5.4.3 实施安全配置和分析

5.4.3 实施安全配置和分析
“安全配置和分析”工具是微软公司提供的一款免费的安全配置工具，如果网络管理员对安全模型和安全理念不熟悉，使用“安全配置和分析”工具也可以使用Windows Server 2003操作系统提供的标准安全模板配置服务器系统安全。
下面介绍如何使用“安全配置和分析”工具。
1．添加“安全配置和分析”管理单元
在Windowsmmc管理员控制台中，“安全配置和分析”管理单元没有被显示添加，需要网络管理员以手工的方式添加到控制台中。
依次选择“开始”→“运行”命令，在打开文本框中，输入“mmc”命令，打开管理控制台，如图5-30所示。
择选“控制台”菜单中的“添加/删除管理单元”命令，显示“添加/删除管理单元”对话框，如图5-31所示。

切换到“独立”选项卡单击“添加”按钮，显示“添加独立管理单元”对话框。在“可用的独立管理单元”列表中选择“安全配置和分析”选项，如图5-32所示。
单击“添加”按钮，然后单击“关闭”按钮，“安全配置和分析”管理单元添加到MMC控制台中，如图5-33所示。
为了避免退出后再运行MMC时需要重新载入，可以单击“控制台”菜单栏中的“保存”按钮，将当前设置保存到桌面或者相应的文件夹下。

2．设置安全数据库
在默认的“安全配置和分析管理单元”中，没有加载任何安全数据库，如图5-34所示，需要手工方式指定。
在安全配置和分析管理单元中，右击“安全配置和分析”选项，在弹出的快捷菜单中选择“打开数据库”命令，显示“打开数据库”对话框，选择现有的个人数据库，或输入文件名创建新的安全数据库，如图5-35所示。


如果这不是当前配置使用的数据库，将提示选择要加载到数据库的安全模板。
如果选择可能已包含模板的现有个人数据库，并且要替换此模板，而不是将它合并到已存储的模板，选择“覆盖数据库中现有的配置”选项。
单击“打开”按钮，显示“导入模板”对话框，显示了系统默认的安全模板，选择与当前系统进行比较分析的模板，如图5-36所示。本例中选择“hisecdc.inf”安全模板。
单击“打开”按钮，完成数据库的建立以及所选择模板的加载，如图5-37所示。


3．导入/导出安全模板
安全配置和分析工具提供导出到工作数据库或者从工作数据库中导入安全模板的功能。通过将每个模板导入到工作数据库中，可以将多个不同的模板合并成一个复合模板，此复合模板以后可用于系统分析和配置。只有选择覆盖时，才不会将它们合并为复合模板（存储的配置）。
（1）导入安全模板
一旦已经创建复合配置，可以将它保存导出的命令模板。导出特性提供将存储的配置另存为新模板文件，此模板文件可以导入到其他数据库，用作分析或配置系统，或甚至使用安全模板管理单元重新定义。
在“安全配置和分析”管理单元中，右击“安全配置和分析”选项，在弹出的快捷菜单中选择“打开数据库”命令，显示“打开数据库”对话框，如图5-38所示，选择要打开的数据库。本例中选择的是“test.sdb”数据库。
第2步，单击“打开”按钮，数据库初始化。完成后右击“安全配置和分析”选项，从弹出的快捷菜单中选择“导入模板”选项，显示“导入模板”对话框，如图5-39所示。选择模板文件，本例中选择“securews.inf”模板文件。根据实际情况，决定是否选中“导入之前清除这个数据库”复选框。


单击“打开”按钮。对要合并到数据库的每个模板重复以前的步骤。
（2）导出安全模板
如果通过将多个模板导入到数据库创建复合安全模板，网络管理员有必要将复合模板另存为单独的文件进行存储，如果重新安装操作系统或者安全配置发生改变，可以使用保存的模板文件恢复到设置的安全状态。
在“安全配置和分析”控制台中，右击“安全配置和分析”选项，从弹出的快捷菜单中选择“导出配置”命令，显示“将模板导出到”对话框，选择模板的保存路径，并在“文件名”文本框中输入有效名称。
单击“保存”按钮，即可完成模板文件的导出。
4．分析系统的安全性
通过比较系统当前的状态和已导入到数据库中的安全模板，安全配置和分析工具执行安全分析。此模板是基本配置，并且它是包含推荐的系统安全设置的模板。安全配置和分析工具会询问基本配置中所有安全区域的系统安全设置，将找到的值与基本配置进行比较。如果当前的系统设置与基本配置的设置匹配，则假定它们正确。如果不匹配，则将有问题的属性作为需要检查的潜在问题显示。
可以创建数据库，导入模板进行分析，并且可以重复导入并加载多个模板。数据库将各种模板合并以创建一个复合模板，按导入顺序解决冲突；当有冲突时，优先导入的最新模板。一旦将模板导入到选择的数据库，就可以分析或配置系统。
在“安全配置和分析”控制台中，设置工作数据库（如果当前没有设置）。右击“安全配置和分析”选项，从弹出的快捷菜单中选择“打开数据库”选项，显示“打开数据库”对话框，如图5-40所示，选择现有的数据库，或输入文件名创建新的数据库。
右击“安全配置和分析”，从弹出的快捷菜单中选择“立即分析计算机”命令，显示如图5-41所示的“进行分析”对话框。在“错误日志文件路径”文本框中可以使用默认的错误文件路径，或输入日志的文件名和有效路径。


单击“确定”按钮，显示“正在分析系统安全机制”对话框，系统开始进行安全性分析，并显示不同的安全区域，如图5-42所示。一旦完成操作，就可以检查日志文件或复查结果。
右击“安全配置和分析”选项，在弹出的快捷菜单中选择“查看日志文件”命令，即可在控制台右侧的窗口中查看日志文件的内容，如图5-43所示。


5．检查安全性分析结果
“安全配置和分析”工具显示安全分析的结果，并使用虚拟标志表明问题。对于安全区域中的每个安全属性，将显示当前系统和基本配置的设置。如果选择接受当前的设置，将修改基本模板中相应的值以与此设置相匹配，如果更改系统设置以匹配基本配置，则当使用安全配置和分析配置系统时，这些更改将会被反映出来。要避免已检查并确定为合理的设置连续标记，可以在模板的副本修改基本设置。
（1）查看安全性分析结果
在“安全配置和分析”管理控制台中，展开“安全配置和分析”，单击要查看安全（例如密码策略），如图5-44所示。
在右侧窗口中，“策略”列表中显示了分析结果；“数据库设置”列表显示模板中的安全值；“计算机设置”列表显示系统中的当前安全策略。
分析状态标记如下。
红色的“X”表明与基本配置有差异。
绿色的“复选标记”表明与基本配置一致。
没有图标表明模板中不包含安全属性，因此不分析。
例如，“密码必须符合复杂性要求”策略，在安全数据库中的策略为“启用”，而在本地的系统设置为“停用”，分析状态标记为红色的“X”，表示配置不同。而“密码最长存留期”策略在安全数据库中的策略为“42天”，但在本地的系统设置为“42天”，分析状态标记为绿色的“复选标记”，表示配置相同。
（2）数据库策略修改
如果网络管理员认为安全数据库的安全策略不符合工作需要，可以更改目前的数据库设置。下面以更改“密码最长存留期”策略为例进行说明。
在“安全配置和分析”控制台的“密码策略”窗口中，右击“密码最长存留期”策略，从弹出的快捷菜单中选择“安全性”命令，显示“经过分析的安全策略设置”对话框，在“密码作废期”文本框中将原来的42天更改为7天，如图5-45所示。


图5-44 密码策略的分析结果 图5-45 “经过分析的安全策略设置”对话框
【注意】 选择“在数据库中定义这个策略”复选框。更改的策略只影响数据库，并不改变当前的计算机设置。
单击“确定”按钮完成当前的更改。“密码最长存留期”策略在安全数据库中的策略为“7天”，而在本地的系统设置为“42天”，分析状态标记由默认绿色的“复选标记”转变为红色的“X”，表示配置不同，数据库更新成功，如图5-46所示。

6．配置系统安全模板
在分析基于域的用户安全性时，不推荐使用“立即配置系统”。在这种情况下，应该返回到“安全模板”管理单元、修改模板，并重新将它应用于适当的“组策略”对象中。
（1）系统安全模板
无论何时要更改原始安全模板，都必须返回到“安全模板”中。
安全配置和分析工具提供解决显示的任何策略设置值的功能。
如果根据此计算机的环境（角色）确定本地系统的安全级别有效，则接受或更改某些或所有的已标记或不包含在配置中的值。当选择“立即配置系统”时，将更新基本配置中的这些属性值，并将它们应用到系统。
如果确定系统不符合有效的安全级别，则将系统配置为原始基本配置值。
根据计算机的角色，将更适合的模板导入到数据库中作为新的基本配置，并把它应用于系统中。
对存储在数据库中的模板进行更改，而不是对安全模板文件。如果返回到安全模板中并编辑此模板或将存储的配置导出到相同的模板文件中时，才会修改安全模板。
（2）安全模板应用
在“安全配置和分析”控制台中，设置工作数据库（如果当前没有设置工作数据库，该步骤是必须的）。
右击“安全配置和分析”，在弹出的快捷菜单中选择“立即配置系统”命令，显示“配置系统”对话框，提示分析日志存储位置，可以选择使用默认的错误文件路径，或输入日志的文件名和有效路径，如图5-47所示。


单击“确定”按钮，系统开始配置，在配置的过程中将显示不同的安全区域，如图5-48所示。配置完成，可以检查日志文件或复查结果。