用安全模板修改XP本地策略設定

作者: 劉暉
時間: 2004-04-22
出處: 天極

[文章導讀]
安全模板的本地策略部分組合了稽核策略、使用者許可權分配、安全選項的安全設定到一個集中統一……

　安全模板的本地策略部分組合了稽核策略、使用者許可權分配、安全選項的安全設定到一個集中統一，便於管理的介面下，要檢視安全模板的本地策略設定，依次雙擊MMC中的：

　　安全模板
　　預設的配置檔案儲存資料夾(%SystemRoot%/Security/Templates)
　　特定的配置檔案
　　本地策略

　　注意：在對一個配置檔案進行了任何修改之後，請記得儲存修改，然後在正式使用之前一定要先測試好。

　　稽核策略

　　稽核對於保證域的安全是非常重要的，在Windows XP系統中，預設情況下稽核並沒有被啟用，而每個版本的Windows XP系統都包括了稽核功能，以便收集關於系統使用的資訊。系統日誌就收集了關於應用程式、系統以及安全的相關資訊，稽核策略中稽核的物件發生的事件都會被記錄到日誌中，日誌可以通過時間檢視器檢視。

　　警告：稽核可能會造成處理器時間以及磁碟空間的大量佔用，為了減小系統的負擔，管理員最好能每天/周都檢查、儲存和清空稽核日誌，或者直接把日誌儲存到其他計算機上。同時也建議直接把稽核日誌儲存到其他計算機中。

　　要通過安全模板組建修改稽核策略設定，依次雙擊：

　　本地策略 稽核策略 ，右鍵點選特定的選項以檢視或者編輯

　　圖3和表4顯示了對於Windows XP Professional建議的稽核策略設定。而對於Windows 2000成員伺服器和域控制器的建議設定可以在 Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set一文中找到。

圖3 建議的稽核策略

使用者許可權分配

　　使用者許可權分配決定了使用者或者組被允許做哪些事情，建議的使用者許可權都在表5中有列舉和詳細說明。高階的使用者許可權都指派給了Administrators組成員或者其他被信任的允許執行管理工具、安裝Service Pack、建立印表機和安裝裝置驅動程式的組的成員。Administrators組成員的使用者許可權沒有在表5中列舉出來，因為這個組的成員具有全部的許可權，除非預設的使用者許可權設定被更改。舉例來說，Backup Operators組和Administrators組具有“備份檔案和目錄”的許可權，然而安全的做法是隻有Administrators組成員具有這個許可權，因此Administrators組被顯示在表裡，儘管Administrators組本身就具有所有的許可權。

　　注意：基於特定的網路策略，某些使用者/使用者組可能需要被新增某些不建議的使用者許可權或者刪除一些建議的使用者許可權。

　　要通過安全模板元件修改使用者許可權設定，依次雙擊：

　　本地策略 使用者許可權指派
　　雙擊右側皮膚中的目標物件
　　要新增一個使用者或者使用者組，新增使用者或組→輸入使用者或組-新增-確定-確定
　　要刪除一個使用者或使用者組，選中使用者或組-刪除-確定
　

表5 使用者許可權選項

安全選項

　　安全模板中安全選項一段包含了大量可以通過新增或者刪除登錄檔鍵進行設定的安全選項。建議的安全選項設定都顯示在了表6中，其中在NSA的安全模板中增加的自定義安全選項都用灰色區分了出來。

　　警告：在配置安全選項的時候記得使用安全配置工具，使用登錄檔編輯器代替的話可能引起其它方面的問題，甚至可能需要你重新安裝Windows XP。

　　注意：大部分安全選項都可以通過登錄檔鍵直接設定，下面就列出了所有相關的登錄檔鍵，至於沒有包含登錄檔鍵設定的選項則是直接在圖形介面上進行安全設定的。

　向安全選項中新增其他專案

　　在Windows XP中，還可以把一些自定義的登錄檔設定新增到安全配置工具中去，要實現這個功能，可以採取如下的操作：

　　複製%SystemRoot%/inf/sceregvl.inf到其他名字的資料夾中，並重新命名。這樣如果有什麼問題還可以用最原始的檔案恢復。

　　在記事本或者寫字板或其他文字編輯器中開啟%SystemRoot%/inf/sceregvl.inf
　　在regpath、type、displayname、displaytype下輸入內容，其中：
　　regpath – 登錄檔鍵值的路徑，例如 MACHINE/System/CurrentControlSet/Control/Lsa/AuditBaseObjects
　　type – 以數字表示新增的登錄檔專案的資料型別可用的值有：REG_SZ (1)，REG_EXPAND_SZ (2)，REG_BINARY (3)，REG_DWORD (4)，REG_MULTISZ (7)。
　　displayname – 在安全模板中要顯示的名稱，例如”稽核對全域性系統物件的訪問”。
　　displaytype – 新增的登錄檔專案所顯示的型別。可用的值有：Boolean (0)，number (1)，string (2)，choices (3)，multivalued (4)，bitmask (5)，其中數字4和5 只有Windows XP才可用。如果沒有指定某個選項，系統會預設使用類似value1|display1，value2|display2… 這樣的方式。

　　在命令列下重新執行regsvr32 scecli.dll 以重註冊scecli.dll。

　　舉例來說，sceregvl.inf中新增的一行命令可以顯示為：

　　MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/ScRemoveOpti on,1,%ScRemove%,3,0|%ScRemove0%,1|%ScRemove1%,2|%ScRemove2%

　　上面使用的一些字串都用於sceregvl.inf檔案的[Strings]欄位下：

　　%ScRemove% = 智慧卡移除操作
　　%ScRemove0% = 無操作
　　%ScRemove1% = 鎖定工作站
　　%ScRemove2% = 強制登出

　　關於如何編輯安全配置管理模板的詳細資訊，請參閱微軟知識庫文章Q214752：

　　刪除自定義的選項

　　刪除自定義的選項不像從sceregvl.inf 檔案中刪除該選項和重新註冊DLL檔案那麼簡單，要從模板中刪除選項，這樣操作：

　　使用文字編輯器（例如記事本）開啟sceregvl.inf
　　刪除sceregvl.inf檔案中[Register Registry Values]下需要刪除的安全選項
　　在sceregvl.inf檔案中標記有”delete these values from the UI”欄位下，新增想要從模板中刪除的選項的登錄檔鍵。例如，想要把上面示例中新增的自定義選項刪除，則把以下內容放在這個欄位下：
MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winl ogon/ScRemoveOption
　　儲存並關閉sceregvl.inf
　　在命令列視窗中，執行regsvr32 scecli.dll命令
　　要確認該選項已經被刪除，在MMC中開啟安全模板元件，並檢查要刪除的選項還有沒有在本地策略-安全選項中出現
　　最後，需要再次編輯sceregvl.inf檔案，刪除之前在”delete these values from current system”下新增的所有登錄檔鍵，然後儲存並關閉該檔案，並再次執行regsvr32 scecli.dll。