators组或者其他类似组，又同时把这个权限指派给 了这些组，那一定要小心一点。因为具有这个权限的用户可以越过ACL接触到所有文件，除非FullPrivilegeAuditing审核策略被启用，否 则他们对文件的访问是不会留下任何记录的。Administrators跳过遍历检查允许用户遍历目录并且访问文件和子文件夹，即使用户本没有遍历文件夹的权限。Users更改系统时

11、间允许用户修改计算机的系统时钟。Administrators创建页面文件允许用户为虚拟内存创建新的页面文件并且改变页面文件的大小。Administrators创建标记对象允许进程创建可被用来访问本地资源的访问令牌。只有本地特权用户才应该具有这个权限。空白创建永久共享对象允许用户在Windows XP对象管理器中创建特殊的永久目录对象，例如 Device。空白调试程序允许用户调试各种低层对象，例如线程。注意：软件开发人员可能为了以其他用户身份调试程序的需要而需要这个权限，因此只在需要的时候把这个权限指派给开发人员使用的用户和用户组。空白拒绝从网络访问这台计算机阻止特定的用户和/或用户组通过网络访

12、问这台计算机，这个设置会制约“从网络股访问此计算机”这一策略，如果一个用户或组同时被这两个策略设定。注意：默认情况下，Guest和SUPPORT_388945a0用户都被这个权限拒绝。无指定拒绝作为批处理作业登录拒绝用户和/或用户组作为批处理作业登录。这个设置会制约“作为批处理作业登录”策略，如果一个账户同时被这这两个策略设定。空白拒绝作为服务登录拒绝服务账户将进程作为服务进行注册，这个设置会制约“作为服务登录”策略，如果一个账户同时被这两个策略设定。空白拒绝本地登录拒绝特定的用户和/或组直接从本地登录计算机。这个设置会制约“允许在本地登录”策略，如果一个账户同时被这两个策略设定。注意：默认情

13、况下，Guest和SUPPORT_388945a0已经被拒绝了这个权限。无指定拒绝通过终端服务登录决定哪些用户和用户组被拒绝作为终端客户服务端登录，这个权限是为远程桌面用户准备的。注意：若系统中启用了终端服务，这个拒绝选项中的Everyone组会被自动删除。Everyone允许计算机和用户账户被信任以便用于委任允许用户对用户或计算机对象的“受信任委派”进行设置，被授予此权限的用户必须能够对用户或计算机对象上的账户控制标志进行写访问。无指定从远程系统强制关机允许用户通过网络从远程登录的计算机上强制关闭Windows XP计算机。Administrators生成安全审核允许进程将审核记录添加到安全

14、日志。LOCAL SERVICENETWORK SERVICE增加计划优先级允许用户提高一个进程的执行优先级，这个操作可以通过任务管理器的用户界面完成。Administrators装载和卸载设备驱动程序允许用户安装和删除设备驱动程序，这个权限对即插即用硬件的驱动程序的安装是很有必要的。Administrators内存中锁定页面允许用户将页面文件锁定在物理内存中，这样它们就不会被保存到硬盘上的分页文件中了。无指定作为批处理作业登录允许用户通过批处理队列工具登录，在Windows XP中，如果必要的话计划任务会自动获得此权限。无指定作为服务登录允许将进程作为服务进行注册。注意：某些应用程序例如Mi

15、crosoft Exchange需要一个具有此权限的服务账户，为了判断哪些权限是必要的，需要在应用安全模板之前查看系统中所有被指派了这个权限的用户和用户组。警告：我们所提供的安全模板会从本策略中删除所有的用户和用户组（除了NETWORK SERVICE），除非你自己修改了这里的设置。NETWORK SERVICE允许在本地登录允许用户登录到系统控制台。注意：如果网络中使用了BackupOperators或者其他类似的组，给这些组也指派这个权限。AdministratorsUsers管理审核和安全日志允许用户查看和清空安全日志，以及指定需要审核的访问对象（例如对文件和注册表键的访问）的类型。具有

16、此权限的用户可以通过目标对象属性窗口的安全选项卡的审核选项启用和编辑对特定对象的审核。Administrators组成员已经具有了查看和清空安全日志的权限。注意：此权限并不能使用户起用文件和对象访问审核，对象审核是通过设置审核策略中的“审核对象访问”策略启用的。Administrators修改固件环境值允许用户修改系统中支持这种配置的，保存在非永久性RAM中的系统环境变量。Administrators执行卷维护任务允许用户执行卷维护任务，例如磁盘清理和磁盘碎片整理。Administrators配置单一进程允许用户使用系统监视工具监视非系统进程的性能。注意：工作在此系统上的软件开发人员可能需要这

17、个权限，在需要的时候可以给开发人员所使用的帐户和用户组指派该权限。Administrators配置系统性能允许用户使用系统监视工具监视系统进程的性能。Administrators从扩展坞中取出计算机允许用户从扩展坞中取出便携式计算机。AdministratorsUsers替换进程级别标记允许用户修改进程的安全访问标记，这是系统使用的很有效的权限。LOCAL SERVICENETWORK SERVICE还原文件和目录允许用户还原备份的文件和目录，这个设置会跳过文件和目录的访问权限。注意：如果网络中专门使用了一个组进行备份的还原工作，那么需要给该组用户指派本权限。Administrators关闭系

18、统允许用户关闭Windows XP。AdministratorsUsers同步目录服务数据允许用户或用户组同步目录服务数据，同时可称作活动目录同步。无设定取得文件或其他对象的所有权允许用户取得文件、目录、打印机或者计算机上的其他对象的所有权，这个权限会取代对象的保护权限。Administrators安全选项 安全模板中安全选项一段包含了大量可以通过添加或者删除注册表键进行设置的安全选项。建议的安全选项设置都显示在了表6中，其中在NSA的安全模板中增加的自定义安全选项都用灰色区分了出来。警告：在配置安全选项的时候记得使用安全配置工具，使用注册表编辑器代替的话可能引起其它方面的问题，甚至可能需要你

19、重新安装Windows XP。注意：大部分安全选项都可以通过注册表键直接设定，下面就列出了所有相关的注册表键，至于没有包含注册表键设置的选项则是直接在图形界面上进行安全设置的。注意：大部分安全选项都可以通过注册表键直接设定，下面就列出了所有相关的注册表键，至于没有包含注册表键设置的选项则是直接在图形界面上进行安全设置的。表6安全选项表5 用户权限选项向安全选项中添加其他项目在Windows XP中，还可以把一些自定义的注册表设置添加到安全配置工具中去，要实现这个功能，可以采取如下的操作：复制%SystemRoot%infsceregvl.inf到其他名字的文件夹中，并重命名。这样如果有什么问题

20、还可以用最原始的文件恢复。在记事本或者写字板或其他文本编辑器中打开%SystemRoot%infsceregvl.inf在regpath、type、displayname、displaytype下输入内容，其中：regpath - 注册表键值的路径，例如 MacHINESystemCurrentControlSetControlLsaAuditBaseObjects type - 以数字表示添加的注册表项目的数据类型可用的值有：REG_SZ (1)，REG_EXPAND_SZ (2)，REG_BINARY (3)，REG_DWord (4)，REG_MULTISZ (7)。displaynam

21、e - 在安全模板中要显示的名称，例如审核对全局系统对象的访问。displaytype - 添加的注册表项目所显示的类型。可用的值有：Boolean (0)，number (1)，string (2)，choices (3)，multivalued (4)，bitmask (5)，其中数字4和5 只有Windows XP才可用。如果没有指定某个选项，系统会默认使用类似value1|display1，value2|display2 这样的方式。在命令行下重新执行regsvr32 scecli.dll 以重注册scecli.dll。 举例来说，sceregvl.inf中添加的一行命令可以显示为：M

22、ACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonScRemoveOpti on,1,%ScRemove%,3,0|%ScRemove0%,1|%ScRemove1%,2|%ScRemove2% 上面使用的一些字符串都用于sceregvl.inf文件的Strings字段下：%ScRemove% = 智能卡移除操作%ScRemove0% = 无操作 %ScRemove1% = 锁定工作站%ScRemove2% = 强制注销关于如何编辑安全配置管理模板的详细信息，请参阅微软知识库文章Q214752：删除自定义的选项删除自定义的选项不像从sc

23、eregvl.inf 文件中删除该选项和重新注册DLL文件那么简单，要从模板中删除选项，这样操作：使用文本编辑器（例如记事本）打开sceregvl.inf删除sceregvl.inf文件中Register Registry Values下需要删除的安全选项在sceregvl.inf文件中标记有delete these values from the UI字段下，添加想要从模板中删除的选项的注册表键。例如，想要把上面示例中添加的自定义选项删除，则把以下内容放在这个字段下：MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinl ogonScRemoveOption保存并关闭sceregvl.inf 在命令行窗口中，执行regsvr32 scecli.dll命令要确认该选项已经被删除，在MMC中打开安全模板组件，并检查要删除的选项还有没有在本地策略-安全选项中出现最后，需要再次编辑sceregvl.inf文件，删除之前在delete these values from current system下添加的所有注册表键，然后保存并关闭该文件，并再次运行regsvr32 scecli.dll。