5．检查安全性分析结果
“安全配置和分析”工具显示安全分析的结果，并使用虚拟标志表明问题。对于安全区域中的每个安全属性，将显示当前系统和基本配置的设置。如果选择接受当前的设置，将修改基本模板中相应的值以与此设置相匹配，如果更改系统设置以匹配基本配置，则当使用安全配置和分析配置系统时，这些更改将会被反映出来。要避免已检查并确定为合理的设置连续标记，可以在模板的副本修改基本设置。
（1）查看安全性分析结果
在“安全配置和分析”管理控制台中，展开“安全配置和分析”，单击要查看安全（例如密码策略），如图5-44所示。
在右侧窗口中，“策略”列表中显示了分析结果；“数据库设置”列表显示模板中的安全值；“计算机设置”列表显示系统中的当前安全策略。
分析状态标记如下。
红色的“X”表明与基本配置有差异。
绿色的“复选标记”表明与基本配置一致。
没有图标表明模板中不包含安全属性，因此不分析。
例如，“密码必须符合复杂性要求”策略，在安全数据库中的策略为“启用”，而在本地的系统设置为“停用”，分析状态标记为红色的“X”，表示配置不同。而“密码最长存留期”策略在安全数据库中的策略为“42天”，但在本地的系统设置为“42天”，分析状态标记为绿色的“复选标记”，表示配置相同。
（2）数据库策略修改
如果网络管理员认为安全数据库的安全策略不符合工作需要，可以更改目前的数据库设置。下面以更改“密码最长存留期”策略为例进行说明。
在“安全配置和分析”控制台的“密码策略”窗口中，右击“密码最长存留期”策略，从弹出的快捷菜单中选择“安全性”命令，显示“经过分析的安全策略设置”对话框，在“密码作废期”文本框中将原来的42天更改为7天，如图5-45所示。


图5-44 密码策略的分析结果 图5-45 “经过分析的安全策略设置”对话框
【注意】 选择“在数据库中定义这个策略”复选框。更改的策略只影响数据库，并不改变当前的计算机设置。
单击“确定”按钮完成当前的更改。“密码最长存留期”策略在安全数据库中的策略为“7天”，而在本地的系统设置为“42天”，分析状态标记由默认绿色的“复选标记”转变为红色的“X”，表示配置不同，数据库更新成功，如图5-46所示。

6．配置系统安全模板
在分析基于域的用户安全性时，不推荐使用“立即配置系统”。在这种情况下，应该返回到“安全模板”管理单元、修改模板，并重新将它应用于适当的“组策略”对象中。
（1）系统安全模板
无论何时要更改原始安全模板，都必须返回到“安全模板”中。
安全配置和分析工具提供解决显示的任何策略设置值的功能。
如果根据此计算机的环境（角色）确定本地系统的安全级别有效，则接受或更改某些或所有的已标记或不包含在配置中的值。当选择“立即配置系统”时，将更新基本配置中的这些属性值，并将它们应用到系统。
如果确定系统不符合有效的安全级别，则将系统配置为原始基本配置值。
根据计算机的角色，将更适合的模板导入到数据库中作为新的基本配置，并把它应用于系统中。
对存储在数据库中的模板进行更改，而不是对安全模板文件。如果返回到安全模板中并编辑此模板或将存储的配置导出到相同的模板文件中时，才会修改安全模板。
（2）安全模板应用
在“安全配置和分析”控制台中，设置工作数据库（如果当前没有设置工作数据库，该步骤是必须的）。
右击“安全配置和分析”，在弹出的快捷菜单中选择“立即配置系统”命令，显示“配置系统”对话框，提示分析日志存储位置，可以选择使用默认的错误文件路径，或输入日志的文件名和有效路径，如图5-47所示。


单击“确定”按钮，系统开始配置，在配置的过程中将显示不同的安全区域，如图5-48所示。配置完成，可以检查日志文件或复查结果。