在 Windows的群組原則管理與安全性設定(Security Settings)中, 安全性範本(Security
Template)是一種 .inf 純文字檔, 內含一系列預先定義好的安全性組態值,
它最大的用途是:
。快速套用或比較安全基準: 透過安全性設定與分析(Security Configuration and
Analysis, SCA) 或在 GPMC中「匯入原則」, 即可把範本匯入至本機或網域 GPO,
批次設定或比對目前系統狀態
。可重複使用/版本控管: 因為是文字檔, 可以存放在版本控制系統方便變更追蹤
。離線編輯: 透過安全性範本 MMC snap-in(secpol.msc →
按右鍵安全性設定→開啟安全性範本), 或直接用文字編輯器修改w-studio.idv.tw
幾個安全性範本涵蓋的主要設定類別:
| 類別 | 說明 | 常見子設定 |
|---|---|---|
| 帳戶原則 | 只在網域 GPO之網域層級或本機原則生效 | 。密碼原則: 最短長度、複雜度、到期天數 。帳戶鎖定原則: 鎖定次數、鎖定時間 。Kerberos 原則: 票證存活時間等 |
| 本機原則 | 控制 OS全域行為 | 。稽核原則: 登入/存取/物件等事件要不要記錄 。使用者權限指派: 誰能關機、備份、以服務登入 。安全性選項: 如 UAC行為、SMB簽署、匿名 SID/名稱對應 |
| 事件記錄 | 規範三大事件檔大小與保留 | 系統、應用程式、安全性,最大大小、保留模式 |
| 受限制的群組 | 強制群組成員組成 | 指定 Administrators必須僅含以下成員等 |
| 系統服務 | 設定服務啟動類型與服務 DACL | 例如將 Telnet設成「已停用」、限定誰能啟動 |
| 登錄 | 針對特定機碼設定 ACL | 防止未授權帳戶修改關鍵機碼 |
| 檔案系統 | 針對檔案/資料夾設定 ACL | 如鎖定 %SystemRoot%\System32 權限 |
沒有留言:
張貼留言