文/Microsoft China.
Windows 2000 安全策略
本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序。默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory® 容器中的所有计算机。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构。
创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。
计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略。
可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC) 。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响。
存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略。
注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效。
本地安全策略
使用本地安全策略可以在本地计算机中设置安全要求。其主要用于单独计算机或用于将特定安全设置应用于域成员。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级。
• 打开本地安全策略
1.以管理员权限登录到计算机。
2.在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。
3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。
图 1:本地安全设置 域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。
• 打开域安全策略
1.打开“Active Directory 用户和计算机”管理单元。
2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。
3.单击“组策略”选项卡。
4.单击“编辑”按钮。
5.展开“Windows 设置”。
6.在“安全设置”树中执行安全配置。
组织单位组策略对象
应该使用 OU 管理域中的安全策略。此域已经与域控制器 OU 一起提供。但是,可以根据需要定义其他 OU。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等。
OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。
其他安全配置界面
为了便于讨论和实施,本文档重点介绍有关通过 Windows 2000 安全策略管理安全设置。但是,在独立计算机上,这些界面不可用,甚至在域成员中有时需要逐一管理安全性,而不是通过组策略进行管理。有许多独立工具可以用于执行这些任务。最常使用的是所有 Windows 2000 系统都附带的安全配置编辑器。
安全配置编辑器
管理配置编辑器 (SCE) 由 Microsoft 管理控制台 (MMC) 两个管理单元组成,用于提供对 Windows 2000 操作系统进行安全配置和分析的功能。第一个管理单元是“安全模板”管理单元,可以为管理员提供管理 .inf 文件(用于应用安全设置)的图形方式。第二个管理单元是“安全配置和分析”管理单元,用于管理员分析与特定模板相关的系统的安全性以及将模板中的设置应用于系统。这些界面如图 2 所示。为了查看这些管理单元,必须创建一个新的控制台。
• 创建新的控制台
1.单击“开始”,然后单击“运行...”并运行 MMC。
2.MMC 出现后,单击“控制台”,然后单击“添加/删除管理单元...”。接着,单击“添加...”,然后双击“安全配置和分析”以及“安全模板”。
3.单击“关闭”和“确定”返回控制台。为了将来使用,现在可以保存此控制台以便在“开始”菜单上的“管理工具”文件夹中可用。
图 2:安全配置编辑器
使用 SCE 工具,管理员可以配置 Windows 2000 操作系统的安全性,然后执行对系统的定期分析以确保保持配置完整或者随时间推移进行必要的更改。这些工具可以有效地提供对组策略“安全设置”树中显示的每一项内容的访问能力。
有关使用 SCE 工具的详细信息,请参阅:http://www.microsoft.com/。
其他工具
有许多 Windows 2000 附带的其他工具可以用于管理安全性。本部分简要介绍其中的一些工具。估计管理员已熟悉这些工具并且不需要对这些工具进行更多的介绍。
• Windows Explorer – 允许配置文件系统上的随机访问控制列表 (DACL) 和系统访问控制列表 (SACL)。
• Regedt32.exe – 允许配置注册表上的 DACL 和 SACL。
• Cacls.exe – 命令行工具,此工具允许配置和查看文件系统 DACL。
• Net.exe – 命令行工具,可以用于创建和配置用户帐户和组成员身份以及用于配置各种设置(如系统在网络浏览列表中是否可见)。
• Netsh.exe – 命令行工具,用于配置网络参数。
• Secedit.exe – 命令行工具,提供与 SCE 工具相同的功能。