Windows XP安全模板配置指南

　　Windows XP操作系统提供了强大的安全机制，但是假如要一一设置这些安全配置，却是非常费时、费力的事，那么有没有一种可以快速配置安全选项的办法呢？答案是肯定的，用安全模板就能快速、批量地设定所有安全选项。

　　一、了解安全模板

　　“安全模板”是一种可以定义安全策略的文件表示方式，它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf格式的文本文件存在，用户可以方便地复制、粘贴、导入或导出某些模板。此外，安全模板并不引入新的安全参数，而只是将所有现有的安全属性组织到一个位置以简化安全性治理，并且提供了一种快速批量修改安全选项的方法。(本文是台州高校网 www.tzgx.net 推荐文章)

　　系统已经预定义了几个安全模板以帮助加强系统安全，在默认情况下，这些模板存储在“%Systemroot%\Security\Templates”目录下。它们分别是：

　　1.Compatws.inf

　　提供基本的安全策略，执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。“Power Users”组通常用于运行没有验证的应用程序。

　　2.Hisec*.inf

　　提供高安全的客户端策略模板，执行高级安全的环境，是对加密和签名作进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。

　　3.Rootsec.inf

　　确保系统根的安全，可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下，Rootsec.inf为系统驱动器根目录定义这些权限。假如不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其他卷应用相同的根目录权限。

　　4.Secure*.inf

　　定义了至少可能影响应用程序兼容性的增强安全设置，还限制了LAN Manager和NTLM身份认证协议的使用，其方式是将客户端配置为仅可发送NTLMv2响应，而将服务器配置为可拒绝LAN Manager的响应。

　　5.Setupsecurity.inf

　　重新应用默认设置。这是一个针对于特定计算机的模板，它代表在安装操作系统期间所应用的默认安全设置，其设置包括系统驱动器的根目录的文件权限，可用于系统灾难恢复。

　　以上就是系统预定义的安全模板，用户可以使用其中一种安全模板，也可以创建自己需要的新安全模板。　　

　　二、治理安全模板

　　1.安装安全模板

　　安全模板文件都是基于文本的.inf文件，可以用文本打开进行编辑，但是这种方法编辑安全模板太复杂了，所以要将安全模板载入到MMC控制台，以方便使用。

　　①依次点击“开始”和“运行”按钮，键入“mmc”并点击“确定”按钮就会打开控制台节点；

　　②点击“文件”菜单中的“添加/删除治理单元”，在打开的窗口中点击“独立”标签页中的“添加”按钮；

　　③在“可用的独立治理单元”列表中选中“安全模板”，然后点击“添加”按钮，最后点击“关闭”，这样安全模板治理单元就被添加到MMC控制台中了，如图1所示。

　　　　　　　　　　　　　　　　　　　　　　　图1　　

　　为了避免退出后再运行MMC时每次都要重新载入，可以点击“文件”菜单上的“保存”按钮，将当前设置为保存。

　　2.建立、删除安全模板

　　将安全模板安装到MMC控制台后，就会看到系统预定义的那几个安全模板，你还可以自己建立新的安全模板。

　　首先打开“控制台根节点”列表中的“安全模板”，在存储安全模板文件的文件夹上点击鼠标右键，在弹出的快捷菜单中选择“新加模板”，这样就会弹出新建模板窗口，在“模板名称”中键入新建模板的名称，在“说明”中，键入新模板的说明，最后点击“确定”按钮。这样一个新的安全模板就成功建立了。

　　删除安全模板非常简单，打开“安全模板”，在控制台树中找到要删除的模板，在其上面点击鼠标右键，选择“删除”即可。

　　3.应用安全模板

　　新的安全模板经过配置后，就可以应用了，你必须通过使用“安全配置和分析”治理单元来应用安全模板设置。

　　①首先要添加“安全配置和分析”治理单元，打开MMC控制台的“文件”菜单，点击“添加/删除治理单元”，在“添加独立治理单元”列表中选中“安全配置和分析”，并点击“添加”按钮，这样“安全配置和分析”治理单元就被添加到MMC控制台中了；

　　②在控制台树中的“安全配置和分析”上点击鼠标右键，选择“打开数据库”，在弹出的窗口中键入新数据库名，然后点击“打开”按钮；

　　③在安全模板列表窗口中选择要导入的安全模板，然后点击“打开”按钮，这样该安全模板就被成功导入了；

　　④在控制台树中的“安全配置和分析”上点击右键，然后在快捷菜单中选择“立即配置计算机”，就会弹出确认错误日志文件路径窗口，点击“确定”按钮。

　　这样，刚才被导入的安全模板就被成功应用了。

　　三、设置安全模板

　　1.设置账户策略

　　账户策略之中包括密码策略、账户锁定策略和Kerberos策略的安全设置，密码策略为密码复杂程度和密码规则的修改提供了一种标准的手段，以便满足高安全性环境中对密码的要求。账户锁定策略可以跟踪失败的登录尝试，并且在必要时可以锁定相应账户。Kerberos策略用于域用户的账户，它们决定了与Kerberos相关的设置，诸如票据的期限和强制实施。

　　(1)密码策略

　　在这里可以配置5种与密码特征相关的设置，分别是“强制密码历史”、“密码最长使用期限”、“密码最短使用期限”、“密码长度最小值”和“密码必须符合复杂性要求”。