Windows NT家族的操作系統(tǒng)——Windows XP、Windows 2000、NT 4.0和NT 3.x一直以缺乏安全性飽受爭議。但實(shí)際上，這些操作系統(tǒng)（包括Novell Netware和各種Unix變種）都具有相當(dāng)好的安全性，它們都裝備了數(shù)以千計(jì)的“鎖”——這是一些操作系統(tǒng)用來確保安全性的部件，能夠讓我們作出只允許用戶A可以在對象B上實(shí)施動作C之類的規(guī)定。

NT和Netware之間的區(qū)別在于，雖然兩種操作系統(tǒng)都提供了這類鎖，但一個新裝的Netware系統(tǒng)中這些鎖默認(rèn)是鎖上的，管理員根據(jù)需要有選擇地打開某些鎖；而在一個新裝的N T操作系統(tǒng)中，大部分的鎖默認(rèn)處于打開狀態(tài)，管理員的任務(wù)是關(guān)閉某些可能引起安全隱患的鎖。（Windows Server 2003的情況有所不同，它的設(shè)計(jì)改用了Netware策略。相比之下，Win 2K默認(rèn)鎖上的選項(xiàng)要多于NT 4.0，而新裝的XP又比Win 2K Pro有更多的安全限制。）

對于NT系列平臺的管理員來說，這些鎖帶來的是一個兩難的局面：從理論上看，它們確實(shí)提供了保障服務(wù)器和工作站安全的機(jī)制；但實(shí)際操作起來卻要耗費(fèi)大量的時間。XP是一個優(yōu)秀的操作系統(tǒng)，但如果要我們檢查每一臺機(jī)器，依次調(diào)整數(shù)十種授權(quán)和權(quán)限選項(xiàng)來保證系統(tǒng)的安全，很多人會把XP或其他NT系列的操作系統(tǒng)看成代價昂貴和浪費(fèi)時間的代名詞。我們需要一種快速配置安全選項(xiàng)的辦法，它能夠根據(jù)要求自動批量設(shè)定所有與安全有關(guān)的配置。

這種辦法確實(shí)存在，它就是安全模板。安全模板是一種ASCII文本文件，它定義了本地權(quán)限、安全配置、本地組成員、服務(wù)、文件和目錄授權(quán)、注冊表授權(quán)等方面的信息。創(chuàng)建好安全模板之后，我們只要一個命令就可以將它定義的信息應(yīng)用/部署到系統(tǒng)，所有它定義的安全配置都立即生效——原本需要數(shù)小時修補(bǔ)注冊表、倒騰管理控制臺“計(jì)算機(jī)管理”單元以及其他管理工具才能完成的工作，現(xiàn)在只需數(shù)秒就可以搞定。

安全模板并非Windows Server 2003或XP獨(dú)創(chuàng)的功能，第一次提出這個概念的是NT 4.0 SP 4。安全模板是每一個管理員都必須了解的重要工具。安全模板不會讓你修改不能通過其他方式修改的安全選項(xiàng)，它只是提供了一種快速批量修改安全選項(xiàng)的辦法。凡是可以利用安全模板設(shè)置的安全選項(xiàng)，同樣可以使用Windows的GUI工具手工修改，但后者耗費(fèi)的時間肯定多得多。

一、安全模板可以批量修改的五類和安全有關(guān)的設(shè)置

1．管理組

模板能夠調(diào)整本地的組成員。如果你的用戶使用的是NT系列的桌面系統(tǒng)，或許你也在為這樣的問題煩惱：授予用戶哪些控制桌面系統(tǒng)的權(quán)限才合適？有的公司讓每一位用戶都擁有本地管理員權(quán)限，有些則授予Power Users權(quán)限，還有的只授予Users權(quán)限。

如果限制了用戶對自己桌面系統(tǒng)的管理權(quán)限，可以肯定的是，某些時候你不得不放寬限制，至少是臨時性地放寬。例如，假設(shè)設(shè)置一個工作站時只允許本地的Administrator帳戶成為本地Administrators組的成員，后來有一個維護(hù)人員為了方便“臨時”地將普通用戶帳戶提升為Administrators組的成員，本來他打算稍后恢復(fù)原來的設(shè)置，但后來卻忘記了。如果我們定義了一個“只有Administrator才能加入本地Administrators組”的安全模板，只要重新應(yīng)用一下這個模板就可以防止其他用戶進(jìn)入Administrators組。

當(dāng)然，模板不是隨時監(jiān)視安全設(shè)置選項(xiàng)確實(shí)已被采納的守護(hù)神，確保安全設(shè)置策略已被執(zhí)行的最好辦法是定期重新應(yīng)用整個模板，或者創(chuàng)建一個組策略來應(yīng)用模板（組策略大約每隔90分鐘重新應(yīng)用自己的設(shè)置信息）。凡是安全模板能夠做到的事情，組策略同樣都能夠做到，但如果使用組策略的話就要有一個Active Directory（AD）域，而模板卻沒有這方面的要求。

2．調(diào)整NTFS權(quán)限

安全模板能夠調(diào)整NTFS權(quán)限。例如，假設(shè)我們想要授予C:Stuff目錄System/完全控制和Aministrators/完全控制的NTFS權(quán)限，但禁止任何其他用戶訪問，模板可以方便地設(shè)定這些授權(quán)和限制。

另外，由于模板可以應(yīng)用到多臺機(jī)器（倘若使用組策略的話），我們可以將同樣的NTFS授權(quán)應(yīng)用到整個域。如果你和大多數(shù)NT管理員一樣，那么也一定對NT默認(rèn)的目錄權(quán)限（Everyone/完全控制）大為不滿，并決定加強(qiáng)ACL設(shè)置。但是，這個過程很容易出錯，以至于把ACL調(diào)整到?jīng)]有一個人能夠正常使用機(jī)器的地步。因此最好先做一些試驗(yàn)，找出適當(dāng)?shù)钠胶恻c(diǎn)，然后將平衡點(diǎn)的權(quán)限配置用模板表達(dá)出來，再將模板應(yīng)用到所有的系統(tǒng)。

3．啟用和禁用服務(wù)

模板可以啟用或關(guān)閉服務(wù)，控制誰有權(quán)啟動或關(guān)閉服務(wù)。你想要關(guān)閉大部分機(jī)器的IIS服務(wù)，只留下個別服務(wù)器運(yùn)行IIS嗎？這可不是一件輕松的工作，因?yàn)槟J(rèn)情況下，Win 2K和NT 4.0會把IIS安裝到所有服務(wù)器上（可喜的是，Windows Server 2003改正了這一做法。）除了IIS，你可能還希望禁止許多其他不必要的服務(wù)，可能還想對Server、Computer Browser、Index、Wireless Zero Configuration之類的服務(wù)痛下殺手，但是，到每一臺機(jī)器上逐個禁用這些服務(wù)實(shí)在太麻煩了，好在模板能夠幫助我們迅速完成這些工作。

安全模板允許我們停止（針對服務(wù)運(yùn)行的狀態(tài)）以及禁用（針對服務(wù)的啟動方式）服務(wù)。當(dāng)你開始了解模板時，會驚奇地發(fā)現(xiàn)模板允許我們控制哪些人有權(quán)開啟和關(guān)閉服務(wù)——了解Windows服務(wù)的ACL的人可能不是很多，但模板卻提供了調(diào)整這些ACL的途徑。例如，如果你想讓Mary有權(quán)開啟和關(guān)閉Server服務(wù)，卻又不想讓Mary成為管理員，現(xiàn)在可以通過模板來設(shè)置。

4．調(diào)整注冊表授權(quán)

安全模板允許我們調(diào)整注冊表的授權(quán)。注冊表包含了大量只能讀取、不能修改的信息。例如，假設(shè)有一個NT 4.0的工作站安裝了AutoCAD，現(xiàn)在把它升級到了Win 2K，但卻發(fā)現(xiàn)用戶需要本地管理員權(quán)限才能運(yùn)行AutoCAD。注冊表中究竟發(fā)生了什么事情才導(dǎo)致如此怪異的現(xiàn)象？

注重細(xì)節(jié)的應(yīng)用程序會在兩個注冊鍵下面保存其配置信息：HKEY_LOCAL_MacHINESOFTWARE和HKEY_CURRENT_USERSoftware。具有管理員權(quán)限的用戶負(fù)責(zé)初始的安裝以及大部分的配置，這些配置信息保存在HKEY_LOCAL_MACHINESOFTWARE注冊鍵下。但是，每一個用戶又必須根據(jù)自己的需要和愛好調(diào)整應(yīng)用程序，應(yīng)用程序需要一個適當(dāng)?shù)奈恢脕肀４孢@部分配置信息。如果應(yīng)用程序把所有的配置信息都保存在HKEY_LOCAL_MACHINESOFTWARE，普通用戶每次要修改配置時都要找管理員才行。

正是考慮到該問題，注重細(xì)節(jié)的應(yīng)用程序會把非關(guān)鍵性的配置選項(xiàng)（用戶個人的配置選項(xiàng)）保存在HKEY_CURRENT_USERSoftware注冊鍵下，所以我們應(yīng)該讓用戶擁有對該注冊鍵的寫入權(quán)限。也就是說，如果用戶沒有管理員權(quán)限，那么他至少要有HKEY_LOCAL_MACHINESOFTWARE注冊鍵的讀取權(quán)限、HKEY_CURRENT_USERSoftware注冊鍵的讀取和寫入權(quán)限。

遺憾的是，許多軟件廠商還沒有重視HKEY_LOCAL_MACHINESOFTWARE、HKEY_CURRENT_USERSoftware這兩個注冊鍵的區(qū)別，而是把所有配置信息都保存到了HKEY_LOCAL_MACHINESOFTWARE注冊鍵下。在NT 4.0下，這種處置辦法不會引起問題，因?yàn)镹T 4.0默認(rèn)允許所有用戶寫入HKEY_LOCAL_MACHINE，由于NT 4.0控制HKEY_LOCAL_MACHINE的ACL非常寬松，所以即使普通用戶也不會遇到問題。但在Win 2K中，注冊表ACL的默認(rèn)配置已經(jīng)變化，非管理員的用戶只有讀取HKEY_LOCAL_MACHINE的權(quán)限，所以用戶必須以本地管理員身份登錄才能正常運(yùn)行AutoCAD。

如何解決這類問題呢？獲取一份應(yīng)用軟件的新版本，或者將XP、Win2K的注冊表ACL放寬到NT 4.0的程序。如果采用后面的解決辦法，我們既可以用注冊表編輯器（對于XP或Windows Server 2003，使用Regedit，對于Win2K，使用Regedt32）手工執(zhí)行修改，也可以用模板來調(diào)整注冊表的授權(quán)。

其實(shí)，我們根本不必自己創(chuàng)建修改注冊表授權(quán)的模板，微軟已經(jīng)提供了一個：winntsecurity emplatescompatws.inf。微軟提供的另一個模板winntsecurity emplatesasicws.inf能夠把注冊表授權(quán)恢復(fù)到Win 2K的默認(rèn)狀態(tài)。

5．控制本地安全策略設(shè)置

安全模板能夠控制本地安全策略設(shè)置。每一臺機(jī)器都有許多本地安全策略設(shè)置，例如是否顯示出最后登錄系統(tǒng)的用戶名稱、多長時間修改本地帳戶的密碼，等等。在NT 4.0中，這些設(shè)置通過用戶管理器的本地版本（lusrmgr.exe）修改；在Win 2K中，修改工具是本地安全策略管理單元secpol.msc。

手工修改這類設(shè)置的步驟是：從控制面板的管理工具中啟動“本地安全策略”，或者點(diǎn)擊“開始”→“運(yùn)行”，輸入secpol.msc，點(diǎn)擊“確定”啟動本地安全策略管理器。本地安全策略管理器可以用來關(guān)閉或啟動系統(tǒng)審核功能、調(diào)整密碼管理策略、授予或者收回用戶操作XP和Win2K的許多權(quán)限、控制IP安全（IPSec）。實(shí)際上，“本地安全策略”管理器可能是Windows默認(rèn)提供的唯一控制IPSec的工具。

以上就是安全模板能夠調(diào)整的五個方面，所有這些安全選項(xiàng)的調(diào)整都只要一個安全模板文件就可以完成。

二、如何創(chuàng)建安全模板

下面我們從實(shí)踐應(yīng)用的角度介紹模板的應(yīng)用，示范如何為工作站或成員服務(wù)器創(chuàng)建一個模板，這個模板主要包括三方面的功能：首先，該安全模板能夠控制組的成員，即限制本地的Administrators組只能由本地Administrator帳戶和域的Domain Admins組加入；第二，該模板將設(shè)置F:adminstuff目錄的NTFS權(quán)限，只允許本地的Administrators組訪問；最后，該模板將禁止Indexing服務(wù)。

1．設(shè)置工具

我們知道，安全模板其實(shí)就是文本文件，因此從理論上講，我們可以用記事本來創(chuàng)建安全模板。不過事實(shí)上，用記事本創(chuàng)建安全模板的工作量相當(dāng)大，如果改用微軟管理控制臺的安全模板管理單元就要方便多了。Windows XP和2K都帶有該工具。

首先打開一個空的MMC控制臺。點(diǎn)擊“開始”→“運(yùn)行”，輸入“mmc /a”，按Enter鍵打開一個空白的MMC控制臺。

在該控制臺中，點(diǎn)擊“文件”（對于Win2K，點(diǎn)擊“控制臺”）→“添加/刪除管理單元”，打開“添加/刪除管理單元”對話框，點(diǎn)擊“添加”打開“添加獨(dú)立管理單元”對話框，在管理單元清單中選擇“安全模板”，依次點(diǎn)擊“添加”、“關(guān)閉”、“確定”。接下來就可以開始設(shè)置安全模板了。

在控制臺根節(jié)點(diǎn)下面有一個安全模板的圖標(biāo)——一臺加上了鎖的計(jì)算機(jī)，如圖一。擴(kuò)展該標(biāo)記，子節(jié)點(diǎn)顯示出了當(dāng)前系統(tǒng)安全模板的路徑。一般情況下，安全模板位于%systemroot%目錄的security emplates文件夾。擴(kuò)展該路徑節(jié)點(diǎn)，可以看到一組預(yù)制的安全模板；依賴于操作系統(tǒng)的版本和已安裝的Service Pack數(shù)量，預(yù)制安全模板的數(shù)量也可能不同。

圖一

例如，XP系統(tǒng)中有一個名為Setup Security的模板，該模板將注冊表和NTFS授權(quán)、用戶權(quán)限、系統(tǒng)服務(wù)的狀態(tài)恢復(fù)到安裝時的默認(rèn)設(shè)置。如果你在不斷試驗(yàn)安全選項(xiàng)的過程中搞亂了各種設(shè)置，Setup Security模板可以將所有選項(xiàng)快速恢復(fù)到默認(rèn)狀態(tài)（當(dāng)然，如果你想保留某些更改后的安全設(shè)置，部署Setup Security模板后這些設(shè)置就丟失了）。Win2K系統(tǒng)也有與Setup Security同樣的模板，針對工作站、成員服務(wù)器、域控制器，模板也有三個版本，分別是： basicws.inf、basicsv.inf和basicdc.inf。

其他預(yù)制模板將系統(tǒng)的安全調(diào)整到不同的級別。Securedc.inf（適用于域控制器）和securews.inf（適用于成員服務(wù)器和工作站）提供較低層次的安全，hisecdc.inf和hisecws.inf模板則提升系統(tǒng)的安全級別——必須指出的是，雖然“提升安全級別”聽起來很不錯，但在部署hisecdc.inf和hisecws.inf模板之前務(wù)必三思而后行，其中一些配置會給XP與Win 2K系統(tǒng)的使用帶來麻煩，特別是在Win 2K和XP系統(tǒng)與NT 4.0、Win 9x系統(tǒng)通信方面。

如果部署了高安全級別的模板后發(fā)現(xiàn)這些模板并不適用，你可以重新部署basic*.inf或Setup Security模板將系統(tǒng)恢復(fù)到默認(rèn)設(shè)置。預(yù)制的安全模板中還有一個compatws.inf模板，它的作用是將系統(tǒng)的NTFS和ACL設(shè)置成安全層次較低的NT 4.0設(shè)置；在Win XP和2K上，某些早期的應(yīng)用程序需要部署compatws.inf模板之后才能順利運(yùn)行。

點(diǎn)擊任意一個安全模板，右邊的窗格顯示出可以利用該安全模板控制的安全選項(xiàng)類別：

⑴ 帳戶策略：控制密碼策略、鎖定策略、Kerberos策略。

⑵ 本地策略：控制審核策略、用戶權(quán)利指派、安全選項(xiàng)。

⑶ 事件日志：控制事件日志設(shè)置和NT的事件查看器的行為。

⑷ 受限制的組：控制哪些用戶能夠或者不能夠進(jìn)入各種本地組。

⑸ 系統(tǒng)服務(wù)：啟動、關(guān)閉各種系統(tǒng)服務(wù)，控制哪些用戶有權(quán)修改系統(tǒng)服務(wù)的啟動方式。

⑹ 注冊表：控制修改或查看各個注冊鍵的權(quán)限，啟用注冊鍵的修改審核功能。

⑺ 文件系統(tǒng)：控制文件夾、文件的NTFS授權(quán)。

2．創(chuàng)建模板

基本知識已經(jīng)了解得差不多了，下面就讓我們從頭開始構(gòu)建一個模板。右擊模板的路徑（圖一是d:windowssecurity emplates，你的Windows可能有所不同），然后選擇菜單“新加模板”，輸入模板的名稱，假設(shè)是Simple。新的模板將在左邊窗格中作為一個節(jié)點(diǎn)列出，位于預(yù)制的模板之下。下面，作為一個試驗(yàn)，讓我們限制Administrators組、設(shè)置F:adminstuff的ACL、關(guān)閉Indexing服務(wù)。所有這些設(shè)置都可以在Simple節(jié)點(diǎn)下完成。

首先，我們要設(shè)置一下Administrator組，只允許本地的Administrator帳戶和域的Domain Admins組加入Administrators組。擴(kuò)展左邊窗格中的Simple節(jié)點(diǎn)，選中“受限制的組”。如果操作系統(tǒng)是XP，右邊窗格會顯示出“此視圖中沒有可顯示的項(xiàng)目”；如果是Win 2K，右邊窗格保持空白?，F(xiàn)在右擊“受限制的組”節(jié)點(diǎn)，選擇菜單“添加組”，在新出現(xiàn)的對話框中，點(diǎn)擊“瀏覽”并找到本地工作站或成員服務(wù)器的Administrators組。注意，這里我們要加入的是本地的Administrators組，而不是加入域的組；如果你用域的帳戶登錄工作站，“瀏覽”對話框?qū)⒓俣阆胍獜挠蚣尤虢M（而不是假定你要從工作站或成員服務(wù)器的本地SAM加入組）。返回“添加成員”對話框后，點(diǎn)擊“確定”。如果你使用的是XP，可以看到一個“Administrators屬性”對話框；如果是Win 2K，必須右擊右邊窗格中的Administrators然后選擇“安全”才能打開類似的對話框，但Win 2K對話框的標(biāo)題是“為Administrators配置成員”。

　在這個對話框中，如圖二，窗口上方有一個“這個組的成員”清單，窗口的下方有一個“這個組隸屬于”清單。點(diǎn)擊上面清單旁邊的“添加”按鈕打開“添加成員”對話框。

圖二

如果是Win 2K，點(diǎn)擊“瀏覽”按鈕并選擇域的Domain Admins組；如果是XP，點(diǎn)擊“瀏覽”按鈕打開的是一個“選擇用戶”對話框，如圖三，但Domain Admins不會出現(xiàn)在列表中，你必須首先點(diǎn)擊“對象類型”，選擇“組”，點(diǎn)擊“確定”返回“選擇用戶”對話框，選擇（或者輸入）Domain Admins。按照同樣的步驟加入Administrator帳戶。

圖三

接下來我們設(shè)置模板的第二部分，使得任何擁有F:adminstuff文件夾的系統(tǒng)把該文件夾設(shè)置成只允許本地管理員訪問。在左邊窗格中，右擊“文件系統(tǒng)”，選擇“添加文件”，在“添加文件或文件夾”對話框中找到或者輸入f:adminstuff目錄。

點(diǎn)擊“確定”，出現(xiàn)一個標(biāo)準(zhǔn)的NTFS權(quán)限設(shè)置對話框。現(xiàn)在刪除所有默認(rèn)提供的授權(quán)規(guī)則，加入對本地Administrators組的“完全控制”授權(quán)。注意NTFS安全設(shè)置對話框里還可以調(diào)整高級NTFS選項(xiàng)，例如設(shè)置審核功能、所有者權(quán)限等。點(diǎn)擊“確定”，系統(tǒng)會詢問是否把權(quán)限設(shè)置傳播給所有子文件夾和文件，根據(jù)需要選擇一個選項(xiàng)，點(diǎn)擊“確定”。

自CodeRed和Nimda肆虐以來，Indexing服務(wù)就引起了人們擔(dān)憂，在不必使用該服務(wù)的系統(tǒng)上，最好的選擇就是將它關(guān)閉。在控制臺左邊的窗格中，點(diǎn)擊“系統(tǒng)服務(wù)”，在右邊窗格中右擊Indexing服務(wù)，選擇“屬性”（對于XP）或者“安全”（對于Win 2K）。在“Indexing Service屬性”對話框中，如圖四，選中“在模板中定義這個策略設(shè)置”，這時系統(tǒng)顯示出“安全設(shè)置 Indexing Service”對話框，現(xiàn)在我們不需要設(shè)置該對話框的選項(xiàng)，因此點(diǎn)擊“取消”返回圖四的對話框。在圖四對話框中選擇“已停用”，然后點(diǎn)擊“確定”。

圖四

右擊控制臺左邊窗格中的Simple模板，選擇“保存”。現(xiàn)在winntsecurity emplates或windowssecurity emplates目錄下有了一個Simple.inf文件。

激活安全模板的命令是Secedit，命令語法為：secedit /configure /cfg /db /overwrite /log 。其中templatefilename是模板文本文件的名稱（本例是D:windowssecurity emplatessimple.inf），databasefilename是安全數(shù)據(jù)庫文件的名稱。

安全模板有點(diǎn)象程序的源代碼：人可以閱讀，但計(jì)算機(jī)不能直接識別，就象程序的源代碼必須編譯成二進(jìn)制執(zhí)行文件一樣，安全模板也必須轉(zhuǎn)換成二進(jìn)制格式的安全數(shù)據(jù)庫。Secedit既能夠編譯模板文件，也能夠部署二進(jìn)制的安全數(shù)據(jù)庫，但我們必須為安全數(shù)據(jù)庫指定路徑和文件名稱，例如C:securitysimple.db。

最后，Secedit還要報告處理經(jīng)過和結(jié)果，我們要指定一個日志文件的名稱，例如C:securitysimple.log。/overwrite選項(xiàng)告訴Secedit覆蓋任何同名文件。因此，本例中完整的Secedit命令應(yīng)該是：secedit /configure /cfg D:windowssecurity emplates simple.inf /db C:securitysimple.db /overwrite /log C:securitysimple.log。這個命令有點(diǎn)長，但顯然要比到每一臺機(jī)器上手工修改各個安全選項(xiàng)方便多了。你不妨試著編輯和部署幾個模板，相信這個強(qiáng)大的工具一定會讓你愛不釋手。