内容发布更新时间 : 2024/6/10 17:35:56星期一 下面是文章的全部内容请认真阅读。

龙源期刊网 http://www.qikan.com.cn

基于安全模板的Windows终端安全策略部署

作者：谭可久

来源：《电脑知识与技术》2011年第22期

摘要：随着机构信息化程度越来越高，信息安全问题也日益对机构的安全运营产生巨大影响，而终端计算机安全与机构整体信息安全水平关系重大。Windows操作系统在全球机构办公终端中占着极高的占有率。如何对Windows办公终端进行快速的安全策略部署，提高安全管理效果和效率是个亟需解决的问题。该文将探讨如何利用微软提供的安全模板和命令行工具对Windows办公终端进行快速批量的部署。

关键词：windows终端；安全模板；安全策略；自动化部署

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5326-04 Deploying Windows-Based Terminal Security Policy Based on Security Templates TAN Ke-jiu1,2

(1.Hubei University of Technology, Wuhang 430068, China; 2.Hechi University, Yizhou 546300, China)

Abstract: With the increasing degree of institutional informationization, information security issues are also increasingly having a tremendous impact on the organization's security operationfs, and the terminal computer security and overall information security level of institutions is at stake.

Windows operating systemhas a high market share in the global institutions terminal. It is an urgent to solve the problem that how to carry on the security policy deployment to the Windows office terminal, improve the effectiveness and efficiency of security management. This Paper will explore how to use the security templates provided by Microsoft and Windows command-line tool for office terminal deployment.

Key words: Windows-based terminal; security template; security policy; automation deployment 1 Windows办公终端安全风险

终端计算机作为机构信息处理的一个重要组成部分，其安全事关整个信息系统。近年来的网络安全形势不容乐观，国家互联网应急中心的《2010年上半年中国互联网网络安全报告》指出2010年上半年CNCERT共接收到网络安全事件报告与2009年上半年相比增长105%，给企业造成了不可挽回的经济和政治上的损失。另据市场研究公司NetApplications的最新数据显

龙源期刊网 http://www.qikan.com.cn

示，2010年Windows操作系统的全球市场占有率达91%，Windows系统占据着大部分企业、政府部门和学校的办公电脑终端。

很多企事业单位的办公终端数量多，分布地理位置分散又未进行集约管理，管理人员少而负责事务杂，用户计算机水平参差不齐，出现信息安全问题多，管理员疲于奔命。如何更快速有效的对Windows终端进行安全策略部署、管理、监测，是亟需解决的问题。本文将利用安全模板部署工具尝试解决这一问题。 2 安全模板（Security Templates）

安全模板是基于文本的INF文件，该文件以特定格式定义了几个安全区域的安全设置。这些安全区域包括密码和帐户锁定策略，审核、用户权利及安全选项策略，事件日志设置，受限制的组设置，系统服务设置，注册表安全设置和文件系统安全设置。模板文件的某些章节包含由安全描述符定义语言(SDDL)定义的特定访问控制列表(ACL)。

使用MMC系统控制台的“安全模板”管理单元或文本编辑器来更改这些文件，进而使用MMC系统控制台的“安全配置和分析”模块或命令行工具将安全模板所定义的安全设置应用到计算机，利用该模块分析计算机安全配置是否符合政策规定的安全级别，允许管理员跟踪并确保计算机处在合适的安全状态。 3 安全策略部署流程

建立合适的安全策略部署模型是实施有效安全管理的基础，是实现安全管理可持续、可控制、可维护的依据，实现信息系统的可用性、保密性和完整性的保证，所以选择适当的安全策略部署模型非常重要。参考国际通行的APPDRR网络安全模型，安全策略生命周期部署模型见图1。

通过Windows终端安全风险分析确认机构中信息终端中需要实施安全管理的具体对象，找出终端的安全短板和面临的威胁，评估发生安全事件的概率，估算能承受的风险值，为安全策略制定与实施提供依据。

制定安全策略是整个Windows终端安全保障工程的关键环节，是在安全政策和安全管理原则的指导下，在安全风险评估结果和用户需求基础上，根据终端系统要实现的安全目标制定，目的是确保目标终端在应用此策略后能实现相当的安全级别。

策略实施就是在完成Windows终端安全策略制定后，通过一系列的安全技术和方法，利用系统自带的安全管理工具或第三方安全管理软件完成安全策略的实现、测试、部署工作，完成Windows终端系统保护，阻止安全事件发生，保证安全事件发生的概率和危害，都在机构可接受范围之内。

龙源期刊网 http://www.qikan.com.cn

安全策略实施后并非一劳永逸，我们需要定期检测安全策略在Windows终端部署运行情况，安全管理工具是否按既定的方案保护终端计算机，询问用户在操作Windows终端时有无发现因为安全策略实施而导致的异常。在安全事件发生后，提取日志和重现事件来分析造成安全事件的原因，据此纠正Windows终端安全策略。这就要求在部署安全策略时应具有可追溯性，提供必要的安全策略实施备忘文件和终端系统安全日志记录，以保证我们能实现有效的监测和及时的响应。

4 Windows办公终端风险分析

1) Windows终端漏洞层出不穷，利用第三方软件漏洞攻击系统事件频发。从漏洞出现到被恶意利用的时间越来越短，给终端计算机造成严重威胁。终端计算机往往是机构管控的盲端，出现的系统漏洞不能得到及时修补，第三方软件漏洞未能得到重视，给恶意软件提供一个隐蔽的攻击通道。

2) 病毒、木马和恶意软件攻击。它们主要是通过网页浏览、下载软件、局域网和U盘等几个途径传播。Windows终端未能进行正确的权限配置，大多以管理权限运行，导致病毒木马入侵计算机后获得高权限，造成严重危害。

3) 终端缺乏准入规范，造成终端的非授权访问风险，破坏数据的完整性和机密性。用户往往为了方便，将Windows终端设定为自动登陆，有的干脆不设置帐户密码，给Windows终端安全带来隐患。

4) 用户缺乏安全意识和安全知识。用户的不当操作或对系统设置的随意修改造成终端系统安全防线崩溃。如开启Guest帐户，设置不恰当的共享，使用弱密码或空密码，开启不必要的服务项等。 5 安全策略制定

在安全策略规划实施过程中，应当贯彻最小权限和最少服务原则、可追溯性原则、易用性与安全性统一原则和可维护性原则。 1) 最小权限和最小服务原则

帐户安全。帐户安全是信息系统安全的第一道防线，通过密码安全策略来防止用户使用空密码或弱密码，设置帐户锁定策略来防止暴力破解密码，关闭一些特殊帐户如Guest帐户等。 系统服务安全。服务是后台运行的应用程序，为本地和通过网络访问的用户提供某些功能。根据用户需要，禁止不必要的服务，授予或禁止用户具有特定服务项的权限。如禁用Remote Registry、TCP/IP NetBIOS Helper、Workstation和Server服务等。