一旦合適的安全模板被更改,就可以通過安全配置和分析組件或者命令行工具進行安全分析和配置。這個過程可以在應用安全模板到本地系統的時候進行。 警告:給Windows XP系統應用安全模板可能造成性能和功能的喪失。 向MMC中載入安全配置和分析組件 要向MMC中載入安全配置和分析組件: 運行微軟管理控制台(mmc.exe) 選擇控制台 - 添加/刪除組件 點擊添加 選擇安全配置和分析 點擊添加 點擊關閉 點擊確定 為了避免下次使用MMC時重新載入需要的組件,我們可以把控制台設置保存起來:在控制台菜單,選擇保存。默認情況下,文件將會被保存在當前登錄用戶的管理工具菜單中。 輸入你要保存的控制台的名稱 從這時開始,可以直接從開始-所有程序-管理工具直接訪問保存後的控制台。 注意:MMC中同時可以載入多個不同的組件,例如,安全模板還有安全配置和分析模板可以一起載入MMC並保存供以後使用。 安全配置數據庫 安全配置和分析組件使用數據庫保存分析或者配置的設置,要使用GUI打開一個已有的或者新數據庫: 在MMC中,在安全配置和分析節點上點擊鼠標右鍵 選擇打開數據庫 輸入已有或者新建的數據庫的名稱 點擊打開 注意:建議每次進行新的配置和分析都創建一個新數據庫。 配置文件可以通過以下幾種方法導入數據庫: 如果在打開數據庫時已經輸入了新數據庫的名稱,用戶將被自動要求輸入要導入的配置文件,否則: 在MMC左側面板的安全配置和分析節點上點擊鼠標右鍵 選擇導入模板 在導入模板對話框,選擇需要導入的inf文件 選中導入前清空數據庫選項,,以刪除任何之前保存在數據庫中的無用數據,見圖10 圖 10 注意:導入操作可能會附加或者復寫之前導入的數據庫信息,默認是附加。如果用戶不想把幾次分析的配置信息都綜合起來,就在導入模板前選中"導入前清空數據庫"選項。 警告:為了避免配置文件的混亂和混合,建議每次進行新的分析和配置前都選中這個選項。 點擊打開 Secedit 命令行選項 Secedit.exe,曾經在第二章介紹過,是通過命令行或者批處理和/或計劃任務的方式進行安全分析和配置時的有用工具。用secedit進行系統分析和配置時可用的參數有: secedit {/analyze | /configure} [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas] 表15 解釋了secedit.exe所有的運行參數。 表15 Secedit命令行參數 注意:secedit的/refreshpolicy參數(用於強制組策略更新)可用於Windows NT和Windows 2000,但已經不能在Windows XP中使用。這個參數被gpupdate.exe命令行工具取代了。 進行一次安全分析 安全分析是依靠數據庫進行的,倒入數據庫的配置文件決定分析的基線。配置文件中的安全設置跟當前系統的安全設置進行比較,並把比較獲得的結果保存回數據庫。基線的設置是依靠當前的系統設置的,配置信息也可以作為分析的結果進行修改。修改過的配置信息可以被導出到配置文件以供其它用途。 通過命令行工具進行安全分析 要通過命令行進行安全分析,可以在命令行窗口中執行以下命令: secedit /analyze [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet][/overwrite] [>> results_file] results_file 是包含了分析結果的文件名稱,在察看分析結果是這個文件是尤其重要的。如果 >> results_file 是空的,輸出的信息將會顯示在屏幕上。 通過GUI進行安全分析 圖11顯示了通過系統配置和分析組件進行安全分析的示例,使用GUI進行安全分析可以采取以下操作: 圖 11 在數據庫節點上點擊鼠標右鍵 選擇現在分析計算機… 在進行分析對話框中輸入錯誤日志的文件路徑 注意:日志信息是附加到現有日志文件中的,因此如果要寫入日志到新的文件就要指定新文件的名稱。 點擊確定 配置系統 在配置過程中,錯誤可能會導致存在於inf配置文件的某些特定的文件或者注冊表鍵沒有保存到系統中。但不用擔心,inf文件會自動嘗試恢復系統中跟配置文件不符合的部分。 通過命令行工具配置系統 要通過命令行工具一次配置所有可用的安全選項: secedit /configure [/cfg filename] [/db filename] [/log LogPath] [/verbose] [/quiet] [/overwrite] [/areas Areas] 警告:每次配置前輸入新的數據庫名稱發生錯誤或者使用/overwrite參數可能導致不可預知的行為。例如,導入的配置文件可能會跟其它文件混合,並報告一些預料外的分析結果。 下面是使用命令行工具配置特定安全區域的示例:
secedit /configure /cfg "WinXP_workstation.inf" /db newdb.sdb /log logfile.txt /overwrite /areas REGKEYS FILESTORE 這個示例將導入WinXP_workstation.inf配置文件的文件系統和注冊表權限設置並配置本地系統。 Configuring a System via the GUI 使用安全配置和分析組件進行系統配置可以按照以下步驟操作: 在數據庫節點上點擊鼠標右鍵 選擇現在配置計算機…. 在配置系統對話框,輸入錯誤日志的文件路徑 注意:日志信息會附加到現有的日志文件中,因此如果要寫入日志到新的文件就要指定新文件的名稱。 點擊確定 注意:通過GUI進行系統配置時,模板中的所有配置都會被應用,而不像secedit.exe可以用參數決定應用哪些安全區域。