对Win XP进行安全分析和配置

来源：作者：出处：综艺读书 2007-07-20

关键词：winxp windows xp windows nt windows 2000 os

　　一旦合适的安全模板被更改，就可以通过安全配置和分析组件或者命令行工具进行安全分析和配置。这个过程可以在应用安全模板到本地系统的时候进行。
　　
　　警告：给Windows XP系统应用安全模板可能造成性能和功能的丧失。
　　

　　向MMC中载入安全配置和分析组件
　　
　　要向MMC中载入安全配置和分析组件：
　　运行微软管理控制台（mmc.exe）
　　选择控制台 - 添加/删除组件
　　点击添加
　　选择安全配置和分析
　　点击添加
　　点击关闭
　　点击确定
　　
　　为了避免下次使用MMC时重新载入需要的组件，我们可以把控制台设置保存起来：在控制台菜单，选择保存。默认情况下，文件将会被保存在当前登录用户的管理工具菜单中。
　　
　　输入你要保存的控制台的名称
　　
　　从这时开始，可以直接从开始-所有程序-管理工具直接访问保存后的控制台。
　　
　　注意：MMC中同时可以载入多个不同的组件，例如，安全模板还有安全配置和分析模板可以一起载入MMC并保存供以后使用。
　　
　　安全配置数据库
　　
　　安全配置和分析组件使用数据库保存分析或者配置的设置，要使用GUI打开一个已有的或者新数据库：
　　
　　在MMC中，在安全配置和分析节点上点击鼠标右键
　　
　　选择打开数据库
　　
　　输入已有或者新建的数据库的名称
　　
　　点击打开
　　
　　注意：建议每次进行新的配置和分析都创建一个新数据库。
　　
　　配置文件可以通过以下几种方法导入数据库：
　　
　　如果在打开数据库时已经输入了新数据库的名称，用户将被自动要求输入要导入的配置文件，否则：
　　
　　在MMC左侧面板的安全配置和分析节点上点击鼠标右键
　　
　　选择导入模板
　　
　　在导入模板对话框，选择需要导入的inf文件
　　
　　选中导入前清空数据库选项，以删除任何之前保存在数据库中的无用数据，见图10
　　　

　　图 10
　　
　　注意：导入操作可能会附加或者复写之前导入的数据库信息，默认是附加。如果用户不想把几次分析的配置信息都综合起来，就在导入模板前选中"导入前清空数据库"选项。
　　
　　警告：为了避免配置文件的混乱和混合，建议每次进行新的分析和配置前都选中这个选项。
　　
　　点击打开
　　
　　Secedit 命令行选项
　　
　　Secedit.exe，曾经在第二章介绍过，是通过命令行或者批处理和/或计划任务的方式进行安全分析和配置时的有用工具。用secedit进行系统分析和配置时可用的参数有：
　　
　　secedit {/analyze | /configure} [/cfg filename] [/db filename]
　　[/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
　　
　　表15 解释了secedit.exe所有的运行参数。
　　　

　　表15 Secedit命令行参数
　　
　　注意：secedit的/refreshpolicy参数（用于强制组策略更新）可用于Windows NT和Windows 2000，但已经不能在Windows XP中使用。这个参数被gpupdate.exe命令行工具取代了。
　　
　　进行一次安全分析
　　
　　安全分析是依靠数据库进行的，倒入数据库的配置文件决定分析的基线。配置文件中的安全设置跟当前系统的安全设置进行比较，并把比较获得的结果保存回数据库。基线的设置是依靠当前的系统设置的，配置信息也可以作为分析的结果进行修改。修改过的配置信息可以被导出到配置文件以供其它用途。
　　
　　通过命令行工具进行安全分析
　　
　　要通过命令行进行安全分析，可以在命令行窗口中执行以下命令：
　　
　　secedit /analyze [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet][/overwrite] [>> results_file]
　　
　　results_file 是包含了分析结果的文件名称，在察看分析结果是这个文件是尤其重要的。如果 >> results_file 是空的，输出的信息将会显示在屏幕上。
　　
　　通过GUI进行安全分析
　　
　　图11显示了通过系统配置和分析组件进行安全分析的示例，使用GUI进行安全分析可以采取以下操作：
　　
　　

　　图 11
　　
　　在数据库节点上点击鼠标右键
　　
　　选择现在分析计算机…
　　
　　在进行分析对话框中输入错误日志的文件路径
　　
　　注意：日志信息是附加到现有日志文件中的，因此如果要写入日志到新的文件就要指定新文件的名称。
　　
　　点击确定
　　
　　配置系统
　　
　　在配置过程中，错误可能会导致存在于inf配置文件的某些特定的文件或者注册表键没有保存到系统中。但不用担心，inf文件会自动尝试恢复系统中跟配置文件不符合的部分。
　　
　　通过命令行工具配置系统
　　
　　要通过命令行工具一次配置所有可用的安全选项：
　　
　　secedit /configure [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas]
　　
　　警告：每次配置前输入新的数据库名称发生错误或者使用/overwrite参数可能导致不可预知的行为。例如，导入的配置文件可能会跟其它文件混合，并报告一些预料外的分析结果。
　　
　　下面是使用命令行工具配置特定安全区域的示例：
　　
　　secedit /configure /cfg "WinXP_workstation.inf" /db newdb.sdb /log logfile.txt /overwrite /areas REGKEYS FILESTORE
　　
　　这个示例将导入WinXP_workstation.inf配置文件的文件系统和注册表权限设置并配置本地系统。
　　
　　Configuring a System via the GUI
　　
　　使用安全配置和分析组件进行系统配置可以按照以下步骤操作：
　　
　　在数据库节点上点击鼠标右键
　　
　　选择现在配置计算机….
　　
　　在配置系统对话框，输入错误日志的文件路径
　　
　　注意：日志信息会附加到现有的日志文件中，因此如果要写入日志到新的文件就要指定新文件的名称。
　　
　　点击确定
　　
　　注意：通过GUI进行系统配置时，模板中的所有配置都会被应用，而不像secedit.exe可以用参数决定应用哪些安全区域。