Windows Server 2003 安全性指南
附錄 A:安全性工具和格式
更新日期: 2006 年 7 月 17 日
為您的組織建立、測試、部署及管理一組完整的原則及範本是項極具挑戰性的工作。 本附錄提供可用之 Microsoft 工具及安全性原則可使用之格式的概觀。
本頁內容
安全性工具
下列工具可由 Windows Server™ 2003 作業系統取得,或由 Microsoft 的網站免費下載。
安全性設定精靈
Windows* Server 2003 SP1 中使用了「安全性設定精靈 (SCW)」。 和群組原則不同,安全性設訂精靈並未與 Active *Directory® 整合在一起,因此無法以其設定網域層級原則。 然而,該工具確實提供了以角色為基礎,並運用精靈以提供具一致性的強化方法,使安全原則的建立變得容易。
利用 SCW,您可迅速而輕易地,根據 Microsoft 提供的最新指南及最佳實作方法,為數個伺服器角色建立原型原則。 SCW 會自動管理服務設定、登錄設定、Windows 防火牆例外,以及其他項目。 SCW 具有由遠端設定目標電腦、部署原則,及回復原則之能力。 命令列工具 Scwcmd 可讓您同時運用 SCW 及群組原則,部署原則至電腦群組或轉換原則至 GPO。
安全性設定編輯器
「安全性設定編輯器 (SCE )」工具可用來定義安全性原則範本。這類範本可部署至單一電腦上,或經由「Active Directory 群組原則」部署至一群電腦上。 SCE 最初是以附加元件的形式出現在 Windows . NT® 上,後來整合成為群組原則的一部分。
SCE 不再是分離的元件,且在以下 Microsoft Management Console (MMC) 嵌入式管理單元和管理公用程式中使用:
MMC 安全性設定及分析嵌入式管理單元
MMC 安全性範本嵌入式管理單元
群組原則編輯器嵌入式管理單元 (用於電腦設定樹狀目錄中的安全性設定部分)
本機安全性設定工具
網域控制站安全性原則工具
網域安全性原則工具
由於這些工具都使用了 SCE,當 Windows 的系統管理員想為獨立電腦建立及編輯原則或將原則以 GPO 形式部署時,都可運用一致且功能強大的界面。
您可由 Windows 說明中發現更多與 SCE 有關的資訊。
Active Directory 使用者及電腦
MMC Active* *Directory 使用者及電腦嵌入式管理單元提供了在網域中建立及管理組織單位 (OU) 時所使用的主要 GUI。 您可連結 GOP 及 OU、控制原則命令及繼承,並以分離程序的形式啟動「群組原則物件編輯器」來編輯 GPO。 然而,嵌入式管理單元並未以整合一致的方式來儲存、編寫及管理群組原則。
您可由 Windows 說明中,找到更多與 MMC Active Directory 使用者及電腦嵌入式管理單元有關的資訊。
群組原則管理主控台
「群組原則管理主控台 (GPMC)」由 Microsoft 製作,係為了回應客戶想在大型環境中以更好的方式來控制群組原則的回饋意見。 GPMC 必須在 Windows XP SP1 或 Windows Server 2003 上執行。其中包含一個 MMC 嵌入式管理單元,以及一組用於管理群組原則,可編輯指令碼的界面。 GPMC 可管理 Windows 2000 Server 及 Windows Server 2003 的網域。
GPMC 提供:
著眼於群組原則之使用與管理的使用者界面。
快速備份、儲存、匯入、匯出、複製,及貼上 GPO 的能力。
管理有關群組原則安全性的簡化式管理功能。
回報 GPO 及原則結果組 (RSoP) 資料的能力。
可使用指令碼控制的 GPO 操作。
所有 Windows* Server *2003 的客戶皆可在以下網址免費下載含 Service Pack 1 的群組原則管理主控台:www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887
安全性檔案格式
安全性原則可以各種格式建立及儲存。 以下各節詳細說明 Windows Server 2003 使用的共同檔案格式:
SCW 原則 (.xml)
SCW 推出一種以 XML 為基礎的新檔案格式。 原生的 SCW 原則會以 .xml 副檔名儲存。 這些 XML 原則檔案沒有正式的架構,但可經由「SecurityPolicy Version="1.0"」元素來識別。
SCW 原則檔案實際上是數種不同類型設定的完整結合:
系統服務啟動模式
Windows 防火牆例外
所選取的電腦角色
所選取的電腦工作
登錄設定
原則設定
稽核原則
此外,SCW 原則亦可連結至一個以上的原則範本,藉以提供 SCW 原本並沒有的功能。例如系統服務或登錄存取控制清單 (ACL)。
原則範本 (.inf)
原則範本是遵循 Windows 資料檔標準格式的文字檔:有一個或一個以上的部分被由方框夾住之關鍵字分隔。關鍵字之後有一個以上的屬性/值配對。
原則範本可能會包含一個或數個定義以下資料類型的部分:
密碼原則
鎖定原則
Kerberos 驗證通訊協定原則
稽核原則
事件紀錄設定
登錄值
服務啟動模式
服務權限
使用者權利
群組會員資格限制
登錄權限
檔案系統權限
本附錄前面所列的工具大多都支援原則範本,且同一種範本格式可在本機電腦原則及 Active* *Directory 群組原則裡使用。 使用範本前,必須先以適當的工具將其匯入。
群組原則物件
GPO 是儲存在 Active Directory 裡,且同時在網域控制站上以檔案集形式儲存於特殊目錄的原則資料。 這些原則檔案代表電腦原則及使用者原則,通常不會直接被操控。 您可利用如 GPMC 之類的工具來修改 GPO 的設定,或將其匯出至原則範本中。
您可從 GPMC 中匯出GPO 或製作其備份,以便將儲存在 GPO 中的所有資訊儲存到檔案系統中。 這種方式製作的 GPO 備份會保留以下資訊:
該 GPO 的全球唯一識別項 (GUID) 和網域
GPO 設定
該 GPO 上的判別存取控制清單 (DACL)
WMI 篩選器連結 (如果有的話,但非篩選器本身)
至 IP 安全性原則的連結 (如果有的話)
該 GPO 設定的 XML 報告。該報告可視為來自 GPMC 的 HTML
製作備份的日期與時間戳記
使用者提供的備份描述
但該備份檔不會儲存任何 GPO 以外的資料。 尤其,該檔案並不包括網站、網域,或 OU 的連結資訊,且不包括實際的 WMI 篩選器或 IP 安全性原則。
下載
更新通知
意見