2．创建模板

　　基本知识已经了解得差不多了，下面就让我们从头开始构建一个模板。右击模板的路径（图一是d:windowssecurity emplates，你的Windows可能有所不同），然后选择菜单“新加模板”，输入模板的名称，假设是Simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。下面，作为一个试验，让我们限制Administrators组、设置F:adminstuff的ACL、关闭Indexing服务。所有这些设置都可以在Simple节点下完成。

　　首先，我们要设置一下Administrator组，只允许本地的Administrator帐户和域的Domain Admins组加入Administrators组。扩展左边窗格中的Simple节点，选中“受限制的组”。如果操作系统是XP，右边窗格会显示出“此视图中没有可显示的项目”；如果是Win 2K，右边窗格保持空白。现在右击“受限制的组”节点，选择菜单“添加组”，在新出现的对话框中，点击“浏览”并找到本地工作站或成员服务器的Administrators组。注意，这里我们要加入的是本地的Administrators组，而不是加入域的组；如果你用域的帐户登录工作站，“浏览”对话框将假定你想要从域加入组（而不是假定你要从工作站或成员服务器的本地SAM加入组）。返回“添加成员”对话框后，点击“确定”。如果你使用的是XP，可以看到一个“Administrators属性”对话框；如果是Win 2K，必须右击右边窗格中的Administrators然后选择“安全”才能打开类似的对话框，但Win 2K对话框的标题是“为Administrators配置成员”。

　在这个对话框中，如图二，窗口上方有一个“这个组的成员”清单，窗口的下方有一个“这个组隶属于”清单。点击上面清单旁边的“添加”按钮打开“添加成员”对话框。

图二

　　如果是Win 2K，点击“浏览”按钮并选择域的Domain Admins组；如果是XP，点击“浏览”按钮打开的是一个“选择用户”对话框，如图三，但Domain Admins不会出现在列表中，你必须首先点击“对象类型”，选择“组”，点击“确定”返回“选择用户”对话框，选择（或者输入）Domain Admins。按照同样的步骤加入Administrator帐户。

图三

　　接下来我们设置模板的第二部分，使得任何拥有F:adminstuff文件夹的系统把该文件夹设置成只允许本地管理员访问。在左边窗格中，右击“文件系统”，选择“添加文件”，在“添加文件或文件夹”对话框中找到或者输入f:adminstuff目录。

点击“确定”，出现一个标准的NTFS权限设置对话框。现在删除所有默认提供的授权规则，加入对本地Administrators组的“完全控制”授权。注意NTFS安全设置对话框里还可以调整高级NTFS选项，例如设置审核功能、所有者权限等。点击“确定”，系统会询问是否把权限设置传播给所有子文件夹和文件，根据需要选择一个选项，点击“确定”。

　　自CodeRed和Nimda肆虐以来，Indexing服务就引起了人们担忧，在不必使用该服务的系统上，最好的选择就是将它关闭。在控制台左边的窗格中，点击“系统服务”，在右边窗格中右击Indexing服务，选择“属性”（对于XP）或者“安全”（对于Win 2K）。在“Indexing Service属性”对话框中，如图四，选中“在模板中定义这个策略设置”，这时系统显示出“安全设置 Indexing Service”对话框，现在我们不需要设置该对话框的选项，因此点击“取消”返回图四的对话框。在图四对话框中选择“已停用”，然后点击“确定”。

图四

　　右击控制台左边窗格中的Simple模板，选择“保存”。现在winntsecurity emplates或windowssecurity emplates目录下有了一个Simple.inf文件。

　　激活安全模板的命令是Secedit，命令语法为：secedit /configure /cfg /db /overwrite /log 。其中templatefilename是模板文本文件的名称（本例是D:windowssecurity emplatessimple.inf），databasefilename是安全数据库文件的名称。

　　安全模板有点象程序的源代码：人可以阅读，但计算机不能直接识别，就象程序的源代码必须编译成二进制执行文件一样，安全模板也必须转换成二进制格式的安全数据库。Secedit既能够编译模板文件，也能够部署二进制的安全数据库，但我们必须为安全数据库指定路径和文件名称，例如C:securitysimple.db。

　　最后，Secedit还要报告处理经过和结果，我们要指定一个日志文件的名称，例如C:securitysimple.log。/overwrite选项告诉Secedit覆盖任何同名文件。因此，本例中完整的Secedit命令应该是：secedit /configure /cfg D:windowssecurity emplates simple.inf /db C:securitysimple.db /overwrite /log C:securitysimple.log。这个命令有点长，但显然要比到每一台机器上手工修改各个安全选项方便多了。你不妨试着编辑和部署几个模板，相信这个强大的工具一定会让你爱不释手。

• 上一篇:asp函数:网站如何通过限制请求防止被采集
• 下一篇:ASP应用;利用正则表达式去掉字符串中的html内容