③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其操作可能会受到审核，从而更好地保护系统数据。

　　双击“交互式登录：用户试图登录时消息文字”，进入属性窗口，先将“在模板中定义这个策略设置”选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击“确定”按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。

　　3.设置事件日志

　　这个安全模板是定义与应用程序、安全和系统日志相关的属性的，如最大的日志大小、对每个日志的访问权限以及保留设置和方法。其中，应用程序日志负责记录由程序生成的事件；安全日志根据审核对象记录安全事件；系统日志记录操作系统事件。

　　(1)日志保留天数

　　这个选项可以设置应用程序、安全性和系统日志可以保留多少天。需要注意的是，仅当以预定的时间间隔对日志进行存档时才应设置此值，并要确保最大日志大小足够大，以满足此时间间隔。这个天数可以是1到365天中的任何一个，用户可按需要进行设置，建议设置为14天。

　　(2)日志保留方法

　　在这里可以设置达到设定的最大日志文件的处理方法，共有按天数改写事件、按需要改写事件和不改写事件(手动清除日志)三种方式。如果希望将应用程序日志存档，就要选中“按需要覆盖事件”；如果希望以预定的时间间隔对日志进行存档，可选中“按天数覆盖事件”；如果需要在日志中保留所有事件，可选中“不要改写事件(手动清除日志)”，在这种情况下，当达到最大日志大小时，将会丢弃新事件日志。

　　(3)限制本地来宾组访问日志

　　在这里可以设置是否限制来宾访问应用程序、安全性和系统事件日志。默认设置是允许来宾用户和空连接可以查看系统日志，但禁止访问安全日志。

　　(4)日志最大值

　　这里可以设置日志文件的最大值和最小值，可用值的范围是64KB到4194240KB。如果设置值太小会导致日志经常被填满，这样就需要经常性地清理、保存日志；而设置值过大，会占据大量的硬盘空间，所以一定要根据自己的需要进行设置。

　　4.设置受限制的组

　　在这里可以允许管理员对安全性敏感的组定义“成员”和“隶属组”两个属性，其中“成员”定义了哪些用户属于以及哪些用户不属于受限制的组；“隶属组”定义了受限制的组属于其他哪些组。利用本策略，可以控制组中的成员身份，所有未在本策略中指定的成员都会被删除，而当前不是该组成员的用户将被添加。

　　(1)创建受限制的组

　　首先在控制台树中的“受限制的组”上点击鼠标右键，选择“添加组”。然后在“添加组”窗口中键入受限制的策略组的名称，或点击“浏览”，在打开的“选择组”窗口中查找要进行操作的组，最后点击“确定”按钮。这时你会发现新的一个组已经被创建成功了。

　　如果你想将所有受限制的组项从一个模板复制到另一个模板，可以在控制台树中右键点击“受限制的组”，在弹出的快捷菜单中选择“复制”，然后在另一个模板中右键点击“受限制的组”，并在弹出的快捷菜单中选择“粘贴”。

　　(2)添加用户

　　先在详细信息窗格中，找到要添加用户的组，然后在上面点击鼠标右键，在弹出的快捷菜单中选择“属性”，就会弹出该组的属性窗口。点击“这个组的成员”列表框右边的“添加”按钮，然后键入要添加的成员即可。重复此步骤，可添加更多的成员，如图3所示。

　　　　　　　　　　　　　　　　　　　　　　　图3

　　同样，如要将本组添加为任何其他组的成员中，请点击在“这个组隶属于”列表框右侧的“添加”按钮，然后在弹出的窗口中键入组名称，最后点击“确定”即可。

　　5.设置系统服务

　　在这里可以定义所有系统服务的启动模式和访问权限，启动模式包括自动、手动和已禁用，其中自动表示重新启动计算机时自动启动；手动表示只有在有人启动时才启动；已禁用表示不能启动该服务。而访问权限指的是用户对服务的读取、写入、删除、启动、暂停和停止等操作。利用这个安全模板可以很方便地设定哪些用户或组账户具有读取、写入、删除的权限，或具有执行继承设置或审核以及所有权的权限。需要注意的是，禁用某些服务可能会导致系统无法引导，所以如果要禁用系统的服务，请先在非生产系统中进行测试。

　　那么如何来配置系统服务设置呢？

　　①双击要配置的服务，就会弹出服务的属性对话框；

　　②选中“在模板中定义这个策略配置”项，如果这个策略以前从来没有被配置过，就会自动出现安全设置对话框。如果没有自动出现的话，需要点击“编辑安全设置”按钮，调出对话框；

　　③点击“添加”按钮，按照添加用户或组的步骤将想要操作的用户添加到列表中；

　　④在“组或用户名称”下的列表中选择某一用户或组，下面的权限列表中就会列出所有能够编辑的权限。按照实际需要选择是允许还是拒绝某项权限，如想编辑特别权限或高级设置，则点击“高级”按钮，编辑完成后点击“确定”按钮；

　　⑤在属性窗口中的“选择服务启动模式”下，选择自动、手动或已停用。

　　6.设置注册表

　　在这里，允许管理员定义注册表项的访问权限(关于DACL)和审核设置(关于SACL)。

　　DACL即任意访问控制列表，它赋予或拒绝特定用户或组访问某个对象的权限的对象安全描述符的组成部分。只有某个对象的所有者才可以更改DACL中赋予或拒绝的权限，这样，此对象的所有者就可以自由访问该对象。SACL即系统访问控制列表，它表示部分对象的安全描述符的列表，该安全描述符指定了每个用户或组的哪个事件将被审核。审核事件的例子是文件访问、登录尝试和系统关闭。

　　(1)设置注册表安全性

　　①在控制台树中，用鼠标右键点击“注册表”节点，在弹出的快捷菜单中选择“添加密钥”；

　　②在“选择注册表项”对话框中，选择好要添加密钥的注册表项，然后点击“确定”按钮；

　　③在“数据库安全设置”对话框中，为该注册表项选择合适的权限，然后点击“确定”按钮；

上一页  [1] [2] [3] [4]  下一页