MS安全配置工具集.doc

MS安全配置工具集白皮书 摘要 本白皮书描述 Microsoft? 安全配置工具集，它是一组 Microsoft 管理控制台 (MMC) 管理单元，使用它可以降低基于 Windows NT? 和 Windows? 2000 操作系统网络安全配置与分析的相关费用。使用安全配置工具集可以配置基于 Windows NT 或 Windows 2000 系统的安全性，并对系统进行定期分析以保证配置完整或在过一段时间后进行必要更改。它也同时与 Windows 管理更改与配置管理集成，从而自动配置企业中大量系统的策略。 引言 本白皮书描述 Microsoft? 安全配置工具集，它是一组 Microsoft 管理控制台 (MMC) 工具，使用它可以简化、集成并集中基于 Windows NT? 和 Windows? 2000 系统的安全配置与分析任务。Microsoft 管理控制台是基于 Windows 操作系统的多文档接口 (MDI) 应用程序，该应用程序使用了大量的 Internet 技术。MMC 是 Microsoft 管理策略的核心部分，使用它可以为所有管理工具提供单一宿主，促进任务委派，并降低 Windows 和 Windows NT 企业用户的总体拥有成本。MMC 本身并不提供任何管理行为，相反，它只是为定义实际管理行为的“管理单元”提供公用环境。管理单元是集成进 MMC 接口这一公用宿主的管理组件。 安全配置工具集是一组 MMC 管理单元，使用它可以为与安全性相关的管理任务提供一个中心储备库。有了安全配置工具集，可以使用集成化的工具集在网络上的一个或多个基于 Windows 2000 或 Windows NT 的机器上配置并分析安全性。 当前版本的 Microsoft Windows NT 操作系统内置有出色的安全性功能。对基于 Windows NT 域的单次登录允许用户访问企业网络任何地方的资源。该系统提供用于安全策略与帐户管理的工具，且 Windows NT 域模型很灵活并可以支持各种网络配置。Windows 2000 扩展了这些功能，从而为支持 Internet 的企业网络及包括在操作系统中的新的分布式服务提供支持。 从管理员的角度来看，Windows NT 提供了一些可单独用于配置系统安全性不同方面的图形工具。但是，这些工具并不是集中式的 - 为配置一台计算机的安全性，管理员可能需要打开三个或四个应用程序。因此，对许多关心安全性的用户来说，使用这些应用程序不但费用昂贵而比较麻烦。此外，安全配置可能会比较复杂 - 而且因为在 Windows 2000 中增加了分布式安全功能，安全配置将变得更加复杂。 虽然 Windows NT 4.0 提供了足够的（尽管有些不方便）的配置工具，但它缺乏用于安全分析的工具。该类别中的唯一工具是事件查看器，但它不并是为执行企业级的审核分析而设计的。有一些第三方工具可用于这些用途；但是，绝大多数工具或者缺乏企业级功能或者不全面。 安全配置工具集的目的是要满足集中式安全配置工具的需要，并且在以后的版本中为企业级分析功能提供框架。最重要的是，通过定义一个点（可以根据需要，在此查看、分析并调整整个系统的安全性）它将降低与安全性有关的管理费用。目标是为配置和分析系统的安全性提供一个全面、灵活、可扩展而且简单的工具集。 安全配置工具集的首要目标是为基于 Windows NT 和 Windows 2000 系统的安全性提供单点管理。为了达到这个目标，该工具必须允许管理员： 在一个或多个基于 Windows NT 或 Windows 2000 的计算机上配置安全性。 在一个或多个基于 Windows NT 或 Windows 2000 的计算机上进行安全性分析。 在一个集成且统一的框架内完成这些任务。 从所涉及到的系统组件与可能需要的更改级别来看，在基于 Windows NT 或 Windows 2000 的网络中配置安全性的过程不但复杂而且琐碎。因此，安全配置工具集的设计可以允许您在宏观层次进行配置。换句话说，工具集允许您定义多个配置设置，并让它们在后台实现。有了这个工具，配置任务可以分组并自动执行；要配置一组计算机，它们不再需要多次、重复按键并对多个不同应用程序进行反复访问。 安全配置工具集的设计并不能替代处理系统安全性的不同方面的系统工具 - 如用户管理器、服务器管理器、访问控制列表 (ACL) 编辑器等。相反，其目标是通过定义一个可以解释标准配置文件并可在后台自动执行所需操作的引擎，与它们互为补充。必要时，管理员可以继续使用现有工具（或其更新的版本）更改单个安全设置。 为了填补 Windows NT 安全管理中安全分析的空白，安全配置工具集提供微观层次的分析。该工具集的设