如何在 Windows 2000 設定及套用安全性範本

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

本單元內容
目標
適用於
如何使用本單元
Windows 2000 加強指南設定範本
範本修改及手動設定
安全性設定範本應用程式工具
管理及套用安全性設定安全性範本

本單元內容

本單元定義包含在 Windows 2000 加強指南的安全性範本。本單元也說明設定及套用這些安全性範本的程序。

目標

透過本單元即可:

  • 識別包含在 Windows 2000 加強指南的安全性範本。

  • 設定安全性範本。

  • 套用安全性範本。


適用於

本單元適用於下列產品及技術:

  • Microsoft® Windows® 2000 作業系統

  • 安全性範本

  • 群組原則

  • 安全性設定編輯器


如何使用本單元

本單元用於在對 Windows 2000 系統套用安全性設定時提供幫助。本單元識別使用在 Windows 2000 加強指南的安全性範本,以及設定及套用範本的處理程序。

若要充分瞭解本單元:

  • 請參閱Windows 2000 安全性設定 >單元。本單元對安全性設定提供詳細的文件,這些設定可用於加強 Windows 2000 的安全性。

  • 請參閱Windows 2000 安全性設定工具 >單元。本單元強調用於套用安全設定的 Windows 2000 工具。

  • 請參閱Windows 2000 預設安全性原則設定 >單元。本單元識別套用於不同 Windows 2000 系統角色的預設安全性原則設定。

  • 請參閱Windows 2000 使用者權利和權限設定 >單元。本單元識別在 Windows 2000 系統的預設使用者權限指派,並提供在《Windows 2000 Security Configurations (英文)》所建議變更的清單。

  • 使用檢查清單「 Windows 2000 安全性設定檢查清單」。本單元包括安全性檢查清單,可用於測試系統時確認所有設定變更都已完成。

  • 下載安全性設定範本。由 http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下載此指南附帶的安全性範本。


Windows 2000 加強指南設定範本

為了方便,Windows 2000 加強指南包括了一組 Windows 2000 安全性設定範本。可以使用這些範本,讓定義在本文件中的建議安全性設定應用程式自動化。然而在套用安全性設定範本之前應該小心檢視所有的設定,因為組織的本機安全性原則可能需要調整為建議值或範本定義的安全性設定。

範本是累計的,以此判斷底線範本套用到所有的系統,而個別的範本必須僅使用到它們設計用途的系統。底線範本並非設計來單獨套用的。通常應該會結合一個其他適當的範本來套用。在網域環境中,底線範本包括需要套用到網域原則的設定,而其他範本則有套用到網域中不同 OU 的設定。

包括以下範本:

  • W2KHG_baseline.inf - 套用到所有電腦的一般設定。

  • W2KHG_MemberWks.inf - 針對網域成員工作站特有的設定。

  • W2KHG_MemberLaptop.inf - 針對網域成員膝上型電腦特有的設定。

  • W2KHG_MemberServer.inf - 針對加入網域的伺服器特有的設定。

  • W2KHG_DomainController.inf - 針對網域控制站特有的設定。

  • W2KHG_StandaloneWKS.inf - 針對獨立工作站特有的設定。

  • W2KHG_StandaloneSrv.inf - 針對獨立伺服器特有的設定。

在網路環境中,建議使用群組原則來部署設定。

範本修改及手動設定

必須手動修改以下的設定。出現未定案範本 (Boilerplate) 設定,必須修改以反映組織的安全性原則。如同下面章節<檢視及編輯安全性設定範本>的說明,可以使用 安全性範本嵌入式管理單元 工具來完成這些修改。也可以交替使用直接修改 INF 檔案,除非您熟悉它們的格式,否則不建議如此做。

警告:不正確修改 INF 檔案會導致系統嚴重的問題 !

  • 給企圖登入使用者的訊息標題。範本上的文字是一個預留位置而已,必須遵照組織的本地需求加以編輯。請參閱<修改安全性選項>章節,以取得詳細資料。

  • 給企圖登入使用者的訊息文字。範本上的文字是一個預留位置而已,必須遵照組織的本地需求加以編輯。請參閱<修改安全性選項>章節,以取得詳細資料。

必須套用以下建議的使用者及群組帳戶修改:

  • TsInternetUser。除非有使用終端機服務網際網路連接器,否則在 Windows 2000 伺服器及網域控制站應該停用 TsInternetUser 帳戶。安全性範本不能停用此帳戶。請參閱<預設使用者帳戶>章節,以取得詳細資料。

  • 網域使用者。從網域使用者群組移除來賓及 TSInternetUser 帳戶。安全性範本允許設定受限群組,該群組已定義有一組容許的成員,然而網域使用者群組必須允許所有的新使用者成為其成員,所以只有在您可以列舉所有需要加入的使用者時才設定受限群組。請參閱<預設群組帳戶>章節,以取得詳細資料。

其他設定程序:

  • 啟用自動螢幕鎖定保護。此程序在本文件的<啟用自動螢幕鎖定保護>章節。

  • 更新緊急修復磁片。此程序在本文件的<安裝 Service Pack 及 Hotfix 更新之前的建議動作>章節。

  • 備份網域系統管理員的加密憑證。此建議程序在本文件的<加密檔案系統>章節。


安全性設定範本應用程式工具

授權的系統管理員可以使用以下的工具來編輯及套用安全性設定範本。

  • 安全性範本嵌入式管理單元。
    此安全性範本嵌入式管理單元是一個獨立的 Microsoft Management Console (MMC) 嵌入式管理單元,允許建立包括所有安全區域安全設定的以文字為主的範本。

  • 安全性設定及分析嵌入式管理單元。
    安全性設定及分析嵌入式管理單元是一個獨立的 MMC 嵌入式管理單元,可以設定或分析 Windows 2000 作業系統的安全性。它的操作是基於使用安全性範本嵌入式管理單元所建立的安全性範本的內容。這是一個套用範本到獨立電腦或網域成員的好工具。

如同本文件中<Windows 2000 安全性原則>章節的說明,在網域層級,網域安全性原則及網域控制站安全性原則必須使用網域控制站的網域安全性原則網域控制站安全性原則 GUI 來套用。

管理及套用安全性設定安全性範本

本節提供編輯及套用安全性設定範本的程序。

延伸安全性設定編輯器介面

預設狀況下安全性設定是不會顯示的,可延伸 SCE 介面來顯示及設定安全性設定,但是這對組織是關係重大的議題。要如此做,可以使用新的 sceregvl.inf 範本。要取得更多資訊,請參閱 Microsoft Knowledge Base 文章 214752,《How to Add Custom Registry Settings to Security Configuration Editor (英文)》。在指南下載封裝中包含有由本指南所做設定的範本。要安裝該範本很容易,只要執行包含在指南中的「installSceregvl.bat」批次檔案即可。請注意,只需要在要做這些設定的電腦上安裝此範本。不需要在所有的目標電腦上安裝。

檢視及編輯安全性設定範本

可以在文字編輯器,例如 Notepad.exe安全性範本嵌入式管理單元工具開啟安全性設定範本並進行編輯。如果有其他經由安全性範本嵌入式管理單元工具看不到的建議登錄設定要加入範本,例如本文件<其他的安全性設定>章節所定義的,則建議使用 Notepad.exe

  • 使用安全性範本嵌入式管理單元工具編輯範本

    1. 複製所要的範本到「\%Systemroot%\Security\Templates」目錄,或硬碟上其他的位置。

      注意:如果複製它們到不同的位置,您需要 (a) 適當地保障該位置的安全以讓使用者無法修改範本,及 (b) 將其新增到 MMC 的安全性範本嵌入式管理單元。

    2. 按一下 [開始] 功能表,再按一下 [執行],然後鍵入 mmc.exe,然後按一下 [確定]。

    3. 在 [主控台] 功能表,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。

    4. 選取 [安全性範本],按一下 [新增],再按一下 [關閉],然後按一下 [確定]。

    5. 儲存嵌入式管理單元設定,在 [主控台] 功能表上按一下 [儲存]。為此主控台鍵入名稱,然後按一下 [儲存]。

    6. 在 [安全性範本嵌入式管理單元] 上,連按兩下 [安全性範本]。

    7. 連按兩下預設路徑資料夾 (%Systemroot%\Security\Templates),然後連按兩下所要修改的安全性設定範本。

    8. 連按兩下要修改的安全性原則 (例如帳戶原則)。

    9. 按要自訂的安全性區域 (例如密碼原則),然後連按兩下要修改的安全性屬性 (例如最小密碼長度)。

    10. 修改的程序和本文件<安全性設定>章節中的說明相同。

    11. 一旦完成修改,在已修改的安全性設定範本名稱上按一下滑鼠右鍵,然後按一下 [儲存]。

套用安全性範本到本機電腦

使用下面的程序套用安全性範本到執行 Windows 2000 Server 或 Professional 的本機電腦。如果電腦是網域成員的話,會從網域繼承所有的安全性設定,在本機電腦上就不需要此程序。

  • 套用安全性範本到執行 Windows 2000 Server 或 Professional 的本機電腦

    1. 使用有管理員權限的帳戶登入電腦。

    2. 複製所要的範本到系統磁碟分割的「\%Systemroot%\Security\Templates」(或「C:\WINNT\Security\Templates」) 資料夾。

    3. 按一下 [開始] 功能表,再按一下 [執行],然後鍵入 mmc.exe,然後按一下 [確定]。

    4. 在 [主控台] 功能表,按一下 [新增/移除嵌入式管理單元],然後按一下 [新增]。

    5. 選取 [安全性設定及分析],按一下 [新增],按一下 [關閉],然後按一下 [確定]。

    6. 儲存嵌入式管理單元設定,在 [主控台] 功能表上按一下 [儲存]。

    7. 在 [安全性設定及分析] 嵌入式管理單元上的 [安全性設定及分析] 按一下滑鼠右鍵。

      • 如果工作資料庫尚未設定,按一下 [開啟資料庫] 來設定工作資料庫。鍵入有「.sdb」副檔名的新資料庫名稱,然後按一下 [開啟]。找到並選取安全性設定範本,如此它就會出現在 [檔案名稱:] 文字方塊內。選取 [清除這個資料庫] 並按一下 [開啟]。

      • 如果工作資料庫已經設定,按一下 [匯入範本]。找到並選取安全性設定範本,如此它就會出現在 [檔案名稱:] 文字方塊內。選取 [清除這個資料庫] 並按一下 [開啟]。

    8. 在 [安全性設定及分析] 上按一下滑鼠右鍵,然後按一下 [立即設定電腦]。顯示錯誤記錄檔路徑的視窗會出現,按一下 [確定]。

      注意:安全性設定會立即生效,但是有些設定雖然已經套用了,還是要等到電腦重新啟動才會生效。

    9. 關閉 [安全性設定及分析] 工具並重新啟動電腦。

一旦範本建立之後,設定電腦較快的方法是使用 secedit.exe 命令列工具。

  • 使用 secedit.exe 命令列工具

    1. 開啟命令提示字元 (例如,按一下 [開始],然後按一下 [執行],鍵入 cmd.exe 並按 ENTER)。

    2. 要套用範本 W2KHG_baseline.inf 可使用以下的命令:


      secedit /configure /DB W2KHG_baseline.sdb /CFG W2KHG_baseline.inf /overwrite
       /LOG HGW2K_baseline.log
      

在命令提示字元鍵入 secedit /? 可取得如何使用 secedit 命令列工具更多完整的細節。

部署安全性範本到 Active Directory 物件安全性原則

以下程序會將本指南所包括的安全性範本匯入建議的 OU 結構。在網域控制站上執行以下程序之前,應該在環境中的 Windows 2000 Server 上先確定具體的原則 (.inf)。

警告:本指南中的安全性原則是設計來加強在您環境中的安全性。安裝本指南中的安全性範本,相當可能會導致組織環境的某些功能喪失。包括關鍵任務應用程式執行失敗。

因此在將這些範本部署在生產環境之前,必須經過仔細地測試。在套用任何新的安全性設定之前,備份環境中的每一部 DC 及伺服器。確認系統狀態也包括在備份中,才能夠使登錄設定或 Microsoft Active Directory® 物件被還原。

在繼續匯入安全性範本的程序之前,如果環境中的伺服器並未執行指南中建議的 Windows 2000 SP3 或以上的版本,請先套用 Knowledge Base 文章 295444,《SCE Cannot Alter a Service's SACL Entry in the Service's Registry Key (英文)》所討論的 hotfix。

如果沒有套用 hotfix,群組原則範本會無法停用任何服務。Hotfix 是由一個或多個檔案組成的單一累計封裝,用來解決產品的缺陷。Hotfix 可滿足特定客戶的處境,而且如果沒有 Microsoft 書面合法同意不能散佈到客戶組織之外。其他名詞 QFE、patch 和 update 也都可用作 hotfix 的同義詞。

  • 匯入原則

    1. 在 [Active Directory 使用者和電腦] 的 [網域] 上按一下滑鼠右鍵,然後再按一下 [內容]。

    2. 在 [群組原則] 索引標籤上,按一下 [新增] 來新增一個新的 GPO。

    3. 鍵入 Domain Security Policy 並按 ENTER

    4. 選取 [網域安全性原則] 並按一下 [編輯]。

    5. 在 [群組原則] 視窗,按一下 [電腦設定\視窗設定]。在 [安全性設定] 按一下滑鼠右鍵,再按一下 [匯入原則]。

    6. 在 [匯入原則自] 對話方塊,指向範本所存放的目錄,然後連按兩下要匯入的範本。

    7. 關閉已完成修改的群組原則。

    8. 關閉 [網域內容] 視窗。

    9. 在網域控制站間強迫複寫,如此所有的 DC 就會有此原則,作法如下:

      • 開啟命令提示字元,然後使用 Secedit.exe 命令列工具,來強迫 DC 更新網域原則,命令如下:


        secedit /refreshpolicy machine_policy /enforce.
        
    10. 事件日誌中確認原則下載成功,以及伺服器可和網域中其他的 DC 通訊。

Secedit.exe 是一個命令列工具,當其經由批次檔案或自動工作排程器被呼叫出來時,可用來自動建立和套用範本以及分析系統安全性。它也可以透過命令列動態地執行。

要注意很重要的是,應該將此原則匯入到組織中的任何其他網域。無論如何,環境中根網域密碼原則遠遠比其他網域嚴謹是很常見的。此外應該謹慎的確認,會使用此相同原則的任何其他網域也有相同的業務需求。因為密碼原則只能設定在網域層級,有可能會有業務或法律上的需要,只要簡單將一些使用者劃分到分隔的網域,然後對群組強制使用比較嚴格的密碼原則就可以了。

匯入網域安全性設定範本

  • 匯入網域的安全性範本

    1. 使用有管理員權限的帳戶登入網域控制站。

    2. 複製所要的範本到系統磁碟分割的「\%Systemroot%\Security\Templates」(或「C:\WINNT\Security\Templates」) 資料夾。

    3. 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],再按 [網域安全性原則]。如此會開啟 [網域安全性原則] 主控台。

    4. 在主控台樹狀目錄中的 [安全性設定] 按一下滑鼠右鍵。

    5. 按一下 [匯入原則]。

    6. 找到並選取安全性設定範本,如此它就會出現在 [檔案名稱:] 文字方塊內。選取 [清除這個資料庫] 並按一下 [開啟]。

    7. 關閉 [網域安全性原則] 主控台。

    遵照以下的程序匯入網域控制站安全性範本。

匯入網域控制站安全性設定範本

  • 匯入網域控制站安全性範本

    1. 使用有網域系統管理員權限的網域帳戶登入網域控制站。

    2. 複製所要的範本到系統磁碟分割的「\%Systemroot%\Security\Templates」(或「C:\WINNT\Security\Templates」) 資料夾。

    3. 按一下 [開始],並依序指向 [程式集] 及 [系統管理工具],再按 [網域控制站安全性原則]。如此會開啟 [網域控制站安全性原則] 主控台。

    4. 在主控台樹狀目錄中的 [安全性設定] 按一下滑鼠右鍵。

    5. 按一下 [匯入原則]。

    6. 找到並選取安全性設定範本,如此它就會出現在 [檔案名稱:] 文字方塊內。選取 [清除這個資料庫] 並按一下 [開啟]。

    7. 重新啟動網域控制站。


顯示: