Windows XP 安全指南
第 5 章:确保独立 Windows XP 客户端的安全
本页内容
概述不是基于 Active Directory® 目录服务的域成员的 Microsoft® Windows® XP Professional 计算机面临着一些独特的管理挑战。本章论述如何最有效地应用和管理本指南前面的章节中推荐的策略设置。规定的策略设置将有助于确保组织中运行 Windows XP Professional 的独立桌面和便携式计算机是安全的。这些设置是通过本地策略应用的,适用于登录到客户端计算机的所有用户,包括本地管理员。 本章不针对 Windows XP 中所有可用的策略设置提供指导。但是,规定的策略设置将提供一个安全的操作环境,可避免遭受最新威胁,并允许用户继续使用他们的计算机。您应用的任何策略设置应该基于组织的安全目标。 Windows NT 4.0 域中的 Windows XP非 Active Directory 域环境中 Windows XP 客户端计算机的一个特定示例是 Microsoft Windows NT® 4.0 域中基于 Windows XP 的计算机。在此类环境中,Windows XP 客户端被视为独立计算机。此类环境需要更多的管理开销,因为没有一个中央位置可用来管理策略设置。Microsoft 建议您安装带有 Service Pack 6a (SP6a) 的基于 Windows NT 4.0 的域控制器以及最新的更新。Windows NT 4.0 SP6a 包含许多用于 NTLM 身份验证的更新。如果没有这些更新程序,Windows NT 4.0 域中的 Windows XP 计算机可能会遇到域或网络连接和通信问题。管理员应经常进行更新检查。 与以前版本的 Windows 相比,Windows XP Professional 提供了更多的策略设置,这使您可以更好地自定义用户和计算机设置。除 Windows 2000 Professional 已经提供的策略设置之外,Windows XP Professional 还提供了数百个新的本地策略设置。本地策略是一个强大的管理功能,它允许您锁定并微调您的桌面计算机。它还引入了许多可能不同的自定义方案。域管理员是加入域的所有客户端计算机上本地管理员组的成员;因此,Windows XP 客户端计算机的安全性将等于其所属的域的安全性。 原有环境中的 Windows XP 客户端计算机使用第 3 章“Windows XP 客户端安全设置”中安全模板的修改版本,来确保它们可以与 Windows NT 4.0 域控制器通信。这些策略设置通过本章末尾介绍的脚本进行应用。 要与 Windows NT 4.0 域控制器进行通信,请在“计算机配置\Windows 设置\安全设置\本地策略\安全选项”下面修改下列策略设置:
本指南附带的旧客户端安全模板文件中预先配置了这些策略设置。 本地组策略对象设置每个 Windows XP Professional 操作系统都有一个本地组策略对象 (LGPO)。策略设置可通过组策略对象编辑器或脚本手动应用到 LGPO。LGPO 包含的策略设置少于基于域的 GPO,特别是在“安全设置”之下。当 LGPO 被配置为独立客户端计算机时,它不支持文件夹重定向、远程安装服务或组策略软件安装,但您可以使用它们在这样的计算机上提供一个安全的操作环境。 下表显示将组策略管理单元集中在 LGPO 上时将打开哪些组策略管理单元扩展。 表 5.1 组策略管理单元扩展
帐户策略帐户策略包括密码策略、帐户锁定策略和 Kerberos 策略设置。密码策略可以通过其能力帮助保护大多数环境,这种能力要求密码符合复杂性要求,并且经常更改。帐户锁定策略能够在一系列失败的登录尝试之后自动禁用帐户。Kerberos 策略设置确定域用户帐户的 Kerberos 相关属性,例如“用户票证最长寿命”和“强制用户登录限制设置”。但是,这些策略设置不用于独立客户端计算机,因为独立客户端计算机不属于某个域。 通常,帐户策略是在域级别设置的,因此是针对域客户端计算机进行配置的。对于独立 Windows XP 客户端计算机,必须在本地应用这些策略设置,类似于本指南第 2 章“配置 Active Directory 域基础结构”中介绍的策略设置。 本地策略本地策略(位于“计算机配置\Windows 设置\安全设置”下)将使用本指南第 3 章“Windows XP 客户端安全设置”中描述的模板应用于客户端计算机。可以将这些模板与为独立客户端计算机创建的模板结合使用;您可以通过应用于环境中多台计算机的脚本自动应用安全模板。下一节介绍创建和部署本地策略的过程。 将安全模板导入 Windows XP有许多不同的模板可用于通过脚本配置独立客户端计算机;您应该使用支持客户端的安全要求的模板。前一节论述了本地策略设置以及如何使用组策略对象编辑器配置它们。您可以使用提供的模板为联网或独立环境中的许多客户端计算机自动执行配置过程。本节将介绍如何自动执行安全策略的配置。 配置安全模板是代表安全配置的文件。要将安全模板导入到本地计算机,您可以将它们导入到 LGPO。第 3 章“Windows XP 客户端安全设置”中创建的模板将用于配置本地策略。管理员将使用 Microsoft 管理控制台 (MMC) 安全配置和分析管理单元、安全模板管理单元和 Secedit.exe 来创建帐户策略并在独立客户端计算机上合并两个安全模板。 创建安全数据库要在独立客户端计算机上自动执行导入安全设置过程,您必须创建一个引用数据库以写入本地安全策略。基线数据库是使用 MMC 安全配置和分析管理单元创建的。以下步骤可用于创建 XP 默认的 Security.sdb 数据库。该数据库使用 Setup security.inf 文件作为模板来为独立客户端计算机建立默认的策略设置。 创建新的默认安全数据库
此过程将使用要在自动化过程中使用的默认安全设置创建一个数据库文件。将安全数据库复制到与复制脚本和信息文件相同的文件夹。自定义脚本将用于配置数据库,该数据库将配置本地安全策略。管理员可以执行类似步骤来创建自定义数据库,而不使用本指南提供的数据库。 创建自定义模板您可以使用 MMC 安全模板管理单元来定义模板中的安全策略设置,然后可以将其应用于本地计算机。下列步骤用于通过第 2 章“配置 Active Directory 域基础结构”中的“帐户策略”表中的策略设置来创建 Standalone-EC-Account.inf 和 Standalone-SSLF-Account.inf 模板。 创建自定义模板
创建文件之后,您可以在 %windir%\security\templates 之下找到它们。将安全模板复制到创建安全数据库时使用的文件夹,以便运行脚本。这些文件将在下一个阶段用于自动导入模板。 应用策略当需要在多台计算机上配置安全性时,Secedit.exe 工具很有用。您可以在命令提示符处、从批处理文件或从自动任务计划程序调用 Secedit.exe,以自动创建和应用模板。您也可以从命令提示符处动态运行该工具。本指南提供的脚本使用 Secedit.exe 工具来合并本地策略并将其应用到客户端计算机。 手动应用本地策略要应用本指南附带的独立安全模板的 .inf 文件中的所有策略设置,请使用 MMC 安全配置和分析管理单元,而不使用本地计算机策略管理单元。使用本地计算机策略管理单元不能导入安全模板,因为该单元不允许为系统服务应用安全策略设置。 要导入并应用安全模板,请使用安全配置和分析管理单元来完成下列过程中的步骤。 导入安全模板
将导入模板中的所有策略设置,之后您可以查看或应用这些策略设置。 应用策略设置
必须为每个环境同时导入这两个模板。安全模板中所有相关策略设置都将应用到客户端计算机的本地策略。以下部分描述了通过本地策略应用的策略设置。 Secedit此工具配置和分析系统安全性;为此,它会将您的当前配置与至少一个模板相比较。使用 Secedit.exe 工具的语法如下: secedit /configure /db <FileName> [/cfg <FileName>] [/overwrite][/areas <Area1> <Area2> ...] 以下列表解释 Secedit.exe 工具的参数。
自动脚本使用脚本来将相同的策略设置应用到许多客户端计算机始终更为容易。您可以使用本章前面介绍的 Secedit.exe 工具来通过一个简单的脚本自动执行本地策略的应用过程。将脚本和所有关联文件复制到本地硬盘上的某个子目录,然后从该子目录执行脚本。 您可以使用下列脚本来将安全模板导入 LGPO,以保护您的环境中独立的 Windows XP 客户端计算机。 重要:确保安全数据库文件 XP Default Security.sdb 未标记为只读。要使下列脚本正常运行,它必须能够对该文件进行更改。 REM (c) Microsoft Corporation 1997-2005
REM Script for Securing Stand-Alone Windows XP Client Computers REM REM Name:
Standalone-EC-Desktop.cmd REM Version: 2.0
REM This CMD file provides the proper secedit.exe syntax for importing
REM the security policy for a secure stand-alone Windows XP desktop
REM client computer.Please read the entire guide before using this REM CMD file.
REM Resets the Policy to Default Values secedit.exe
/configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
REM Sets the Account Settings secedit.exe /configure /db
"XP Default Security.sdb" /cfg "Standalone-EC-Account.inf" /overwrite /quiet
REM Sets the Security Settings secedit.exe /configure
/db "XP Default Security.sdb" /cfg "EC-Desktop.inf"
REM Deletes the Shared Folder reg delete
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
MyComputer\NameSpace\DelegateFolders\
{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f
REM Updates the Local Policy gpupdate.exe /force下表列出了本指南包含的脚本及其关联文件。每个环境中的桌面和便携式客户端计算机均有一些文件。 表 5.3 独立脚本和文件
表 5.4 旧版脚本和文件
总结Windows XP 本地策略是一种非常有用的方式,可以向不是 Active Directory 域成员的 Windows XP 系统提供一致的安全策略设置。要有效地部署本地策略,请确保做到以下几点:了解如何应用本地策略;使用正确设置对所有客户端计算机进行配置;为环境中的每台计算机定义适当的安全性。 更多信息以下链接提供有关 Windows XP Professional 安全相关主题的附加信息。
|
本文内容
|
