管理安全策略设置

本文讨论在本地设备上或在整个小型或中型组织中管理安全策略设置的不同方法。

安全策略设置应用作整体安全实现的一部分,用于帮助保护域控制器、服务器、客户端设备和组织中的其他资源。

安全设置策略是出于保护设备或网络上的资源的目的可以在一台或多台设备上配置的规则。本地组策略编辑器管理单元 (Gpedit.msc) 的安全设置扩展允许你定义安全配置作为组策略对象 (GPO) 的一部分。这些 GPO 链接到 Active Directory 容器(如站点、域和组织单位),并且它们使管理员能够从加入域的任意设备管理多台计算机的安全设置。

安全设置可以控制:

  • 网络或设备的用户身份验证。

  • 允许用户访问的资源。

  • 是否要在事件日志中记录用户或组的操作。

  • 组中的成员身份。

有关每个设置的信息(包括说明、默认设置以及管理和安全注意事项),请参阅安全策略设置参考

若要管理多台计算机的安全配置,可以使用以下选项之一:

  • 编辑 GPO 中的特定安全设置。

  • 使用安全模板管理单元来创建包含要应用的安全策略的安全模板,然后将该安全模板导入到组策略对象中。安全模板是表示安全配置的文件,可将其导入到 GPO 或应用到本地设备,或者可将其用于分析安全性。

管理设置的方式有何改变?

随着时间的推移,引入了管理安全策略设置的新方法,其中包含新的操作系统功能和附加的新设置。下表列出了管理安全策略设置可使用的不同方式。

工具或功能 说明和使用

安全策略管理单元

Secpol.msc

MMC 管理单元设计用于仅管理安全策略设置。

安全编辑器命令行工具

Secedit.exe

通过将你的当前配置与指定的安全模板进行比较来配置和分析系统安全性。

安全合规性管理器

工具下载

可帮助你为 Windows 客户端和服务器操作系统以及 Microsoft 应用程序规划、部署、操作和管理安全基线的解决方案加速器。

安全配置向导

Scw.exe

SCW 是仅在服务器上可用的基于角色的工具:你可以使用它创建一项策略,该策略启用使选定服务器执行特定角色所需的服务、防火墙规则和设置。

安全配置管理器工具

此工具集允许你创建、应用和编辑本地设备、组织单位或域的安全性。

组策略

Gpmc.msc 和 Gpedit.msc

组策略管理控制台使用组策略对象编辑器公开本地安全选项,然后可以将这些选项合并到组策略对象以在整个域中进行分配。本地组策略编辑器在本地设备上执行类似的功能。

软件限制策略

请参阅管理软件限制策略

Gpedit.msc

软件限制策略 (SRP) 是一种基于组策略的功能,用于标识在域中的计算机上运行的软件程序,并且它控制这些程序运行的功能。

AppLocker

请参阅管理 AppLocker

Gpedit.msc

防止恶意软件和不支持的应用程序影响环境中的计算机,并且它可防止组织中的用户安装和使用未经授权的应用程序。

 

使用本地安全策略管理单元

本地安全策略管理单元 (Secpol.msc) 将本地策略对象的视图限制于以下策略和功能:

  • 帐户策略

  • 本地策略

  • 高级安全 Windows 防火墙

  • 网络列表管理器策略

  • 公钥策略

  • 软件限制策略

  • 应用程序控制策略

  • 本地计算机上的 IP 安全策略

  • 高级审核策略配置

如果计算机加入到域,可以覆盖本地设置的策略。

本地安全策略管理单元是安全配置管理器工具集的一部分。有关此工具集中的其他工具的信息,请参阅本主题中的使用安全配置管理器。

使用 Secedit 命令行工具

Secedit 命令行工具使用安全模板并提供六个主要功能:

  • Configure 参数通过将正确的安全模板应用到错误的服务器来帮助你解析设备之间的安全差异。

  • Analyze 参数将服务器的安全配置与选定的模板进行比较。

  • Import 参数允许你从现有模板创建数据库。安全配置和分析工具也可执行此操作。

  • Export 参数允许你将设置从数据库导出到安全设置模板中。

  • Validate 参数允许你验证你已创建或添加到安全模板中的每个或任意文本行的语法。这可确保当模板未能应用语法时,该模板不会成为问题。

  • Generate Rollback 参数将服务器的当前安全设置保存到安全模板中,以便它可以用于将大多数的服务器安全设置还原到已知状态。例外情况是,在应用后,回退模板将不会更改文件上的访问控制列表项或由最近应用的模板更改的注册表条目。

使用安全合规性管理器

安全合规性管理器是帮助你为 Windows 客户端和服务器操作系统以及 Microsoft 应用程序规划、部署、操作和管理安全基线的可下载工具。它包含建议安全设置的完整数据库、自定义基线的方法和采用多种格式实现这些设置的选项,其中包括 XLS、GPO、所需的配置管理 (DCM) 包或安全内容自动化协议 (SCAP)。安全合规性管理器用于将基线导出到你的环境,以自动执行安全基线部署和合规性验证过程。

Mt634177.wedge(zh-cn,VS.85).gif使用安全合规性管理器管理安全策略

  1. 下载最新版本。可以在 Microsoft 安全指南博客上找到详细信息。

  2. 阅读包含在此工具中的相关安全基线文档。

  3. 下载并导入相关安全基线。安装过程将指导你完成基线选择的步骤。

  4. 在部署这些基线前,请打开“帮助”并遵循有关如何自定义、比较或合并安全基线的说明。

使用安全配置向导

安全配置向导 (SCW) 指导你完成创建、编辑、应用或回退安全策略的过程。你使用 SCW 创建的安全策略是一个 .xml 文件,该文件在应用后可配置服务、网络安全性、特定注册表值和审核策略。SCW 是基于角色的工具:你可以使用它来创建一个策略,该策略启用选定服务器执行特定角色所需的服务、防火墙规则和设置。例如,服务器可能是一个文件服务器、打印服务器或域控制器。

以下是使用 SCW 的注意事项:

  • SCW 禁用不必要的服务,并提供高级安全 Windows 防火墙支持。

  • 使用 SCW 创建的安全策略与安全模板不同,后者是带有 .inf 扩展名的文件。安全模板包含的安全设置比可使用 SCW 设置的安全设置多。但是,可以将安全模板包含在 SCW 安全策略文件中。

  • 你可以使用组策略部署你使用 SCW 创建的安全策略。

  • SCW 不会安装或卸载服务器执行某个角色所必需的功能。可以通过服务器管理器安装特定于角色的服务器功能。

  • SCW 检测服务器角色依赖关系。如果选择某个服务器角色,它将自动选择所依赖的服务器角色。

  • 运行 SCW 时,使用 IP 协议和端口的所有应用都必须在服务器上运行。

  • 在某些情况下,你必须连接到 Internet,才能使用 SCW 帮助中的链接。

注意  

SCW 仅在 Windows Server 上可用,并且仅适用于服务器安装。

 

可以通过服务器管理器或通过运行 scw.exe 来访问 SCW。该向导将指导你完成服务器安全配置的步骤,以便:

  • 创建可应用于网络上的任何服务器的安全策略。

  • 编辑现有安全策略。

  • 应用现有安全策略。

  • 回退最后应用的安全策略。

安全策略向导基于服务器的角色配置服务和网络安全以及配置审核和注册表设置。

有关 SCW 的详细信息(包括过程),请参阅安全配置向导

使用安全配置管理器

安全配置管理器工具集允许你为本地设备、组织单位或域创建、应用和编辑安全性。

有关如何使用安全配置管理器的过程,请参阅安全配置管理器

下表列出了安全配置管理器的功能。

安全配置管理器工具 说明

安全配置和分析

在模板中定义安全策略。这些模板可以应用到组策略或本地计算机。

安全模板

在模板中定义安全策略。这些模板可以应用到组策略或本地计算机。

到组策略的安全设置扩展

编辑域、站点或组织单位上的个别安全设置。

本地安全策略

编辑本地计算机上的个别安全设置。

Secedit

在命令提示符下自动执行安全配置任务。

 

安全配置和分析

安全配置和分析是用于分析和配置本地系统安全性的 MMC 管理单元。

安全分析

设备上的操作系统和应用的状态是动态的。例如,你可能需要临时更改安全级别,以便可以立即解决某个管理或网络问题。但是,此更改通常无法恢复。这意味着计算机可能不再满足企业安全的要求。

常规分析使你可以在每台计算机上跟踪并确保足够的安全级别,以作为企业风险管理计划的一部分。可以调整安全级别,并且最重要的是,可以检测到随着时间的推移在系统中可能发生的任何安全漏洞。

安全配置和分析使你可以快速查看安全分析结果。它在当前系统设置旁边显示建议,并使用视觉标志或标记来强调任何当前设置与建议的安全级别不匹配的区域。安全配置和分析还提供解析分析所揭露的任何差异的功能。

安全配置

安全配置和分析还可用于直接配置本地系统安全性。通过其在个人数据库中的使用,你可以导入使用“安全模板”创建的安全模板,并将这些模板应用到本地计算机。这将立即使用模板中指定的级别配置系统安全性。

安全模板

使用 Microsoft 管理控制台的安全模板管理单元,你可以为你的设备或网络创建安全策略。它是可将系统安全性的完整范围纳入考虑的单个入口点。安全模板管理单元未引入新的安全参数,它只是将所有现有安全属性组织到一个位置以便于安全管理。

在将安全模板导入到组策略对象中后,可通过立即配置域或组织单位的安全性来简化域管理。

若要将安全模板应用到本地设备,可以使用安全配置和分析或 Secedit 命令行工具。

安全模板可用于定义:

  • 帐户策略

    • 密码策略

    • 帐户锁定策略

    • Kerberos 策略

  • 本地策略

    • 审核策略

    • 用户权限分配

    • 安全选项

  • 事件日志:应用程序、系统和安全事件日志设置

  • 受限制的组:安全敏感的组的成员身份

  • 系统服务:系统服务的启动和权限

  • 注册表:注册表项的权限

  • 文件系统:文件夹和文件的权限

每个模板都将另存为基于文本的 .inf 文件。这使你可以复制、粘贴、导入或导出某些或全部模板属性。除 Internet 协议安全和公钥策略外,所有安全属性都可包含在安全模板中。

到组策略的安全设置扩展

组织单位、域和站点都链接到组策略对象。 安全设置工具允许你更改组策略对象的安全配置,进而影响多台计算机。使用安全设置,你可以只从加入域的一台设备修改多台设备的安全设置,具体取决于你修改的组策略对象。

安全设置或安全策略是在一台或多台设备上配置的规则,用于保护设备或网络上的资源。安全设置可以控制:

  • 用户如何对网络或设备进行身份验证

  • 授权用户使用哪些资源。

  • 是否在事件日志中记录用户或组的操作。

  • 组成员身份。

你可以使用两种方式在多台计算机上更改安全配置:

  • 通过使用具有“安全模板”的安全模板来创建安全策略,然后通过“安全设置”将该模板导入到组策略对象中。

  • 使用“安全设置”更改一些选定的设置。

本地安全策略

安全策略是影响设备上的安全性的安全设置的组合。可以使用本地安全策略来编辑本地设备上的帐户策略和本地策略。

使用本地安全策略,你可以控制:

  • 哪些人员可以访问你的设备。

  • 授权用户在你的设备上使用哪些资源。

  • 是否在事件日志中记录用户或组的操作。

如果本地设备加入到域,你必须从域的策略或从你所属的任何组织单位的策略中获取安全策略。如果你从多个源获取策略,将按以下优先顺序解决冲突。

  1. 组织单位策略

  2. 域策略

  3. 站点策略

  4. 本地计算机策略

如果使用本地安全策略修改本地设备上的安全设置,将直接修改你的设备上的设置。因此,这些设置将立即生效,但这可能只是临时的。设置实际上将在本地设备上保持有效,直到下次刷新组策略安全设置,此时从组策略接收的安全策略将覆盖本地设置(如果存在冲突)。

使用安全配置管理器

有关如何使用安全配置管理器的过程,请参阅安全配置管理器操作方法。本部分包含本主题中与以下内容相关的信息:

  • 应用安全设置

  • 导入和导出安全模板

  • 分析安全性和查看结果

  • 解决安全差异

  • 自动执行安全配置任务

应用安全设置

编辑安全设置后,设置将在链接到组策略对象的组织单位中的计算机上进行刷新:

  • 重新启动设备时,将刷新该设备上的设置。

  • 若要强制设备刷新其安全设置以及所有组策略设置,请使用 gpupdate.exe。

多个策略应用到计算机时的策略优先级

对于由多个策略定义的安全设置,观察以下优先级顺序:

  1. 组织单位策略

  2. 域策略

  3. 站点策略

  4. 本地计算机策略

例如,加入域的工作站会使本地安全设置由域策略覆盖(如果存在冲突)。同样,如果同一个工作站是组织单位的成员,从组织单位的策略应用的设置将覆盖域和本地设置。如果工作站是多个组织单位的成员,则直接包含该工作站的组织单位将具有最高的优先级顺序。

注意  

使用 gpresult.exe 查明哪些策略应用于设备及其应用顺序。

对于域帐户,只能有一个包含密码策略、帐户锁定策略和 Kerberos 策略的帐户策略。

 

安全设置的持久性

即使设置不再在最初应用它的策略中定义,安全设置可能仍然存在。

在以下情况下会发生安全设置的持久性:

  • 之前未对设备定义设置。

  • 设置用于注册表对象。

  • 设置用于文件系统对象。

通过本地策略或组策略对象应用的所有设置都存储在设备上的本地数据库中。无论何时对安全设置进行修改,计算机都会将安全设置值保存到本地数据库(保留了已应用到该设备的所有设置的历史记录)中。如果策略先定义了某个安全设置,然后不再定义该设置,则该设置将采用数据库中的以前值。如果数据库中不存在以前的值,则该设置不会进行任何还原,并保持按原样定义。此行为有时称为“纹身”。

注册表和文件设置将保留通过策略应用的值,直到该设置设置为其他值。

基于组成员身份筛选安全设置

你还可以确定哪些用户或组是否会将组策略对象应用到它们,无论它们已登录哪些计算机,方法是在该组策略对象上拒绝授予他们应用组策略或读取权限。应用组策略需要这两个权限。

导入和导出安全模板

安全配置和分析提供将安全模板导入到数据库中或从其中导出的功能。

如果你已对分析数据库进行了任何更改,可以通过将它们导出到模板中来保存这些设置。导出功能提供将分析数据库设置另存为新模板文件的功能。然后此模板文件可用于分析或配置系统,或者可导入到组策略对象中。

分析安全性和查看结果

安全配置和分析通过将系统安全的当前状态与分析数据库进行比较来执行安全分析。在创建期间,分析数据库使用至少一个安全模板。如果你选择导入多个安全模板,数据库将合并各种模板并创建一个复合模板。它以导入的顺序解决冲突;最后导入的模板优先。

安全配置和分析按安全区域显示分析结果,并使用视觉标志来指示问题。它显示安全区域中每个安全属性的当前系统和基本配置设置。若要更改分析数据库设置,请右键单击该条目,然后单击“属性”。

视觉标志 含义

红色的 X

该条目在分析数据库中和系统上定义,但安全设置值不匹配。

绿色的复选标记

该条目在分析数据库中和系统上定义,并且设置值匹配。

问号

该条目不在分析数据库中定义,因此不会进行分析。

如果未分析某个条目,这可能是因为它未在分析数据库中定义,或者运行分析的用户可能没有足够的权限来对特定对象或区域执行分析。

感叹号

此项在分析数据库中定义,但不存在于实际的系统上。例如,可能有在分析数据库中定义但实际不存在于已分析系统上的受限制的组。

无突出显示

该项未在分析数据库中或系统上定义。

 

如果你选择接受当前设置,将修改基本配置中的相应值来匹配它们。如果你更改系统设置来匹配基本配置,将在你使用安全配置和分析配置系统时反映该更改。

若要避免连续标记你已调查并确定为合理的设置,你可以修改基本配置。对模板的副本进行这些更改。

解决安全差异

你可以通过以下方式解决分析数据库和系统设置之间的差异:

  • 如果你根据该计算机的上下文(或角色)确定本地系统安全级别有效,接受或更改某些或全部已标记或未包含在配置中的值。然后,在数据库中更新这些属性值,并在你单击“立即配置计算机”****时将这些值应用到系统。

  • 如果你确定系统不符合有效的安全级别,将系统配置为分析数据库值。

  • 将更适合该计算机的角色的模板导入到数据库中以作为新的基本配置,并将其应用到系统。

对数据库中存储的模板(而不是安全模板文件)进行分析数据库更改。如果你返回到“安全模板”并编辑该模板或将存储的配置导出到相同的模板文件,将仅修改安全模板文件。

你应仅使用“立即配置计算机”来修改受组策略设置影响的安全区域,如本地文件和文件夹、注册表项和系统服务上的安全性。否则,在应用组策略设置时,它将优先于本地设置(如帐户策略)。一般情况下,在分析基于域的客户端的安全性时不要使用“立即配置计算机”****,因为你必须单独配置每个客户端。在此情况下,你应返回到安全模板、修改模板并将其重新应用到相应的组策略对象。

自动执行安全配置任务

通过在命令提示符下从批处理文件或自动任务计划程序调用 secedit.exe 工具,你可以使用它来自动创建和应用模板,并分析系统安全性。你还可以从命令提示符下动态运行它。

当你有多台必须分析或配置安全性的设备并且需要在下班时间执行这些任务时,Secedit.exe 很有用。

使用组策略工具

组策略是允许你通过组策略设置和组策略首选项为用户和计算机指定托管配置的基础结构。对于仅影响本地设备或用户的组策略设置,可以使用本地组策略编辑器。你可以通过组策略管理控制台 (GPMC) 在 Active Directory 域服务 (AD DS) 环境中管理组策略设置和组策略首选项。组策略管理工具还包含在远程服务器管理工具包中,用于为你提供一种从桌面管理组策略设置的方法。