用好安全模板與分析工具

引言： Windows Server 2012有安全模板，它可以作用于DC和服務器中有關角色和應用的高級別的安全設置，這些.inf文件可以被導入進GPOs (Group Policy Objects)；更進一步，安全模板可以導入到安全數據庫，用于配置那些沒有活動目錄AD的個別服務器。

從安全模板談起

Windows Server 2003（以 下 簡 稱WS2003，Windows Server 2012簡稱WS2012等）中，系統就提供有安全模板（Security Templates），默認位置為%systemroot%security templates，其中包含有模板 如Setup Security.inf和 Compatws.inf，前 者 是在系統安裝時便生成，不同安裝方式（如純安裝和升級安裝）其內容有所不同；模板Compatws.inf則涉及訪問控制列表，包括用戶組文件及其注冊信息。此外，還有多個模板文件如DC security.inf 、Securedc.inf、Rootsec.inf等。但WS2008之后版本，安全模板默認位置 是 在%systemroot%inf，而且限制性更強，模板包括：Defltbase.inf，Defltsv.inf，Defltdc.inf，DCfirst.inf（域內的第一個域控制器DC）。

那么這些模板作用是什么呢？它可以作用于DC和服務器中有關角色和應用的高級別的安全設置，這些.inf文件可以被導入進GPOs(Group Policy Objects)；更進一步，安全模板可以導入到安全數據庫，用于配置那些沒有活動目錄AD的個別服務器。微軟網站提供了一個工具SCW，可以將安全數據庫中的配置與本地服務器進行比較和分析，便于系統安全維護。

如何生成一個新的安全數據庫

為系統安全配置進行分析了解，管理員有必要生成一個安全數據庫。筆者僅以英文版WS2012 R2為例介紹生成方法：

1.以本地管理員身份登錄系統，在開始菜單運行“mmc”命令，然后從“File”菜單選取“Add/Remove Snapin…”；2.出現“Addor RemoveSnap-ins” 對話框，從下拉列表選擇“Security Configuration and Analysis”，依次點擊“Add”和“OK”按鈕；

3.在MMC窗口內，右鍵“Security Configuration and Analysis”后從菜單選取“Open Database”選項；

4.看 到“Open database”對話框，輸入新數據庫的名稱；

5.進 入“Import Template”對話框，此時需要選取一個.inf文件對安全數據庫進行配置，此時需要打開WS2012 R2提供的默認安全模板，例如Defltsv.inf，幾秒之后便完成。

如何分析服務器安全狀況

建立好了新的安全數據庫即可通過庫內設置項與本地機器進行比較：

1.在MMC左側面板有一項名為“Security Configurationand Analysis”，右擊后從菜單選取“Analyze Computer Now”，對錯誤記錄文件等一律選“OK”；

2.在MMC窗口內，將“Security Configuration and Analysis”欄目下的“Account Policies” 進 行擴展，對其中的密碼策略“Password Policy” 進 行點擊，在MMC中會看到Password Policy的逐項設置，還有“Database Setting”列表以及本地機器設置。假設登錄的是一部獨立的服務器，還沒有改變默認設置，那么數據庫和本地機設置應該是一致的。

還可對數據庫中的安全設置項進行編輯，例如：

1.在MMC窗口內，將“Security Configuration and Analysis” 欄 目 下的“Account Policies” 加以擴展后點擊“Password Policy”；

2.雙擊面板中的“Password must meet complexity requirements”（密碼必須適用復雜環境），此時需要勾選“Define this policy in the database”，將策略設置從Enabled改變為Disabled后選“OK”；

3.右點MMC中的“Security Configuration and Analysis” 后 選 擇“Save”。類似的操作適用于安全數據庫中的任何策略設置，此處不作贅述。

如何對服務器進行安全配置

可以通過安全數據庫中的設置對服務器進行配置：在MMC 中右擊“Security Configuration and Analysis”后，從菜單選擇“Configure Computer Now”即可完成。

經過一段時期后，安全數據庫設置趨于完善，可以將該設置導出為.inf文件，以用于其他系統或通過組策略發布。實現方式為：在MMC中右點“Security Configuration and Analysis”后，從菜單選取“Import Template”即可。

功能全面的安全管理工具SCM

在微軟網站提供了免費 工 具 SCM （Security Compliance Manager），便于管理員進行系統安全維護和組策略設置，它還能夠跟蹤安全模板基準的變化情況。雖然SCM可以而且被多數人直接安裝到WS2012，但微軟建議將其安裝到管理工作站。SCM 安裝要求的系統配置有：.NET Framework 、SQL Express Server 2008以及Microsoft Visual C++。

安裝完成后啟動SCM，它會自動導入安全基準模板，為此需要幾分鐘。重啟SCM后，可能會提示下載更新安全模板，此時就會啟動向導工具“Import Baselines Wizard”：對于每個模板的安全提示均點擊“Run”按鈕 ，選擇相應的更新模板后 進 入“Baseline details”頁面，點擊“Import”后在“Results”頁面點擊“Finish”按鈕。

然后，在SCM左側面板就會看到所有導入的基準模板的列表。此時，如果我們擴展開左側面板的WS2012欄目，就會看到針對多個不同服務器角色的基準模板，如域控制器DC和File Server。微軟建議服務器僅采用這樣三類安全模板：Domain Controller,Domain Security以 及Member Server 。

在所列模板中有一個是WS2012 Member Server Security Compliance 1.0，可以對其復制并進行某些設定，具體操作為：

1.在SCM 中點擊該模板，然后點擊“Duplicate”按鈕；

2.在“Duplicate”對話框中，給出模板的新名稱并點擊“Save ”按鈕；

3.這樣，新的模板便出現在左側面板中，然后點擊“Network Security”: “Do not store LAN manager hashes on next password change” 選項 ；

4.看到在默認時該設置為Enabled ，現在將其改為Disabled，方法為從“Customize”下拉菜單中選取Disabled，等幾秒完成后點擊“Collapse”即可。

SCM有一項很重要的功能是能夠比較兩個模板，發現兩者不同并選出佳者，具體操作為：

1.在SCM中，擴展開左側的“Custom Baselines,Windows Server 2012”選項，然后選取剛才特制的模板；

2.點擊右側面板的“Compare / Merge”選項；

3.在“Compare Baselines”對話框內，擴展開“Microsoft Baselines,Windows Server 2012”選 項 后，選 擇“WS2012 Member Server Security Compliance 1.0”選項后點擊“OK”；

4.我們會直接看到SCM所發現的不同設置，比如Network安全項目中的LAN Manager配置有問題，此時我們可以進行彌補。

5.在SCM中 點 擊“Merge”選項，進入“Merge Baselines”窗口后在“LAN Manager”設置項中點擊“Enabled”，然后輸入指定的新的基準模板即可。

SCM除了用于安全設置的分析與管理外，它對組策略（GP）也頗具工具性，其實管理員完全可以將GP設置加入到基準中去。現在，假設需要生成一個新的設置組，其設置在默認模板并未包括，那么具體實現方式是：

1.在SCM中，從左側選取想要加入設置的基準模 板，然后點擊“Setting Group”欄目下的“Add”按鈕；

2.在“Setting Group Properties”屬性對話框中輸入“Windows Installer”后點擊“Add”按鈕；

3. 在“Add Settings”對話框中，從產品列表選擇“Windows Server 2012”選項；

4. 從“Setting Group”菜 單 選 擇“Windows Installer”選項；

5.從“Choose Settings”中的下拉菜單選擇“Computer Configuration”選項；

6.出現一個新的菜單，將其設置到“Administrative Templates”選項，設置好菜單“Windows Components”和 “Windows Installer”選項；

7.從設置列表中選 擇“Prohibit nonadministrators from applying vendor signed updates”后點擊“Add”按鈕。此時，從SCM的設置模板列表中就會看到有“Windows Installer組”，增加的設置就在這里。