Asp的安全管理（8）_ASP文摘

ASP 的安全配置工具

ASP 管理员应当对安全配置工具非常熟悉，因为要获得系统中与安全相关的所有方面的信息，这是必不可少的。

这些工具应当使您非常容易地回答以下问题：“我的计算机安全吗？”，或者“我的网络安全吗？”。这些工具应当允许对已定义的安全策略所包含的所有方面进行配置和分析，例如：

帐号策略。 设置或更改访问策略，包括域或本地密码策略、域或本地帐户锁定策略以及域 Kerberos 策略（在适用情况下）。

本地策略。 配置本地审核策略、用户权限分配和各式各样的安全选项，例如对软盘、CD-ROM 等的控制。

受限制的组。 对内置的组以及要进行配置的任何其它特定组指定或更改组成员（如 Administrators、Server Operators、Backup Operators、Power Users 等）。这不应作为一般的成员管理工具来使用 — 只用来控制特定组（具有指定给他们的敏感功能）的成员。

系统服务。 配置安装在系统上不同服务（包括网络传输服务如 TCP/IP、NetBIOS、CIFS 文件共享、打印等）的安全性。如果不使用，则会停止 TCP/IP 之外的服务。有关详细信息，请参见 http://www.microsoft.com/technet/

文件或文件夹共享。 配置文件系统和重定向器服务的设置。这包括访问各种网络文件共享时关闭匿名访问以及启用数据包签名和安全性的选项。

系统注册表。 设置或更改有关系统注册表项的安全性。

系统存储。 设置或更改本地系统文件卷和目录树的安全性。

准备。 为客户和 ASP 准备一个安全的环境，以便安全地创建用户、文件等。

这些工具还应当有助于监视安全策略中已定义的所有方面，例如：

帐号策略 — 密码、锁定以及 Kerberos 设置。

本地策略 — 审核、用户权限和安全选项。（“安全选项”主要包括与安全相关的注册表值。）

事件日志 — 系统、应用程序、安全和目录服务日志的设置。

受限制的组 — 有关组成员的策略。

系统服务 — 系统服务的启动模式和访问控制。

注册表 — 注册表项的访问控制。

文件系统 — 文件夹和文件的访问控制。

物理访问系统 — 对设备的访问、卡式钥匙的使用、闭环视频等。

这些工具还应当可以分析组策略，一直下行至用户级。可以使用其它工具来分析监视过程中收集到的全部数据。这些工具通常特别依赖于统计技术。

使用 Windows 2000 的 ASP 管理员可用“Windows 2000 安全配置工具集”的下列组件来配置上述部分或全部的安全方面。

“安全模板”管理单元。“安全模板”管理单元是独立的 Microsoft 管理控制台 (MMC) 管理单元，它可以创建基于文本的模板文件，该文件包含所有安全方面的安全设置。

“安全配置和分析”管理单元。“安全配置和分析”管理单元是独立的 MMC 管理单元，它可以配置或分析 Windows 2000 操作系统的安全性。其操作基于使用“安全模板”管理单元创建的安全模板的内容。

Secedit.exe。Secedit.exe 是“安全配置和分析”管理单元的命令行版本。它可以使安全配置和分析在没有图形用户界面 (GUI) 的情况下执行。