管理安全策略设置
适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
面向 IT 专业人士的本主题讨论了用于管理本地计算机上或整个小或中等规模的 IT 组织的安全策略设置通过使用不同的方法Windows Server 2012和Windows 8。
简介
安全策略设置应该用作总体安全实现的一部分来帮助安全的域控制器、 服务器、 客户端计算机和您的组织中的其他资源。
您可以在一台计算机或多台计算机,旨在保护计算机或网络上的资源配置的规则了安全设置策略。 本地组策略编辑器的管理单元 (Gpedit.msc) 的安全设置扩展允许您定义作为一部分的组策略对象 (GPO) 的安全配置。 将 Gpo 链接到 Active Directory 容器 (如站点、 域和组织单位和它们使管理员能够从任何计算机加入到域中管理多台计算机的安全设置。
安全设置可以控制:
网络或计算机的用户身份验证。
允许用户访问的资源。
是否在事件日志中记录用户或组的操作。
在组中的成员成员。
有关每个设置,包括说明、 默认设置和管理和安全注意事项的信息请参阅安全策略设置参考资料中从 Microsoft 下载中心获得。
有关安全设置管理单元的工作原理的信息,请参阅安全策略设置技术概述。
若要管理多台计算机的安全配置,可以使用下列选项之一:
编辑 GPO 中的特定安全设置。
使用安全模板管理单元中创建包含您想要应用的安全策略的安全模板,然后将安全模板导入组策略对象。 安全模板是一个文件,表示安全配置,并可以导入到 GPO 中,或应用于本地计算机,也可用于分析的安全性。
如何管理设置中发生什么变化?
段时间后,管理安全策略设置的新方法还引入了,其中包括新的操作系统功能和添加新的设置。 下表列出了可由哪些安全管理策略设置的不同方法。
工具或功能 |
说明和使用 |
|---|---|
使用本地安全策略管理单元 |
Secpol.msc Mmc 管理单元用于管理仅安全策略设置。 |
使用 Secedit 命令行工具 |
Secedit.exe 配置和分析系统安全通过比较当前配置与指定的安全模板。 |
使用安全遵从性管理器 |
下载工具 一个解决方案加速器,可帮助您规划、 部署、 操作和管理您的安全基准的 Windows 客户端和服务器操作系统和 Microsoft 应用程序。 |
使用安全配置向导 |
Scw.exe SCW 是仅服务器上可用的基于角色的工具:可用于创建策略,以使服务、 防火墙规则和所需的所选服务器执行特定角色的设置。 |
使用与安全配置管理器 |
此工具集允许您创建、 应用和编辑您的本地计算机、 组织单位或域的安全。 |
使用组策略工具 |
Gpmc.msc 和 Gpedit.msc 组策略管理控制台使用组策略对象编辑器来公开可以然后合并到组策略对象以进行分发在整个域的本地安全选项。 本地组策略编辑器在本地计算机上执行类似的功能。 |
软件限制策略 请参阅管理软件限制策略TechNet 库中。 |
Gpedit.msc 软件限制策略 (SRP) 是一种标识在域中的计算机上运行的软件程序的基于组策略的功能和它可以控制这些程序运行的能力。 |
AppLocker 请参阅管理 AppLockerTechNet 库中。 |
Gpedit.msc 可防止恶意软件 (恶意软件) 和不受支持的应用程序影响您的环境中的计算机并且阻止您的组织从安装和使用未经授权的应用程序中的用户。 |
使用本地安全策略管理单元
本地安全策略的管理单元 (Secpol.msc) 将本地策略对象的视图限制为以下策略和功能:
帐户策略
本地策略
高级安全 Windows 防火墙
网络列表管理器策略
公钥策略
软件限制策略
应用程序控制策略
在本地计算机上的 IP 安全策略
高级审核策略配置
如果将计算机加入到域可能会覆盖本地设置的策略。
本地安全策略管理单元中是安全配置管理器工具集的一部分。 有关该工具组中的其他工具的信息,请参阅使用与安全配置管理器本主题中。
使用 Secedit 命令行工具
Secedit 命令行工具适用于安全模板并提供六个主要功能:
Configure参数可帮助您解决安全性通过将正确的安全模板应用于错误的服务器的服务器之间的矛盾。
Analyze参数将与所选模板的服务器的安全配置进行比较。
Import参数允许您通过现有模板创建的数据库。 安全配置和分析工具执行此操作还。
Export参数允许您将设置从数据库导出到一个安全设置模板。
Validate参数允许您验证每个或所有行创建或添加到安全模板的文本的语法。 这可确保如果模板无法应用语法,该模板将不是问题。
Generate Rollback参数将保存到安全模板的服务器的当前安全设置,因此可以使用它来将大部分服务器的安全设置还原到已知状态。 例外情况是,当应用,回滚模板将不会更改对文件的访问控制列表项或最近所更改的最大的注册表项应用模板。
有关 Secedit.exe 工具的详细信息,请参阅Secedit [LH]。
使用安全遵从性管理器
Security Compliance Manager 是一个可下载的工具,可帮助您规划、 部署、 操作和管理您的安全基准 Windows 客户端和服务器操作系统,以及经 Microsoft 应用程序。 它包含完整的数据库的推荐的安全设置,方法以自定义您的基线数和实现这些设置以多种格式的选项 — 包括 XLS、 Gpo 时,所需的配置管理 (DCM) 包或安全内容自动化协议 (SCAP)。 Security Compliance Manager 用于将这些基线导出到您的环境以自动执行安全基线部署和法规遵从性验证过程。
若要通过使用安全遵从性管理器来管理安全策略
下载最新版本的Security Compliance Manager中从 Microsoft 下载中心获得。
阅读此工具中包含的相关的安全基线文档。
下载并导入相关的安全基线。 安装过程将指导您通过比较基准所选内容。
打开帮助并按照说明进行操作如何自定义、 比较或合并之前部署这些基线的安全基准。
使用安全配置向导
安全配置向导 (SCW) 可引导你完成创建、编辑、应用或回滚安全策略的过程。 使用 SCW 创建的安全策略是一个.xml 文件,应用时,配置服务、 网络安全、 特定注册表值和审核策略。 SCW 是一个基于角色的工具:可用于创建策略,以使服务、 防火墙规则和所需的所选服务器执行特定角色的设置。 例如,服务器可能是文件服务器、 打印服务器或域控制器。
使用 SCW 时应注意下列事项:
SCW 禁用不必要的服务并与高级安全支持提供的 Windows 防火墙。
使用 SCW 创建的安全策略与安全模板不同,后者的文件扩展名为 .inf。 安全模板包含的安全设置要多于可通过 SCW 设置的安全设置。 然而,你可以在 SCW 安全策略文件中包含安全模板。
您可以部署使用 SCW 创建通过使用组策略的安全策略。
SCW 不安装或卸载服务器执行角色所需的功能。 您可以安装特定于角色的功能通过服务器管理器。
SCW 会检测角色依存关系。 如果选择了某个角色,SCW 会自动选择依存角色。
在运行 SCW 时必须在服务器上运行的所有应用程序使用的 IP 协议和端口。
在某些情况下,必须连接到 Internet 才能使用 SCW 帮助中的链接。
备注
SCW 是只能在 Windows 服务器上可用且仅适用于服务器安装。
SCW 可以通过服务器管理器或通过运行 Scw.exe 访问。 向导将指导您通过向服务器安全配置:
创建可应用于您的网络上的任何服务器的安全策略。
编辑现有安全策略。
应用现有安全策略。
回滚上次应用的安全策略。
安全策略向导配置服务和网络安全基于服务器的角色以及配置审核和注册表设置。
有关 SCW,包括过程),请参阅安全配置向导。
使用与安全配置管理器
安全配置管理器工具集允许您创建、 应用和编辑您的本地计算机、 组织单位或域的安全。
有关如何使用安全配置管理器的过程,请参阅安全配置管理器。
下表列出的安全配置管理器的功能。
安全配置管理器工具 |
说明 |
|---|---|
安全配置和分析 |
在模板中定义的安全策略。 这些模板可以应用到组策略或本地计算机。 |
安全模板 |
在模板中定义的安全策略。 这些模板可以应用到组策略或本地计算机。 |
对组策略的安全设置扩展 |
编辑域、 站点或组织单位的各个安全设置。 |
本地安全策略 |
编辑本地计算机上的各个安全设置。 |
自动执行的命令提示符处的安全配置任务。 |
安全配置和分析
安全配置和分析是 mmc 管理单元用于分析和配置本地系统安全性。
安全分析
操作系统和应用程序的计算机上的状态是动态的。 例如,您可能需要临时更改安全级别,以便您可以立即解决管理或网络问题。 但是,这种更改通常可能会无法恢复。 这意味着计算机可能不再满足企业安全性的要求。
常规分析使管理员能够跟踪并确保足够的每台计算机上作为企业风险管理程序的一部分的安全级别。 管理员可以优化的安全级别以及最重要的是,检测可能随着时间的推移发生在系统中任何安全漏洞。
安全配置和分析,可快速查看安全性分析结果。 它旁显示建议的当前系统设置并使用可视标志或备注来突出显示当前设置与建议的安全级别不匹配的任何区域。 安全配置和分析还提供分析可找出任何差异进行解析的能力。
安全配置
安全配置和分析还可直接配置本地系统的安全性。 通过使用个人的数据库,您可以导入已使用安全模板中创建并将这些模板应用于本地计算机的安全模板。 这立即使用该模板中指定的级别来配置系统安全。
安全模板
使用安全模板管理单元用于 Microsoft 管理控制台中,您可以创建安全策略为您的计算机或为您的网络。 它是系统安全的完整范围可以考虑在内的单个入口点。 安全模板管理单元中不会引入新的安全参数,它只是将所有现有的安全属性组织到一个位置以便于安全管理。
将安全模板导入到组策略对象可以通过一次配置域或组织单位的安全性简化域管理。
若要应用到本地计算机的安全模板,可以使用安全配置和分析或 Secedit 命令行工具。
安全模板可以用于定义:
帐户策略
密码策略
帐户锁定策略
Kerberos 策略
本地策略
审核策略
用户权限分配
安全选项
事件日志:应用程序、 系统和安全事件日志设置
受限制的组:安全性敏感组的成员身份
系统服务:系统服务的启动和权限
注册表:注册表项的权限
文件系统:文件夹和文件的权限
每个模板保存为基于文本的.inf 文件。 这使您可以复制、 粘贴、 导入或导出某些或所有模板属性。 Internet 协议安全性和公钥策略的例外情况之外,可以在安全模板中包含所有的安全属性。
对组策略的安全设置扩展
组织单位、 域和站点链接到组策略对象。 安全设置工具允许更改组策略对象的安全配置反过来影响多台计算机。 与安全设置,可以修改多台计算机,具体取决于您修改从一台计算机加入到域的组策略对象的安全设置。
安全设置或安全策略是在一台计算机或保护计算机或网络上的资源的多台计算机配置的规则。 安全设置可以控制:
如何用户进行身份验证到网络或计算机。
哪些资源用户有权使用。
指示是否在事件日志中记录用户或组的操作。
组成员身份。
您可以更改以下两种方式的多台计算机上的安全配置:
通过使用安全模板的安全模板来创建安全策略,然后将通过安全设置的模板导入到组策略对象。
更改与安全设置的几个选择的设置。
本地安全策略
安全策略是会影响的计算机上的安全性的安全设置的组合。 您的本地安全策略可用于编辑本地计算机上的帐户策略和本地策略。
使用本地安全策略中,您可以控制:
谁访问您的计算机。
哪些资源用户有权使用您的计算机上。
指示是否在事件日志中记录用户或组的操作。
如果您的本地计算机加入域,那么就必须从域的策略或者从您是成员的任何组织单位的策略中获取的安全策略中。 如果您从多个源中获取一个策略,在以下优先顺序中解决冲突。
组织单位策略
域策略
网站策略
本地计算机策略
如果通过使用本地安全策略在本地计算机上修改安全设置,然后就直接修改这些设置在计算机上。 因此,设置立即生效,但这可能只是临时性。 设置在本地计算机上将保持有效,下次刷新组策略安全设置的这时从组策略接收的安全设置会覆盖您的本地设置有冲突。
使用安全配置管理器
有关如何使用安全配置管理器的过程,请参阅安全配置管理器 How To。 本部分包含有关本主题中的信息:
应用安全设置
导入和导出安全模板
分析安全和查看结果
解决安全性矛盾
自动化安全配置任务
应用安全设置
一旦您已编辑的安全设置,链接到您的组策略对象的组织单位中的计算机上刷新这些设置:
当重新启动计算机时,将刷新该计算机上的设置。
若要强制计算机刷新其安全设置,以及所有组策略设置,请参阅Gpupdate [LH]命令行工具。
当多个策略应用到一台计算机的策略优先顺序
对于由多个策略定义的安全设置,观察到以下优先顺序:
组织单位策略
域策略
网站策略
本地计算机策略
例如,加入到域的工作站将具有只要有冲突,则由域策略重写其本地安全设置。 同样,如果同一个工作站是对组织单位的成员,则从组织单位的策略应用的设置将覆盖的域和本地设置。 如果工作站是多个组织单位的成员,该工作站直接所在的部门将具有最高的优先顺序。
安全设置中的暂留
即使不能再在最初应用的策略中定义了设置仍然可以持续的安全设置。
会发生在安全设置中的持久性服务时:
以前尚未计算机定义的设置。
设置为注册表对象。
设置为文件系统对象。
通过本地策略或组策略对象应用的所有设置都存储在您的计算机上的本地数据库中。 只要修改安全设置,就计算机会将安全设置值保存到本地数据库中,也可保留应用于计算机的所有设置的历史记录。 如果某一策略首先定义安全设置,则不能再定义该设置该设置将在数据库中以前的值。 如果以前的值不在数据库中存在,然后该设置不会恢复到任何内容并定义按原样保留。 此行为有时被称为"纹身"。
注册表和文件设置将保持该设置被设置为其他值后才通过策略应用的值。
筛选基于组成员身份的安全设置
您还可以决定哪些用户或组将具有或不具有组策略对象而不考虑他们通过拒绝用户对该组策略对象应用组策略或读权限登录到哪台计算机对其应用。 这两种权限所需应用组策略。
导入和导出安全模板
安全配置和分析提供了导入和导出到或从数据库的安全模板的能力。
如果对分析数据库进行了任何更改,您可以通过将它们导出到一个模板来保存这些设置。 导出功能提供了将分析数据库设置保存为新的模板文件的能力。 然后可以使用此模板文件以分析或配置系统,或者可以向组策略对象导入。
分析安全和查看结果
通过比较系统安全威胁的当前状态的安全配置和分析执行安全分析分析数据库。 在创建期间,分析数据库使用至少一个安全模板。 如果您选择要导入多个安全模板,该数据库将合并的各种模板并创建一个复合模板。 它解决的导入; 顺序中的冲突导入的最后一个模板将优先。
安全配置和分析分析结果按显示安全区域中,使用可视标志表明问题。 它将显示每个安全属性当前的系统和基本配置设置中的安全区域。 若要更改分析数据库的设置,用鼠标右键单击该条目,然后依次属性。
可视标志 |
含义 |
|---|---|
红色的 X |
分析数据库中并在系统上,定义了该项,但不是匹配的安全设置值。 |
绿色的选中标记 |
分析数据库中并在系统上定义了该项并设置值匹配。 |
问号 |
该条目未定义分析数据库中并因此不进行分析。 如果一个条目则不会分析,它可能未定义分析数据库中或正在分析的用户可能没有足够的权限来对特定对象或区域执行分析。 |
感叹号 |
此项定义在分析数据库中,但实际的系统上不存在。 例如,可能有受限制的组的分析数据库中定义,但实际上并不存在分析的系统上。 |
没有突出显示 |
分析数据库中或在系统上未定义项。 |
如果您选择接受当前设置,则修改基本配置中的相应值来匹配它们。 如果您更改系统设置以匹配基本配置,则更改将会反映时使用安全配置和分析配置系统。
若要避免的已调查并确定是比较合理的设置的继续的标记,可以修改基本配置。 对模板的副本进行更改。
解决安全性矛盾
可以通过分析数据库和系统设置之间的差异来解决:
接受或更改某些或所有的值的已标记或不包含在配置中,如果您确定本地系统的安全级别都有效,因为该计算机的上下文 (或角色)。 这些属性值将在数据库中更新并在您单击应用到系统立即配置计算机。
系统配置为分析数据库的值,如果您确定系统不符合有效的安全级别。
正在为该计算机的角色更适合的模板导入到数据库中作为新的基本配置并将其应用到系统。
对分析数据库进行更改到在数据库中,不适用于安全模板文件存储的模板。 如果返回到安全模板中并编辑该模板或将存储的配置导出到相同的模板文件,将仅修改安全模板文件。
应使用立即配置计算机仅若要修改安全区域不受组策略设置,例如在本地文件和文件夹、 注册表项和系统服务的安全性。 否则,当应用组策略设置,它将优先于本地设置 — 例如帐户策略。 通常情况下,不使用立即配置计算机时分析的基于域的客户端的安全性,因为您将需要单独配置每个客户端。 在这种情况下,应返回到安全模板、 修改模板,并重新应用于相应的组策略对象。
自动化安全配置任务
通过从批处理文件或自动任务计划程序在命令提示符处调用 Secedit.exe 工具,可以使用它来自动创建并应用模板,并分析系统的安全性。 您还可以运行它动态地从命令提示符。
当有多台计算机在其安全必须分析或配置,并且您需要在非工作时间执行这些任务时,Secedit.exe 很有用。
使用组策略工具
组策略是一种允许你通过组策略设置和组策略首选项为用户和计算机指定受管理配置的基础结构。 对于仅影响本地计算机或用户的组策略设置,你可以使用本地组策略编辑器。 你可以在 Active Directory 域服务 (AD DS) 环境中通过组策略管理控制台 (GPMC) 管理组策略设置和组策略首选项。 组策略管理工具还包含在远程服务器管理工具包中,以帮助你从桌面管理组策略设置。
若要开始使用管理使用组策略的安全设置,请参阅组策略概述。
若要开始使用组策略管理控制台,请参阅有关的帮助组策略管理控制台TechNet 库中。
若要开始使用本地组策略编辑器,请参阅有关的帮助本地组策略编辑器。