安全模板是 Windows 2000 的新特性。它是 安全配置的物理表示方法，由 Windows 2000 支持的安全屬性的文件（ .inf ）組成。它將所有現(xiàn)有的安全屬性組織到一個位置以簡化安全性管理。安全模板所包含的安全性信息有這樣七類：帳戶策略、本地策略、時間日志、受限組、文件系統(tǒng)、注冊表、系統(tǒng)服務。安全模板也可以用作安全分析。 .

二、適用范圍

Windows 2000 專業(yè)版和服務器版

三、 模板：

微軟推薦了 一系列 Windows 2000 安全配置模板

W2KHG_baseline.inf – 應該應用于所有計算機的通用設置。

W2KHG_MemberWks.inf – 只針對作為域成員的工作站的設置。

W2KHG_MemberLaptop.inf – 只針對作為域成員的便攜式計算機的設置。

W2KHG_MemberServer.inf – 只針對與域連接的服務器的設置。

W2KHG_DomainController.inf – 只針對域控制器的設置。

W2KHG_StandaloneWKS.inf – 只針對獨立工作站的設置。

W2KHG_StandaloneSrv.inf – 只針對獨立服務器的設置。

安全模板可以從 http://www.microsoft.com/downloads/details.aspx?FamilyID=15e83186-a2c8-4c8f-a9d0-a0201f639a56&displaylang=en 下載

四、查看和編輯安全配置模板

1 、將所需的模板復制到“ %Systemroot%SecurityTemplates ”目錄中或硬盤的其他某一位置。

注意：如果您將它們復制到不同的位置，則需要 (a) 適當?shù)乇ＷC該位置的安全，以使用戶無法修改模板， (b) 將其添加到 MMC 的安全模板管理單元中。

2 、單擊“開始”，單擊“運行”，鍵入 mmc.exe ，然后單擊“確定”。

3 、在“控制臺”菜單上，單擊“添加 / 刪除管理單元”，然后單擊“添加”。

4 、選定“安全模板”，單擊“添加”，單擊“關閉”，然后單擊“確定”。

5 、要保存管理單元設置，請單擊“控制臺”菜單上的“保存”。鍵入此控制臺的名稱，然后單擊“保存”。

6 、在“安全模板”管理單元中，雙擊“安全模板”。

7 、雙擊默認的路徑文件夾 (%Systemroot%SecurityTemplates) ，然后雙擊要修改的安全配置模板。

8 、雙擊要修改的安全策略（例如“帳戶策略”）。

9 、單擊要自定義的安全區(qū)域（如“密碼策略”），然后雙擊要修改的安全屬性（如“密碼長度最小值”）。

10 、修改步驟與本文檔的“安全配置”一節(jié)中所述的步驟相同。

11 、完成修改后，右鍵單擊已修改的安全配置模板的名稱，然后單擊“保存”。

五、使用模板

1 、 用具有管理權限的帳戶登錄計算機。

2 、將所需的模板復制到系統(tǒng)分區(qū)的“ %Systemroot%SecurityTemplates ”（或“ C:WINNTSecurityTemplates ”）文件夾中。

3 、單擊“開始”，單擊“運行”，鍵入 mmc.exe ，然后單擊“確定”。

4 、在“控制臺”菜單上，單擊“添加 / 刪除管理單元”，然后單擊“添加”。

5 、選擇“安全配置和分析”，單擊“添加”，再單擊“關閉”，然后單擊“確定”。

6 、要保存管理單元設置，請單擊“控制臺”菜單上的“保存”。

7 、在“安全配置和分析”管理單元中，右鍵單擊“安全配置和分析”。

如果還未設置一臺工作數(shù)據(jù)庫，單擊“打開數(shù)據(jù)庫”以設置一臺工作數(shù)據(jù)庫。鍵入新數(shù)據(jù)庫的名稱，以“ .sdb ”為擴展名，然后單擊“打開”。找到安全配置模板，并選定它，這樣它就會出現(xiàn)在“文件名：”文本框中。選定“清除此數(shù)據(jù)庫”并單擊“打開”。

如果已設置工作數(shù)據(jù)庫，單擊“導入模板”。找到安全配置模板，并選定它，這樣它就會出現(xiàn)在“文件名：”文本框中。選定“清除此數(shù)據(jù)庫”并單擊“打開”。

8 、右鍵單擊“安全配置和分析”，然后單擊“立即配置計算機”。一個窗口出現(xiàn)，顯示出錯誤日志文件的路徑，這時單擊“確定”。

注意：安全設置可立即設置好，部分設置盡管已被應用，但它們只有在重啟計算機后才生效。

9 、關閉“安全配置和分析”工具，并重啟計算機。

六、幾個必須修改的參數(shù)

1 、安全日志的設置：因為安全日志是記錄一個系統(tǒng)的重要手段，因此通過日志可以查看系統(tǒng)一些運行狀態(tài)，而 Windows 2000 的默認安裝是不開任何安全審核的，因此需要在安全模板→審核策略中打開相應的審核。單擊“本地策略→審核策略”

設成：審核策略更改 成功，失敗

審核登錄事件 成功，失敗

審核對像訪問 成功，失敗

審核過程跟蹤 成功，失敗

審核目錄服務訪問 失敗

審核特權使用 失敗

審核系統(tǒng)事件 成功，失敗

審核帳戶登錄事件 成功，失敗

審核帳戶管理 成功，失敗

然后按右鍵保存

2 、賬號安全設置： Windows 2000 的默認安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號和共享列表，造成一些密碼容易泄漏而對電腦進行攻擊，所以必須采用以下進行安全設置。單擊“帳戶策略→密碼策略”，這個項目。

設成： 在密碼策略中設置：啟用 “ 密碼必須符合復雜性要求 ” ， “ 密碼長度最小值 ” 為 12 個字符， “ 強制密碼歷史 ” 為 5 次， “ 密碼最長存留期 ” 為 30 天。 然后按右鍵保存

3 、 安全選項設置：單擊 “ 本地策略 → 安全選項 ” ，找到右欄 “ 對匿名連接的額外限制 ” 。雙擊對其中有效策略進行設置，選擇 “ 不允許枚舉 SAM 賬號和共享 ” 。因為這個值是只允許非 NULL 用戶存取 SAM 賬號信息和共享信息，一般選擇此項。 然后按右鍵保存

注意：改動過后請重復第五步！（或者在控制面板 -> 管理工具 -> 本地安全策略的相關條目里修改