安全模板是 Windows 2000 的新特性。它是 安全配置的物理表示方法，由 Windows 2000 支持的安全屬性的文件（ .inf ）組成。它將所有現(xiàn)有的安全屬性組織到一個(gè)位置以簡(jiǎn)化安全性管理。安全模板所包含的安全性信息有這樣七類：帳戶策略、本地策略、時(shí)間日志、受限組、文件系統(tǒng)、注冊(cè)表、系統(tǒng)服務(wù)。安全模板也可以用作安全分析。 .

二、適用范圍

Windows 2000 專業(yè)版和服務(wù)器版

三、 模板：

微軟推薦了 一系列 Windows 2000 安全配置模板

W2KHG_baseline.inf – 應(yīng)該應(yīng)用于所有計(jì)算機(jī)的通用設(shè)置。

W2KHG_MemberWks.inf – 只針對(duì)作為域成員的工作站的設(shè)置。

W2KHG_MemberLaptop.inf – 只針對(duì)作為域成員的便攜式計(jì)算機(jī)的設(shè)置。

W2KHG_MemberServer.inf – 只針對(duì)與域連接的服務(wù)器的設(shè)置。

W2KHG_DomainController.inf – 只針對(duì)域控制器的設(shè)置。

W2KHG_StandaloneWKS.inf – 只針對(duì)獨(dú)立工作站的設(shè)置。

W2KHG_StandaloneSrv.inf – 只針對(duì)獨(dú)立服務(wù)器的設(shè)置。

安全模板可以從 http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下載

四、查看和編輯安全配置模板

1 、將所需的模板復(fù)制到“ %Systemroot%SecurityTemplates ”目錄中或硬盤的其他某一位置。

注意：如果您將它們復(fù)制到不同的位置，則需要 (a) 適當(dāng)?shù)乇ＷC該位置的安全，以使用戶無(wú)法修改模板， (b) 將其添加到 MMC 的安全模板管理單元中。

2 、單擊“開始”，單擊“運(yùn)行”，鍵入 mmc.exe ，然后單擊“確定”。

3 、在“控制臺(tái)”菜單上，單擊“添加 / 刪除管理單元”，然后單擊“添加”。

4 、選定“安全模板”，單擊“添加”，單擊“關(guān)閉”，然后單擊“確定”。

5 、要保存管理單元設(shè)置，請(qǐng)單擊“控制臺(tái)”菜單上的“保存”。鍵入此控制臺(tái)的名稱，然后單擊“保存”。

6 、在“安全模板”管理單元中，雙擊“安全模板”。

7 、雙擊默認(rèn)的路徑文件夾 (%Systemroot%SecurityTemplates) ，然后雙擊要修改的安全配置模板。

8 、雙擊要修改的安全策略（例如“帳戶策略”）。

9 、單擊要自定義的安全區(qū)域（如“密碼策略”），然后雙擊要修改的安全屬性（如“密碼長(zhǎng)度最小值”）。

10 、修改步驟與本文檔的“安全配置”一節(jié)中所述的步驟相同。

11 、完成修改后，右鍵單擊已修改的安全配置模板的名稱，然后單擊“保存”。

五、使用模板

1 、 用具有管理權(quán)限的帳戶登錄計(jì)算機(jī)。

2 、將所需的模板復(fù)制到系統(tǒng)分區(qū)的“ %Systemroot%SecurityTemplates ”（或“ C:WINNTSecurityTemplates ”）文件夾中。

3 、單擊“開始”，單擊“運(yùn)行”，鍵入 mmc.exe ，然后單擊“確定”。

4 、在“控制臺(tái)”菜單上，單擊“添加 / 刪除管理單元”，然后單擊“添加”。

5 、選擇“安全配置和分析”，單擊“添加”，再單擊“關(guān)閉”，然后單擊“確定”。

6 、要保存管理單元設(shè)置，請(qǐng)單擊“控制臺(tái)”菜單上的“保存”。

7 、在“安全配置和分析”管理單元中，右鍵單擊“安全配置和分析”。

如果還未設(shè)置一臺(tái)工作數(shù)據(jù)庫(kù)，單擊“打開數(shù)據(jù)庫(kù)”以設(shè)置一臺(tái)工作數(shù)據(jù)庫(kù)。鍵入新數(shù)據(jù)庫(kù)的名稱，以“ .sdb ”為擴(kuò)展名，然后單擊“打開”。找到安全配置模板，并選定它，這樣它就會(huì)出現(xiàn)在“文件名：”文本框中。選定“清除此數(shù)據(jù)庫(kù)”并單擊“打開”。

如果已設(shè)置工作數(shù)據(jù)庫(kù)，單擊“導(dǎo)入模板”。找到安全配置模板，并選定它，這樣它就會(huì)出現(xiàn)在“文件名：”文本框中。選定“清除此數(shù)據(jù)庫(kù)”并單擊“打開”。

8 、右鍵單擊“安全配置和分析”，然后單擊“立即配置計(jì)算機(jī)”。一個(gè)窗口出現(xiàn)，顯示出錯(cuò)誤日志文件的路徑，這時(shí)單擊“確定”。

注意：安全設(shè)置可立即設(shè)置好，部分設(shè)置盡管已被應(yīng)用，但它們只有在重啟計(jì)算機(jī)后才生效。

9 、關(guān)閉“安全配置和分析”工具，并重啟計(jì)算機(jī)。

六、幾個(gè)必須修改的參數(shù)

1 、安全日志的設(shè)置：因?yàn)榘踩罩臼怯涗浺粋€(gè)系統(tǒng)的重要手段，因此通過日志可以查看系統(tǒng)一些運(yùn)行狀態(tài)，而 Windows 2000 的默認(rèn)安裝是不開任何安全審核的，因此需要在安全模板→審核策略中打開相應(yīng)的審核。單擊“本地策略→審核策略”

設(shè)成：審核策略更改 成功，失敗

審核登錄事件 成功，失敗

審核對(duì)像訪問 成功，失敗

審核過程跟蹤 成功，失敗

審核目錄服務(wù)訪問 失敗

審核特權(quán)使用 失敗

審核系統(tǒng)事件 成功，失敗

審核帳戶登錄事件 成功，失敗

審核帳戶管理 成功，失敗

然后按右鍵保存

2 、賬號(hào)安全設(shè)置： Windows 2000 的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)和共享列表，造成一些密碼容易泄漏而對(duì)電腦進(jìn)行攻擊，所以必須采用以下進(jìn)行安全設(shè)置。單擊“帳戶策略→密碼策略”，這個(gè)項(xiàng)目。

設(shè)成： 在密碼策略中設(shè)置：?jiǎn)⒂?“ 密碼必須符合復(fù)雜性要求 ” ， “ 密碼長(zhǎng)度最小值 ” 為 12 個(gè)字符， “ 強(qiáng)制密碼歷史 ” 為 5 次， “ 密碼最長(zhǎng)存留期 ” 為 30 天。 然后按右鍵保存

3 、 安全選項(xiàng)設(shè)置：?jiǎn)螕?“ 本地策略 → 安全選項(xiàng) ” ，找到右欄 “ 對(duì)匿名連接的額外限制 ” 。雙擊對(duì)其中有效策略進(jìn)行設(shè)置，選擇 “ 不允許枚舉 SAM 賬號(hào)和共享 ” 。因?yàn)檫@個(gè)值是只允許非 NULL 用戶存取 SAM 賬號(hào)信息和共享信息，一般選擇此項(xiàng)。 然后按右鍵保存

注意：改動(dòng)過后請(qǐng)重復(fù)第五步?。ɑ蛘咴诳刂泼姘?-> 管理工具 -> 本地安全策略的相關(guān)條目里修改