一旦合适的模板被更改，就可以通过配置和分析组件或者命令行工具进行安全分析和配置。这个过程可以在应用安全模板到本地系统的时候进行。
　　
　　警告：给 XP系统应用安全模板可能造成性能和功能的丧失。
　　
　　向MMC中载入安全配置和分析组件
　　
　　要向MMC中载入安全配置和分析组件：
　　运行微软管理控制台（mmc.exe）
　　选择控制台 - 添加/删除组件
　　点击添加
　　选择安全配置和分析
　　点击添加
　　点击关闭
　　点击确定
　　
　　为了避免下次使用MMC时重新载入需要的组件，我们可以把控制台设置保存起来：在控制台菜单，选择保存。默认情况下，文件将会被保存在当前登录用户的管理工具菜单中。
　　
　　输入你要保存的控制台的名称
　　
　　从这时开始，可以直接从开始-所有程序-管理工具直接访问保存后的控制台。
　　
　　注意：MMC中同时可以载入多个不同的组件，例如，安全模板还有安全配置和分析模板可以一起载入MMC并保存供以后使用。
　　
　　安全配置数据库
　　
　　安全配置和分析组件使用数据库保存分析或者配置的设置，要使用GUI打开一个已有的或者新数据库：
　　
　　在MMC中，在安全配置和分析节点上点击鼠标右键
　　
　　选择打开数据库
　　
　　输入已有或者新建的数据库的名称
　　
　　点击打开
　　
　　注意：建议每次进行新的配置和分析都创建一个新数据库。
　　
　　配置文件可以通过以下几种方法导入数据库：
　　
　　如果在打开数据库时已经输入了新数据库的名称，用户将被自动要求输入要导入的配置文件，否则：
　　
　　在MMC左侧面板的安全配置和分析节点上点击鼠标右键
　　
　　选择导入模板
　　
　　在导入模板对话框，选择需要导入的inf文件
　　
　　选中导入前清空数据库选项，以删除任何之前保存在数据库中的无用数据，见图10
　　　
　　图 10
　　
　　注意：导入操作可能会附加或者复写之前导入的数据库信息，默认是附加。如果用户不想把几次分析的配置信息都综合起来，就在导入模板前选中"导入前清空数据库"选项。
　　
　　警告：为了避免配置文件的混乱和混合，建议每次进行新的分析和配置前都选中这个选项。
　　
　　点击打开
　　
　　Secedit 命令行选项
　　
　　Secedit.exe，曾经在第二章介绍过，是通过命令行或者批处理和/或计划任务的方式进行安全分析和配置时的有用工具。用secedit进行系统分析和配置时可用的参数有：
　　
　　secedit {/analyze | /configure} [/cfg filename] [/db filename]
　　[/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
　　
　　表15 解释了secedit.exe所有的运行参数。
　　　
　　表15 Secedit命令行参数
　　
　　注意：secedit的/refreshpolicy参数（用于强制组策略更新）可用于 NT和Windows 2000，但已经不能在Windows XP中使用。这个参数被gpupdate.exe命令行工具取代了。
　　
　　进行一次安全分析
　　
　　安全分析是依靠数据库进行的，倒入数据库的配置文件决定分析的基线。配置文件中的安全设置跟当前系统的安全设置进行比较，并把比较获得的结果保存回数据库。基线的设置是依靠当前的系统设置的，配置信息也可以作为分析的结果进行修改。修改过的配置信息可以被导出到配置文件以供其它用途。
　　
　　通过命令行工具进行安全分析
　　
　　要通过命令行进行安全分析，可以在命令行窗口中执行以下命令：
　　
　　secedit /analyze [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet][/overwrite] [>> results_file]
　　
　　results_file 是包含了分析结果的文件名称，在察看分析结果是这个文件是尤其重要的。如果 >> results_file 是空的，输出的信息将会显示在屏幕上。
　　
　　通过GUI进行安全分析
　　
　　图11显示了通过系统配置和分析组件进行安全分析的示例，使用GUI进行安全分析可以采取以下操作：
　　
　　
　　图 11
　　
　　在数据库节点上点击鼠标右键
　　
　　选择现在分析计算机…
　　
　　在进行分析对话框中输入错误日志的文件路径
　　
　　注意：日志信息是附加到现有日志文件中的，因此如果要写入日志到新的文件就要指定新文件的名称。
　　
　　点击确定
　　
　　配置系统
　　
　　在配置过程中，错误可能会导致存在于inf配置文件的某些特定的文件或者注册表键没有保存到系统中。但不用担心，inf文件会自动尝试恢复系统中跟配置文件不符合的部分。
　　
　　通过命令行工具配置系统
　　
　　要通过命令行工具一次配置所有可用的安全选项：
　　
　　secedit /configure [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
　　
　　警告：每次配置前输入新的数据库名称发生错误或者使用/overwrite参数可能导致不可预知的行为。例如，导入的配置文件可能会跟其它文件混合，并报告一些预料外的分析结果。
　　
　　下面是使用命令行工具配置特定安全区域的示例：
　　
　　secedit /configure /cfg "WinXP_workstation.inf" /db newdb.sdb /log logfile.txt /overwrite /areas REGKEYS FILESTORE
　　
　　这个示例将导入WinXP_workstation.inf配置文件的文件系统和注册表权限设置并配置本地系统。
　　
　　Configuring a System via the GUI
　　
　　使用安全配置和分析组件进行系统配置可以按照以下步骤操作：
　　
　　在数据库节点上点击鼠标右键
　　
　　选择现在配置计算机….
　　
　　在配置系统对话框，输入错误日志的文件路径
　　
　　注意：日志信息会附加到现有的日志文件中，因此如果要写入日志到新的文件就要指定新文件的名称。
　　
　　点击确定
　　
　　注意：通过GUI进行系统配置时，模板中的所有配置都会被应用，而不像secedit.exe可以用参数决定应用哪些安全区域。
--------------------next---------------------