一旦合适的模板被更改,就可以通过配置和分析组件或者命令行工具进行安全分析和配置。这个过程可以在应用安全模板到本地系统的时候进行。
警告:给 XP系统应用安全模板可能造成性能和功能的丧失。
向MMC中载入安全配置和分析组件
要向MMC中载入安全配置和分析组件:
运行微软管理控制台(mmc.exe)
选择控制台 - 添加/删除组件
点击添加
选择安全配置和分析
点击添加
点击关闭
点击确定
为了避免下次使用MMC时重新载入需要的组件,我们可以把控制台设置保存起来:在控制台菜单,选择保存。默认情况下,文件将会被保存在当前登录用户的管理工具菜单中。
输入你要保存的控制台的名称
从这时开始,可以直接从开始-所有程序-管理工具直接访问保存后的控制台。
注意:MMC中同时可以载入多个不同的组件,例如,安全模板还有安全配置和分析模板可以一起载入MMC并保存供以后使用。
安全配置数据库 安全配置和分析组件使用数据库保存分析或者配置的设置,要使用GUI打开一个已有的或者新数据库:
在MMC中,在安全配置和分析节点上点击鼠标右键
选择打开数据库
输入已有或者新建的数据库的名称
点击打开
注意:建议每次进行新的配置和分析都创建一个新数据库。
配置文件可以通过以下几种方法导入数据库:
如果在打开数据库时已经输入了新数据库的名称,用户将被自动要求输入要导入的配置文件,否则:
在MMC左侧面板的安全配置和分析节点上点击鼠标右键
选择导入模板 在导入模板对话框,选择需要导入的inf文件
选中导入前清空数据库选项,以删除任何之前保存在数据库中的无用数据,见图10
图 10 注意:导入操作可能会附加或者复写之前导入的数据库信息,默认是附加。如果用户不想把几次分析的配置信息都综合起来,就在导入模板前选中"导入前清空数据库"选项。
警告:为了避免配置文件的混乱和混合,建议每次进行新的分析和配置前都选中这个选项。
点击打开
Secedit 命令行选项
Secedit.exe,曾经在第二章介绍过,是通过命令行或者批处理和/或计划任务的方式进行安全分析和配置时的有用工具。用secedit进行系统分析和配置时可用的参数有:
secedit {/analyze | /configure} [/cfg filename] [/db filename]
[/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
表15 解释了secedit.exe所有的运行参数。
表15 Secedit命令行参数 注意:secedit的/refreshpolicy参数(用于强制组策略更新)可用于 NT和Windows 2000,但已经不能在Windows XP中使用。这个参数被gpupdate.exe命令行工具取代了。
进行一次安全分析 安全分析是依靠数据库进行的,倒入数据库的配置文件决定分析的基线。配置文件中的安全设置跟当前系统的安全设置进行比较,并把比较获得的结果保存回数据库。基线的设置是依靠当前的系统设置的,配置信息也可以作为分析的结果进行修改。修改过的配置信息可以被导出到配置文件以供其它用途。
通过命令行工具进行安全分析 要通过命令行进行安全分析,可以在命令行窗口中执行以下命令:
secedit /analyze [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet][/overwrite] [>> results_file]
results_file 是包含了分析结果的文件名称,在察看分析结果是这个文件是尤其重要的。如果 >> results_file 是空的,输出的信息将会显示在屏幕上。
通过GUI进行安全分析 图11显示了通过系统配置和分析组件进行安全分析的示例,使用GUI进行安全分析可以采取以下操作:
图 11 在数据库节点上点击鼠标右键
选择现在分析计算机…
在进行分析对话框中输入错误日志的文件路径
注意:日志信息是附加到现有日志文件中的,因此如果要写入日志到新的文件就要指定新文件的名称。
点击确定
配置系统 在配置过程中,错误可能会导致存在于inf配置文件的某些特定的文件或者注册表键没有保存到系统中。但不用担心,inf文件会自动尝试恢复系统中跟配置文件不符合的部分。
通过命令行工具配置系统 要通过命令行工具一次配置所有可用的安全选项:
secedit /configure [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
警告:每次配置前输入新的数据库名称发生错误或者使用/overwrite参数可能导致不可预知的行为。例如,导入的配置文件可能会跟其它文件混合,并报告一些预料外的分析结果。
下面是使用命令行工具配置特定安全区域的示例:
secedit /configure /cfg "WinXP_workstation.inf" /db newdb.sdb /log logfile.txt /overwrite /areas REGKEYS FILESTORE
这个示例将导入WinXP_workstation.inf配置文件的文件系统和注册表权限设置并配置本地系统。
Configuring a System via the GUI
使用安全配置和分析组件进行系统配置可以按照以下步骤操作:
在数据库节点上点击鼠标右键
选择现在配置计算机….
在配置系统对话框,输入错误日志的文件路径
注意:日志信息会附加到现有的日志文件中,因此如果要写入日志到新的文件就要指定新文件的名称。
点击确定
注意:通过GUI进行系统配置时,模板中的所有配置都会被应用,而不像secedit.exe可以用参数决定应用哪些安全区域。
【责编:admin】
--------------------next---------------------