在筆者單位的服務(wù)器上配置了嚴密的安全策略，如果想將其應(yīng)用到其他單位的主機上，還得逐一進行調(diào)配等。如果能夠自動批量設(shè)置所有與安全相關(guān)的組策略，無疑可以大大提高操作效率。使用系統(tǒng)自帶的安全模版，可快速批量修改相關(guān)的安全項目，提高了操作效率。

安全模版其實是由一些名稱不同的“.inf”文件組成。其定義了和本地權(quán)限，安全配置，本地組成員，服務(wù)，文件和目錄授權(quán)，注冊表授權(quán)等方面的內(nèi)容。管理員可以使用記事本的工具，對其進行復(fù)制、移動、修改等操作。例如，對于Windows Server 2012來說，就預(yù)設(shè)了“dc security.inf”，“Web server.inf”等。

對 于Windows Server 2003來說，其提供的“Setup security.inf”模版是默認的安全模版，定義了默認的安全配置?！癱ompatws.inf”是兼容模版，以“Secure”開頭的文件是安全模版，定義了諸如密碼復(fù)雜性策略，鎖定和審核策略等增強型的安全設(shè)置項目。以“hisec”開頭的文件是高級安全模版，可以對加密和簽名進行限制?！皉ootsec.inf”文件是系統(tǒng)根目錄安全模版，為系統(tǒng)盤中的目錄的權(quán)限進行定義?！癷esacls.inf”文件是IE瀏覽器安全模版，主要用來增強IE的安全性能。

圖1 安全模版設(shè)置窗口

執(zhí)行“mmc”程序，在控制臺中依次點擊菜單“文件”、“添加刪除/刪除管理單元”項，在彈出窗口左側(cè)選擇“安全模版”項，點擊“添 加”和“確定”按鈕：在控制臺左側(cè)依次選擇“安全模版”、“模版文件路徑”項，在其下顯示策略策略（包括密碼策略、賬戶鎖定策略等），本地策略（包括審核策略、用戶權(quán)限分配等），事務(wù)日志（和事件查看器相關(guān)的策略），受限制的組（控制哪些用戶可以進入本地組），系統(tǒng)服務(wù)（調(diào)整系統(tǒng)服務(wù)活動狀態(tài)），注冊表（對注冊表訪問權(quán)限進行控制）。選擇對應(yīng)的模版項目，可以對其中的配置項目進行調(diào)整（如圖1）。

除了使用系統(tǒng)自帶的安全模版外，可以自定義所需的模版。如在模版路徑節(jié)點的右鍵菜單上點擊“新加模版”項，在彈出窗口中輸入其名 稱（例如“NewTemplate”）和描述信息。之后選擇“NewTemplate”、“受限制的組”項，在右側(cè)窗口點擊右鍵，在彈出菜單中點擊“添加組”項，點擊瀏覽按鈕，選擇輸入組的名稱（例如“Administrators”），點擊“確定”按鈕，在彈出窗口中點擊“添加”按鈕，導(dǎo)入所需的組名（例如“Domain Admins”）。 這樣，就可將該組添加到本地的Administrators組中。其好處在于可以控制本地管理員組的成員。針對Administrators組進行上述受限制的策略配置，就只允許“Domain Admins”中的用戶擁有管理員權(quán)限，其余的用戶將被自動清理出本地的Administrators。

選擇“NewTemplate”、“文件系統(tǒng)”項，在在右側(cè)窗口的右鍵菜單上點擊“添加文件”項，選擇“D盤”，點擊“確定”按鈕，在彈出窗口中“組或用戶名”列表中只保留Administrators組，將其余的賬戶全部刪除。針對Administrators組啟用“完全控制”權(quán)限。這樣，只有管理員才可以對D盤中的文件進行完全控制。選擇“NewTemplate”、“系 統(tǒng) 服務(wù)”項，在右側(cè)列表中雙擊“Remote Registry”項，在彈出窗口（如圖2）中選擇“在模版中定義此策略設(shè)置”項，選擇“已禁用”項。這樣，額可以防止別人通過遠程注冊表服務(wù)，來隨意控制本機。

圖2 管理系統(tǒng)服務(wù)

選擇“NewTemplate”、“注冊表”項，在右側(cè)窗口的右鍵菜單上點擊“添加”項，選擇“MACHINESOFTWAREMicrosoftWindow sCurrentVersionRun”項，點擊“確定”按鈕，在彈出窗口中“組或用戶名”列表中之保留Administrators組，將其余的賬戶全部刪除，針對Administrators組之選擇允許讀取權(quán)限。這樣可防止無關(guān)程序隨意在啟動項中添加內(nèi)容。當(dāng)然，這里只是說明了幾個簡單的配置項目，您可以根據(jù)實際需要，對其進行更加復(fù)雜的安全設(shè)置。

當(dāng)配置好自定義模版后，在“NewTemplate”項的右鍵菜單上點擊“保存”項，即可在上述模版存儲路徑下得到名為“NewTemplate.inf”的文件。要想讓精心配置的模版發(fā)揮作用，需要使用安全配置和分析管理單元進行配合。執(zhí)行“mmc”程序，在控制臺中點擊菜單“文件”、“添加刪除/刪除管理單元”項，在彈出窗口左側(cè)選擇“安全配置和分析”項，點擊“添加”和“確定”按鈕：在控制臺左側(cè)選擇“安全模版”、“安全配置和分析”項，在其右鍵菜單上點擊“打開數(shù)據(jù)庫”項，輸入新的數(shù)據(jù)庫名稱，可以創(chuàng)建該數(shù)據(jù)庫。

之后在自動打開的導(dǎo)入模版窗口中選擇上述“NewTemplate.inf”文件，將該安全模版導(dǎo)入進來。在“安全配置和分析”項的右鍵菜單上點擊“立即配置計算機”項，就可以應(yīng)用該模版文件中的配置項目了。此外。利用安全模版，還可以對系統(tǒng)進行安全分析。在“安全配置和分析”項的右鍵菜單上點擊“立即分析計算機”選項，可以將當(dāng)前主機設(shè)置項目和安全模版中的內(nèi)容進行對不分析，找出兩者不同點。這樣就可以輕松查看本機上的安全設(shè)置究竟發(fā)生了哪些變化。