Chinaunix首页 | 论坛 | 博客
  • 博客访问: 376652
  • 博文数量: 1051
  • 博客积分: 53280
  • 博客等级: 大将
  • 技术积分: 6670
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 13:21
文章分类

全部博文(1051)

文章存档

2011年(1)

2008年(1050)

我的朋友

分类:

2008-09-09 15:45:21


  一旦合适的模板被更改,就可以通过配置和分析组件或者命令行工具进行安全分析和配置。这个过程可以在应用安全模板到本地系统的时候进行。
  
  警告:给 XP系统应用安全模板可能造成性能和功能的丧失。
  
  向MMC中载入安全配置和分析组件
  
  要向MMC中载入安全配置和分析组件:
  运行微软管理控制台(mmc.exe)
  选择控制台 - 添加/删除组件
  点击添加
  选择安全配置和分析
  点击添加
  点击关闭
  点击确定
  
  为了避免下次使用MMC时重新载入需要的组件,我们可以把控制台设置保存起来:在控制台菜单,选择保存。默认情况下,文件将会被保存在当前登录用户的管理工具菜单中。
  
  输入你要保存的控制台的名称
  
  从这时开始,可以直接从开始-所有程序-管理工具直接访问保存后的控制台。
  
  注意:MMC中同时可以载入多个不同的组件,例如,安全模板还有安全配置和分析模板可以一起载入MMC并保存供以后使用。
  
  安全配置数据库
  
  安全配置和分析组件使用数据库保存分析或者配置的设置,要使用GUI打开一个已有的或者新数据库:
  
  在MMC中,在安全配置和分析节点上点击鼠标右键
  
  选择打开数据库
  
  输入已有或者新建的数据库的名称
  
  点击打开
  
  注意:建议每次进行新的配置和分析都创建一个新数据库。
  
  配置文件可以通过以下几种方法导入数据库:
  
  如果在打开数据库时已经输入了新数据库的名称,用户将被自动要求输入要导入的配置文件,否则:
  
  在MMC左侧面板的安全配置和分析节点上点击鼠标右键
  
  选择导入模板
  
  在导入模板对话框,选择需要导入的inf文件
  
  选中导入前清空数据库选项,以删除任何之前保存在数据库中的无用数据,见图10
  
 

  
图 10

  
  注意:导入操作可能会附加或者复写之前导入的数据库信息,默认是附加。如果用户不想把几次分析的配置信息都综合起来,就在导入模板前选中"导入前清空数据库"选项。
  
  警告:为了避免配置文件的混乱和混合,建议每次进行新的分析和配置前都选中这个选项。
  
  点击打开
  
  Secedit 命令行选项
  
  Secedit.exe,曾经在第二章介绍过,是通过命令行或者批处理和/或计划任务的方式进行安全分析和配置时的有用工具。用secedit进行系统分析和配置时可用的参数有:
  
  secedit {/analyze | /configure} [/cfg filename] [/db filename]
  [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
  
  表15 解释了secedit.exe所有的运行参数。
  
 

  
表15 Secedit命令行参数

  
  注意:secedit的/refreshpolicy参数(用于强制组策略更新)可用于 NT和Windows 2000,但已经不能在Windows XP中使用。这个参数被gpupdate.exe命令行工具取代了。
  
  进行一次安全分析
  
  安全分析是依靠数据库进行的,倒入数据库的配置文件决定分析的基线。配置文件中的安全设置跟当前系统的安全设置进行比较,并把比较获得的结果保存回数据库。基线的设置是依靠当前的系统设置的,配置信息也可以作为分析的结果进行修改。修改过的配置信息可以被导出到配置文件以供其它用途。
  
  通过命令行工具进行安全分析
  
  要通过命令行进行安全分析,可以在命令行窗口中执行以下命令:
  
  secedit /analyze [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet][/overwrite] [>> results_file]
  
  results_file 是包含了分析结果的文件名称,在察看分析结果是这个文件是尤其重要的。如果 >> results_file 是空的,输出的信息将会显示在屏幕上。
  
  通过GUI进行安全分析
  
  图11显示了通过系统配置和分析组件进行安全分析的示例,使用GUI进行安全分析可以采取以下操作:
  
  

  
图 11

  
  在数据库节点上点击鼠标右键
  
  选择现在分析计算机…
  
  在进行分析对话框中输入错误日志的文件路径
  
  注意:日志信息是附加到现有日志文件中的,因此如果要写入日志到新的文件就要指定新文件的名称。
  
  点击确定
  
  配置系统
  
  在配置过程中,错误可能会导致存在于inf配置文件的某些特定的文件或者注册表键没有保存到系统中。但不用担心,inf文件会自动尝试恢复系统中跟配置文件不符合的部分。
  
  通过命令行工具配置系统
  
  要通过命令行工具一次配置所有可用的安全选项:
  
  secedit /configure [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
  
  警告:每次配置前输入新的数据库名称发生错误或者使用/overwrite参数可能导致不可预知的行为。例如,导入的配置文件可能会跟其它文件混合,并报告一些预料外的分析结果。
  
  下面是使用命令行工具配置特定安全区域的示例:
  
  secedit /configure /cfg "WinXP_workstation.inf" /db newdb.sdb /log logfile.txt /overwrite /areas REGKEYS FILESTORE
  
  这个示例将导入WinXP_workstation.inf配置文件的文件系统和注册表权限设置并配置本地系统。
  
  Configuring a System via the GUI
  
  使用安全配置和分析组件进行系统配置可以按照以下步骤操作:
  
  在数据库节点上点击鼠标右键
  
  选择现在配置计算机….
  
  在配置系统对话框,输入错误日志的文件路径
  
  注意:日志信息会附加到现有的日志文件中,因此如果要写入日志到新的文件就要指定新文件的名称。
  
  点击确定
  
  注意:通过GUI进行系统配置时,模板中的所有配置都会被应用,而不像secedit.exe可以用参数决定应用哪些安全区域。
【责编:admin】

--------------------next---------------------

阅读(120) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~