掌控Windows系统的安全

您了解Windows XP系统的“安全配置和分析”管理工具吗，用好这个管理工具，您可以更好地掌控系统的安全。

对于很多的PC用户来说，最关心的事情莫过于Windows系统的安全了。为了提高系统的安全程度，我们可能对系统进行了多方面的安全设置，但是这些安全设置是否能够全面提升系统的安全级别、系统是否还存在着一些不安全的因素、系统的总体安全等级处于什么水平，对于这些，我们可能还没有一个整体的了解和掌握。

Windows XP系统提供的“安全配置和分析”管理工具可以帮助我们实现这个目标，它的主要作用是对本地系统的安全性进行分析和配置。“安全配置和分析”管理工具可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析，在分析结果中，以可视化的标记或注释突出显示当前的设置与系统建议的安全级别不匹配的区域，从而找出系统安全的薄弱环节，同时这个工具为我们提供了快速对系统进行安全配置的途径，用户只需要选择相应的安全模板，剩下的事情由“安全配置和分析”管理工具自动为您完成，从而轻松地掌控系统的安全。

要启动“安全配置和分析”管理工具，需要启动系统控制台，并将“安全配置和分析”管理单元加载到控制台中。方法如下：

1.在[开始]菜单的“运行”处，执行“mmc”命令，启动系统控制台窗口；

2.点击“控制台”主界面中“文件”菜单下的“添加/删除管理单元”命令；

3.在“添加/删除管理单元”对话框中，点击“独立”选项页的“添加”，在弹出的“添加独立管理单元”对话框中，选择列表中的“安全配置和分析”项，点击“添加”，如图1所示；

图1 添加“安全配置和分析”管理单元

4.点击“关闭”，返回“添加/删除管理单元”对话框，此时在列表中可以看到新增加了“安全配置和分析”项；

5.点击“确定”，完成“安全配置和分析”管理单元的加载。

执行安全性分析是根据系统提供的安全模板来实现的，这个过程中，需要用户打开或新建一个包含安全信息的数据库，并选择合适的安全模板。

1.在控制台窗口中，右键点击控制台根节点下的“安全配置和分析”，在快捷菜单中选择“打开数据库”命令，如图2所示；

图2打开安全配置与分析数据库

2.如果是首次对系统进行安全性分析，需要新建一个数据库，在“打开数据库”对话框的“文件名”处为新建的数据库输入一个名称，然后点击“打开”；

3.在弹出的“导入模板”对话框中，可以看到7个安全模板文件，这些安全模板文件的安全级别以及作用的效果为：

Rootsec：系统根目录安全模板。可以指定由 Windows XP所引入的新的根目录权限。默认情况下，Rootsec.inf 为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限，则可利用该模板重新应用根目录权限，或者通过修改模板对其它卷应用相同的根目录权限，该模板并不覆盖已经明确定义在子对象上的权限，它只传递由子对象继承的权限。

Setup security：默认的安全设置模板。这是一个针对特定计算机的安全模板，它包含了在安装操作系统期间所应用的默认安全设置，包括系统驱动器的根目录的文件权限。由于是默认的安全设置模板，当系统出现故障时，可以利用该模板或模板的一部分进行灾难恢复。

Compatws：兼容模板。通常情况下，工作站和服务器的默认权限主要授予三个本地用户组：Administrators、Power users和Users，Administrators组成员拥有最高的权限，而Users组中的用户权限最低。由于权限的限制，不同组中的用户能够访问应用程序的能力有很大的区别，而兼容模板可以以某种方式对已经授予users组的默认文件和注册表的权限进行更改，而不需要更改用户所在的组，可以极大地提高系统所有权的安全性和可靠性。

Securedc和Securews：安全模板。安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如，严格密码和锁定设置、审核策略的设置等等。安全模板的安全级别要高于兼容模板。

Hisecdc和Hisecws：高级安全模板。在安全模板的基础上对加密和签名作进一步的限制。这些加密和签名是进行身份认证和保证数据在安全的通道中进行传输所必需的，要求对安全通道数据进行强力的加密和签名，从而形成域到成员和成员到域的信任关系。

对于工作站而言，使用安全模板进行系统安全性分析就可以了。

4.选择一个适宜的安全模板，如Securews.inf，点击“打开”；

5.右键单击“安全配置和分析”项，选择菜单中的“立即分析计算机”命令，并在“进行分析”对话框中指定保存错误日志文件的路径，点击“确定”，开始系统安全机制的分析进程；

6.安全分析进程结束后，展开“安全配置和分析”节点下的各项，在右侧窗格的项目列表中，通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别匹配，哪些不匹配，如图3所示；

图3查看安全分析结果

例如在图3中，密码策略中有四项策略带有红色的差号，这表明不匹配；两项策略带有绿色的对号，表示匹配。

如果再想用其他的安全模板进行安全性分析，可以在“安全配置和分析”节点上单击右键，点击快捷菜单中的“导入模板”命令，在“导入模板”对话框中，选择需要的安全模板文件，同时选择“导入之前清除这个数据库”选择框，如图4所示，重复上述步骤5和6的操作。

图4导入安全模板

使用Windows XP的安全配置和分析管理工具，您不仅可以分析系统的安全配置是否适合，同时还可以设置系统安全配置，从而将您系统的安全状况掌握在自己手中，但是在使用安全配置和分析管理工具时您需要注意以下两点：

1.必须以系统管理员或administrators组成员的账户身份登录系统才能完成管理单元的加载以及系统安全性分析和配置操作；

2.进行安全性分析和配置时，选择安全模板一定要适宜，特别是对于系统安全性配置，如果安全模板的级别较低，我们不易发现存在的安全薄弱环节；级别太高，可能会影响我们的习惯性操作。