管理安全策略设置

本文内容

适用范围

本文讨论在本地设备或整个中小型组织中管理安全策略设置的不同方法。

安全策略设置应用作整体安全实现的一部分，以帮助保护组织中的域控制器、服务器、客户端设备和其他资源。

安全设置策略是在设备或多台设备上配置的规则，用于保护设备或网络上的资源。 本地组策略编辑器管理单元 (Gpedit.msc) 的安全设置扩展允许将安全配置定义为组策略对象 (GPO) 的一部分。 GPO 链接到 Active Directory 容器（如站点、域和组织单位），使管理员能够管理从加入域的任何设备中的多台计算机的安全设置。

安全设置可以控制：

有关每个设置的信息（包括说明、默认设置以及管理和安全注意事项），请参阅 安全策略设置参考。

若要管理多台计算机的安全配置，可以使用以下选项之一：

设置管理方式的更改

随着时间的推移，引入了管理安全策略设置的新方法，其中包括新的操作系统功能和添加新设置。 下表列出了管理安全策略设置的不同方法。

工具或功能说明和使用

Secpol.msc

MMC 管理单元设计为仅管理安全策略设置。

Secedit.exe

通过将当前配置与指定的安全模板进行比较来配置和分析系统安全性。

工具下载

一个解决方案加速器，可帮助你规划、部署、操作和管理 Windows 客户端和服务器操作系统以及 Microsoft 应用程序的安全基线。

Scw.exe

SCW 是基于角色的工具，仅在服务器上可用：可以使用它创建一个策略，使所选服务器执行特定角色所需的服务、防火墙规则和设置。

此工具集允许你为本地设备、组织单位或域创建、应用和编辑安全性。

Gpmc.msc 和 Gpedit.msc

组策略管理控制台使用 组策略 对象编辑器来公开本地安全选项，这些选项随后可以合并到 组策略 对象中，以便在整个域中分发。 本地组策略编辑器在本地设备上执行类似的功能。

软件限制策略

请参阅 管理软件限制策略

Gpedit.msc

软件限制策略 (SRP) 是一项基于组策略的功能，用于标识在域中的计算机上运行的软件程序，并控制这些程序运行的能力。

管理 AppLocker

请参阅 管理 AppLocker

Gpedit.msc

防止恶意软件 (恶意软件) 和不支持的应用程序影响环境中的计算机，并防止组织中的用户安装和使用未经授权的应用程序。

使用本地安全策略管理单元

本地安全策略管理单元 (Secpol.msc) 将本地策略对象的视图限制为以下策略和功能：

如果计算机已加入域，则可能会覆盖本地设置的策略。

本地安全策略管理单元是安全Configuration Manager工具集的一部分。 有关此工具集中的其他工具的信息，请参阅本主题。

使用 secedit 命令行工具

secedit 命令行工具适用于安全模板，并提供六个主要功能：

使用安全合规性管理器

安全合规性管理器是一种可下载的工具，可帮助你规划、部署、操作和管理 Windows 客户端和服务器操作系统以及 Microsoft 应用程序的安全基线。 它包含一个完整的数据库，其中包含建议的安全设置、自定义基线的方法，以及以多种格式实现这些设置的选项，包括 XLS、GPO、Desired Configuration Management (DCM) 包或安全内容自动化协议 (SCAP) 。 安全合规性管理器用于将基线导出到环境，以自动执行安全基线部署和合规性验证过程。

使用安全合规性管理器管理安全策略

下载最新版本。 可以在 Microsoft 安全基线 博客中找到详细信息。阅读此工具中包含的相关安全基线文档。下载并导入相关的安全基线。 安装过程逐步完成基线选择。在部署这些基线之前，打开“帮助”并按照如何自定义、比较或合并安全基线的说明进行操作。使用安全配置向导

安全配置向导 (SCW) 指导你完成创建、编辑、应用或回滚安全策略的过程。 使用 SCW 创建的安全策略是一个.xml文件，应用后，该文件将配置服务、网络安全、特定注册表值和审核策略。SCW 是基于角色的工具：可以使用它创建策略，使所选服务器执行特定角色所需的服务、防火墙规则和设置。 例如win7没有组策略编辑器，服务器可能是文件服务器、打印服务器或域控制器。

下面是使用 SCW 时的注意事项：

可以通过服务器管理器或运行scw.exe来访问 SCW。 向导将引导你完成服务器安全配置，以便：

安全策略向导根据服务器的角色配置服务和网络安全，并配置审核和注册表设置。

有关 SCW 的详细信息（包括过程），请参阅 安全配置向导。

使用安全Configuration Manager

使用安全Configuration Manager工具集，可以创建、应用和编辑本地设备、组织单位或域的安全性。

有关如何使用安全Configuration Manager的过程，请参阅安全Configuration Manager。

下表列出了安全Configuration Manager的功能。

安全Configuration Manager工具描述

在模板中定义安全策略。 这些模板可以应用于组策略或本地计算机。

在模板中定义安全策略。 这些模板可以应用于组策略或本地计算机。

编辑域、站点或组织单位上的单个安全设置。

编辑本地计算机上的单个安全设置。

Secedit

在命令提示符下自动执行安全配置任务。

安全配置和分析

安全配置和分析是一个 MMC 管理单元，用于分析和配置本地系统安全性。

安全分析

设备上的操作系统和应用的状态是动态的。 例如，可能需要暂时更改安全级别，以便立即解决管理或网络问题。 但是，这种更改通常无法反转。 这种不可逆的更改状态意味着计算机可能不再满足企业安全性的要求。

通过定期分析，可以跟踪并确保作为企业风险管理计划的一部分，每台计算机上的适当安全级别。 可以优化安全级别，最重要的是，检测系统随时间推移可能发生的任何安全漏洞。

使用安全配置和分析可以快速查看安全分析结果。 它提供当前系统设置的建议，并使用视觉标志或备注来突出显示当前设置与建议的安全级别不匹配的任何区域。 安全配置和分析还能够解决分析显示的任何差异。

安全配置

安全配置和分析还可用于直接配置本地系统安全性。 通过使用个人数据库，可以导入使用安全模板创建的安全模板，并将这些模板应用于本地计算机。 这些安全模板会立即使用模板中指定的级别配置系统安全性。

安全模板

使用 Microsoft 管理控制台的安全模板管理单元，可以为设备或网络创建安全策略。 它是一个单一入口点，可以考虑所有系统安全性。 安全模板管理单元不会引入新的安全参数，它只是将所有现有安全属性组织到一个位置，以简化安全管理。

将安全模板导入组策略对象可同时配置域或组织单位的安全性，从而简化域管理。

若要将安全模板应用于本地设备，可以使用安全配置和分析或 secedit 命令行工具。

安全模板可用于定义：

本地策略事件日志：应用程序、系统和安全事件日志设置受限组：安全敏感组的成员身份系统服务：系统服务的启动和权限注册表：注册表项的权限文件系统：文件夹和文件的权限

每个模板都保存为基于文本的 .inf 文件。 使用此文件可以复制、粘贴、导入或导出部分或全部模板属性。 除 Internet 协议安全性和公钥策略外，所有安全属性都可以包含在安全模板中。

组策略的安全设置扩展

组织单位、域和站点链接到组策略对象。 使用安全设置工具，可以更改 组策略 对象的安全配置，进而影响多台计算机。 使用安全设置，可以根据修改的组策略对象，修改许多设备的安全设置win7没有组策略编辑器，只需将一个设备加入域即可。

安全设置或安全策略是在设备或多台设备上配置的规则，用于保护设备或网络上的资源。 安全设置可以控制：

可以通过两种方式更改多台计算机上的安全配置：

本地安全策略

安全策略是影响设备上安全性的安全设置的组合。 可以使用本地安全策略来编辑本地设备上的帐户策略和本地策略

使用本地安全策略可以控制：

如果本地设备已加入域，则需要从域的策略或你所属的任何组织单位的策略获取安全策略。 如果从多个源获取策略，则冲突将按以下优先级顺序解决。

组织单位策略域策略站点策略本地计算机策略

如果使用本地安全策略修改本地设备上的安全设置，则直接修改设备上的设置。 因此，设置会立即生效，但这种效果可能只是暂时的。 设置实际上将在本地设备上保持有效，直到下次刷新组策略安全设置，从组策略收到的安全设置将覆盖本地设置（无论发生冲突）。

使用安全Configuration Manager

有关如何使用安全Configuration Manager的过程，请参阅安全Configuration Manager操作方法。 本节包含本主题中有关以下内容的信息：

应用安全设置

编辑安全设置后，在链接到 组策略 对象的组织单位的计算机上刷新这些设置：

将多个策略应用于计算机时策略的优先级

对于由多个策略定义的安全设置，将遵循以下优先级顺序：

组织单位策略域策略站点策略本地计算机策略

例如，加入域的工作站将在发生冲突时由域策略覆盖其本地安全设置。 同样，如果同一工作站是组织单位的成员，则从组织单位的策略应用的设置将覆盖域和本地设置。 如果工作站是多个组织单位的成员，则立即包含该工作站的组织单位具有最高优先级。

注意

使用gpresult.exe了解将哪些策略应用于设备以及按何种顺序应用。

对于域帐户，只能有一个帐户策略，其中包括密码策略、帐户锁定策略和 Kerberos 策略。

安全设置中的持久性

即使最初应用安全设置的策略中不再定义某个设置，安全设置仍可能保留。

在以下情况下，安全设置中的持久性发生：

通过本地策略或组策略对象应用的所有设置都存储在设备上的本地数据库中。 每当修改安全设置时，计算机都会将安全设置值保存到本地数据库，该数据库保留已应用于设备的所有设置的历史记录。 如果策略首先定义安全设置，然后不再定义该设置，则该设置将采用数据库中的上一个值。 如果数据库中不存在上一个值，则该设置不会还原为任何内容，并且仍按原样定义。 此行为有时称为“纹身”。

注册表和文件设置将保留通过策略应用的值，直到该设置设置为其他值。

基于组成员身份筛选安全设置

还可以通过拒绝用户或组在该组策略对象上应用组策略或读取权限来决定将或不会应用组策略对象，而不管他们登录到了哪个计算机。 应用组策略需要这两个权限。

导入和导出安全模板

安全配置和分析允许在数据库中导入和导出安全模板。

如果对分析数据库进行了任何更改，可以通过将这些设置导出到模板中来保存这些设置。 导出功能允许将分析数据库设置保存为新的模板文件。 然后，可以使用此模板文件来分析或配置系统，也可以将其导入到 组策略 对象。

分析安全性并查看结果

安全配置和分析通过将系统安全性的当前状态与 分析数据库进行比较来执行安全分析。 在创建过程中，分析数据库至少使用一个安全模板。 如果选择导入多个安全模板，数据库将合并各种模板并创建一个复合模板。 它按导入顺序解决冲突;导入的最后一个模板优先。

安全配置和分析使用可视标志指示问题，按安全区域显示分析结果。 它显示安全区域中每个安全属性的当前系统和基本配置设置。 若要更改分析数据库设置，请右键单击条目，然后单击“ 属性”。

视觉对象标志含义

红色 X

条目在分析数据库和系统上定义，但安全设置值不匹配。

绿色检查标记

条目在分析数据库中和系统上定义，并且设置值匹配。

问号

该条目未在分析数据库中定义，因此未分析。

如果未分析某个条目，则可能是在分析数据库中未定义该条目，或者运行分析的用户可能没有足够的权限在特定对象或区域上执行分析。

感叹 号

此项在分析数据库中定义，但在实际系统上不存在。 例如，可能有一个受限组，该组在分析数据库中定义，但在分析的系统上实际上不存在。

无突出显示

项未在分析数据库或系统上定义。

如果选择接受当前设置，则会修改基本配置中的相应值以匹配它们。 如果将系统设置更改为与基本配置匹配，则使用安全配置和分析配置系统时，更改将反映出来。

若要避免继续标记已调查并确定合理的设置，可以修改基本配置。 对模板的副本进行了更改。

解决安全差异

可以通过以下方法解决分析数据库和系统设置之间的差异：

自动执行安全配置任务

通过在命令提示符处从批处理文件或自动任务计划程序调用 secedit.exe 工具，可以使用该工具自动创建和应用模板，并分析系统安全性。 还可以从命令提示符动态运行它。如果有多个设备必须分析或配置安全性，并且需要在非工作时间执行这些任务，则Secedit.exe非常有用。

使用组策略工具

组策略是一种基础结构，允许你通过组策略设置和组策略首选项为用户和计算机指定托管配置。 对于仅影响本地设备或用户的组策略设置，可以使用本地组策略编辑器。 可以通过 组策略 管理控制台 (GPMC) 在Active Directory 域服务 (AD DS) 环境中管理组策略设置和组策略首选项。 组策略管理工具也包含在远程服务器管理工具包中，以便通过桌面管理组策略设置。