创建基线

　　除了建立良好的物理安全以外，我能给你的最佳建议是，在配置一系列Windows Server 2003的时候，应该确定你的安全需求策略，并立即部署和执行这些策略 。

　　实现这一目的最好的方法是创建一个安全基线(security baseline)。安全基线是文档和公认安全设置的清单。在大多数情况下，你的基线会随着服务器角色的不同而产生区别。因此你最好创建几个不同的基线，以便将它们应用到不同类型的服务器上。例如，你可以为文件服务器制定一个基线，为域控制器制定另一个基线，并为IAS服务器制定一个和前两者都不同的基线。

　　Windows 2003包含一个叫"安全配置与分析"的工具。这个工具让你可以将服务器的当前安全策略与模板文件中的基线安全策略相比较。你可以自行创建这些模板或是使用内建的安全模板。

　　安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%\SECURITY|TEMPLATES 文件夹下。检查或更改这些个体模板最简单的方法是使用管理控制台(MMC)。

　　要打开这个控制 台，在RUN提示下输入MMC命令，在控制台加载后，选择添加/删除管理单元属性命令，Windows就会显示添加/删除管理单元列表。点击"添加"按钮，你将会看到所有可用管理单元的列表。选择安全模板管理单元，接着依次点击添加，关闭和确认按钮。

　　在安全模板管理单元加载后，你就可以察看每一个安全模板了。在遍历控制台树的时候，你会发现每个模板都模仿组策略的结构。模板名反映出每个模板的用途。例如，HISECDC模板就是一个高安全性的域控制器模板。

　　如果你正在安全配置一个文件服务器，我建议你从SECUREWS模板开始。在审查所有的模板设置时，你会发现尽管模板能被用来让服务器更加安全，但是不一定能满足你的需求。某些安全设置可能过于严格或过于松散。我建议你修改现有的设置，或是创建一个全新的策略。通过在控制台中右击C:\WINDOWS\Security\Templates文件夹并在目标菜单中选择新建模板命令，你就可以轻轻松松地创建一个新的模板。

　　在创建了符合需求的模板后，回到添加/删除管理单元属性面板，并添加一个安全配置与分析的管理单元。在这个管理单元加载后，右击"安全配置与分析"容器，接着在结果菜单中选择"打开数据库"命令，点击"打开"按钮，你可以使用你提供的名称来创建必要的数据库。

　　接下来，右击"安全配置与分析"容器并在快捷菜单中选择"导入模板"命令。你将会看到所有可用模板的列表。选择包含你安全策略设置的模板并点击打开。在模板被导入后，再次右击"安全配置与分析"容器并在快捷菜单中选择"现在就分析计算机"命令。Windows将会提示你写入错误日志的位置，键入文件路径并点击"确定"。

　　在这样的情况下，Windows将比较服务器现有安全设置和模板文件里的设置。你可以通过"安全配置与分析控制台"看到比较结果。每一条组策略设置显示现有的设置和模板设置。

　　在你可以检查差异列表的时候，就是执行基于模板安全策略的时候了。右击"安全配置与分析"容器并从快捷菜单中选择"现在就配置计算机"命令。这一工具将会立即修改你计算机的安全策略，从而匹配模板策略。

　　组策略实际上是层次化的。组策略可以被应用到本地计算机级别、站点级别、域级别和OU级别。当你实现基于模板的安全之时，你正在在修改计算机级别的组策略。其他的组策略不会受到直接影响，尽管最终策略可能会反映变化，由于计算机策略设置被更高级别的策略所继承。