一种windows系统下安全配置项配置方法、装置、设备及介质与流程

1.本发明涉及配置项配置领域，尤其是涉及一种windows系统下安全配置项配置方法、装置、设备及介质。


背景技术：

2.sam型配置项，指的是windows系统中的一类特殊安全配置项，共有九条，分两部分，如图1、图2所示。这些配置项的共同特点是：全局生效，不区分用户；针对密码和账户锁定功能。而对于安全基线项目所对应系统中的配置项的值配置过程，称为修复。
3.在安全基线领域，对上述这九条sam型配置项进行合规性检查、修复的基线条目，称之为“sam型安全基线项目”。
4.在传统的安全基线类软件中，对于这九条项目的处理往往以扫描，即读取其值判断是否合规为主，不能实现对这九条项目的修复。现有技术中sam型安全配置项的配置需要借助system权限(系统权限)，进行高危的未公开api(application programming interface，应用程序接口)操作，且均为一次性操作，不仅操作复杂，而且安全性以及可靠性较低。


技术实现要素：

5.本发明为了解决现有技术中存在的问题，创新提出了一种windows系统下安全配置项配置方法、装置、设备及介质，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠性，提高了配置效率。
6.本发明第一方面提供了一种windows系统下安全配置项配置方法，包括：
7.建立安全配置项的中文名称、项目名称、命令名称之间的对应关系；其中，项目名称为安全配置项在第一命令体系中的项目名，命令名称为安全配置项在第一命令体系中的命令名；
8.获取用户输入的待配置的安全配置项对应的中文名称，根据安全配置项的中文名称、项目名称、命令名称之间的对应关系确定对应的命令名称，然后通过拼接第一命令实现用户输入的待配置的安全配置项的配置；
9.如果配置失败，建立空配置文件，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置。
10.可选地，安全配置项包括第一类型安全配置项以及第二类型安全配置项，第一类型安全配置项为密码策略安全配置项，第二类型安全配置项为账户锁定策略安全配置项。
11.可选地，通过拼接第一命令实现用户输入的待配置的安全配置项的配置具体是：
12.将用户输入的待配置的安全配置项对应的命令名称、命令类型字符串、命令拼接字符串、待配置安全配置项的配置值拼接为第一命令，所述第一命令实现用户输入的待配置的安全配置项的配置。
13.进一步地，将用户输入的待配置的安全配置项对应的命令名称、命令类型字符串、命令拼接字符串、待配置安全配置项的配置值拼接为第一命令具体是：
14.在用户输入的待配置的安全配置项对应的命令名称之前插入命令类型字符串；
15.在用户输入的待配置的安全配置项对应的命令名称之后插入命令拼接字符串；
16.在命令拼接字符串之后插入待配置安全配置项的配置值，拼接为第一命令。
17.可选地，建立空配置文件，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置具体是：
18.在空配置文件中根据配置失败的安全配置项对应的项目名称、编码设置字符串、版本字符串、配置失败的安全配置项的配置值拼接为第二命令，所述第二命令实现配置失败的安全配置项的配置。
19.进一步地，在空配置文件中根据配置失败的安全配置项对应的项目名称、编码设置字符串、版本字符串、配置失败安全配置项的配置值拼接为第二命令，所述第二命令实现配置失败的安全配置项的配置具体是：
20.在空配置文件的末尾处，插入编码设置字符串；
21.在插入编码设置字符串之后，插入配置失败的安全配置项对应的项目名称；
22.在配置失败的安全配置项对应的项目名称之后插入配置失败安全配置项的配置值；
23.插入配置失败安全配置项的配置值之后插入版本字符串，拼接为第二命令。
24.可选地，第一命令体系为net accounts命令体系，第二命令体系为secedit命令体系。
25.本发明第二方面提供了一种windows系统下安全配置项配置装置，包括：
26.建立模块，建立安全配置项的中文名称、项目名称、命令名称之间的对应关系；其中，项目名称为安全配置项在第一命令体系中的项目名，命令名称为安全配置项在第一命令体系中的命令名；
27.第一配置模块，获取用户输入的待配置的安全配置项对应的中文名称，根据安全配置项的中文名称、项目名称、命令名称之间的对应关系确定对应的命令名称，然后通过拼接第一命令实现用户输入的待配置的安全配置项的配置；
28.第二配置模块，如果配置失败，建立空配置文件，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置。
29.本发明第三方面提供了一种电子设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如本发明第一方面所述的一种windows系统下安全配置项配置方法的步骤。
30.本发明第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明第一方面所述的一种windows系统下安全配置项配置方法的步骤。
31.本发明采用的技术方案包括以下技术效果：
32.1、本发明在第一命令配置失败的基础上，通过拼接第二命令实现第一命令配置失败的安全配置项的配置，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠
性，提高了配置效率。
33.2、本发明技术方案不仅实现第一命令配置快、操作简单的优点，而且可以兼容第二命令覆盖面广泛、可靠性高的优点。
34.应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
35.为了更清楚说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见的，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
36.图1为现有技术中sam安全配置项——密码策略的示意图；
37.图2为现有技术中sam安全配置项——账户锁定策略的示意图；
38.图3为本发明方案中实施例一方法的流程示意图；
39.图4为本发明方案中实施例一方法中步骤s2的流程示意图；
40.图5为本发明方案中实施例一方法中步骤s5的流程示意图；
41.图6为本发明方案中实施例一方法在空配置文件中拼接后的第二命令的示意图；
42.图7为本发明方案中实施例二装置的结构示意图；
43.图8为本发明方案中实施例三设备的结构示意图。
具体实施方式
44.为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
45.实施例一
46.如图3所示，本发明提供了一种windows系统下安全配置项配置方法，包括：
47.s1，建立安全配置项的中文名称、项目名称、命令名称之间的对应关系；其中，项目名称为安全配置项在第一命令体系中的项目名，命令名称为安全配置项在第一命令体系中的命令名；
48.s2，获取用户输入的待配置的安全配置项对应的中文名称，根据安全配置项的中文名称、项目名称、命令名称之间的对应关系确定对应的命令名称，然后通过拼接第一命令实现用户输入的待配置的安全配置项的配置；
49.s3，判断通过拼接第一命令配置用户输入的待配置的安全配置项是否成功，如果判断结果为是，则执行步骤s4；如果判断结果为否，则执行步骤s5；
50.s4，通过拼接第一命令配置下一个用户输入的待配置的安全配置项；
51.s5，建立空配置文件，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置。
52.其中，在步骤s1中，安全配置项包括第一类型安全配置项以及第二类型安全配置项，第一类型安全配置项为密码策略安全配置项，第二类型安全配置项为账户锁定策略安全配置项。其中，密码策略安全配置项具体包括：密码最短使用期限、密码最长使用期限、密码长度最小值、密码必须符合复杂性要求、强制密码历史、用可还原的加密来储存密码；账户锁定策略安全配置项具体包括：账户锁定阈值、重置账户锁定计数器、账户锁定时间。
53.进一步地，安全配置项的中文名称、项目名称、命令名称之间的对应关系如下表所示。
54.[0055][0056]
第一命令体系为为net accounts命令体系，net accounts：是net命令的一部分，可以设置一部分sam型安全基线项目(安全配置项)的值，例如命令“net accounts/minpwlen:8”，可以将minpwlen，即密码长度最小值这一项的安全配置项值设置为8。然而，net accounts命令仅能够设置9条sam型配置项中的7条，并不能独立完成所有工作。此外，采用执行命令的形式执行的操作，虽然操作简单，效率高，但是很可能被操作系统中的其他安全管控类软件所拦截，可靠性较低。
[0057]
第二命令体系为secedit命令体系，secedit：是windows系统自带的强大的系统配置工具，可以配置全部9条sam型安全配置项。然而，其执行的步骤较为复杂，需要先组合一个inf文件(空配置文件)，再在文件中拼接第二命令，执行第二命令，才能完成配置。其中，拼接后的第二命令的执行命令可以是：“secedit/configure/db temp.sdb/cfg temp.ini/areas securitypolicy”。
[0058]
net accounts与secedit两种方式能够实现大致相同的功能，但各有利弊。同时，在两个不同的体系中，9条sam基线项目的表现方式也是不同的。
[0059]
第一阶段由于仅需要拼接并执行第一命令，总体而言成本较低，因此称之为“低成本阶段”。第二阶段的操作较为复杂，需要创建文件，拼接生成第二命令，但其兼容性、覆盖面较好，因此称之为“复杂修复阶段”。
[0060]
在步骤s2中，获取用户输入的待配置的安全配置项对应的中文名称，根据安全配置项的中文名称、项目名称、命令名称之间的对应关系确定对应的命令名称，然后通过拼接
第一命令实现用户输入的待配置的安全配置项的配置。其中，通过拼接第一命令实现用户输入的待配置的安全配置项的配置具体是：
[0061]
将用户输入的待配置的安全配置项对应的命令名称、命令类型字符串、命令拼接字符串、待配置安全配置项的配置值拼接为第一命令，所述第一命令实现用户输入的待配置的安全配置项的配置。
[0062]
具体地，如图4所示，将用户输入的待配置的安全配置项对应的命令名称、命令类型字符串、命令拼接字符串、待配置安全配置项的配置值拼接为第一命令具体是：
[0063]
s201，在用户输入的待配置的安全配置项对应的命令名称之前插入命令类型字符串；
[0064]
s202，在用户输入的待配置的安全配置项对应的命令名称之后插入命令拼接字符串；
[0065]
s203，在命令拼接字符串之后插入待配置安全配置项的配置值，拼接为第一命令。
[0066]
进一步地，以密码长度最小值这一项的安全配置项值设置为8为例，拼接后的第一命令具体是“net accounts/minpwlen:8”，在第一命令拼接完成后，通过将第一命令封装到函数popen(_popen，进程i/o函数)中，实现第一命令的执行。
[0067]
在步骤s3中，判断通过拼接第一命令配置用户输入的待配置的安全配置项是否成功，如果配置成功，通过拼接第一命令配置下一个用户输入的待配置的安全配置项；直至用户输入的待配置的安全配置项均配置完成。
[0068]
在步骤s5中，如果通过第一命令无法实现用户输入的待配置的安全配置项的配置，即配置失败(具体包括，待配置安全配置项对应的命令名称转换失败或待配置安全配置项执行第一命令无法配置)，需要通过第二种配置方式实现，即通过拼接第二命令的方式。
[0069]
具体地，建立空配置文件(temp.inf)，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置具体是：
[0070]
在空配置文件中根据配置失败的安全配置项对应的项目名称、编码设置字符串、版本字符串、配置失败的安全配置项的配置值拼接为第二命令，所述第二命令实现配置失败的安全配置项的配置。
[0071]
具体地，如图5所示，在空配置文件中根据配置失败的安全配置项对应的项目名称、编码设置字符串、版本字符串、配置失败安全配置项的配置值拼接为第二命令，所述第二命令实现配置失败的安全配置项的配置具体是：
[0072]
s501，在空配置文件的末尾处，插入编码设置字符串；
[0073]
s502，在插入编码设置字符串之后，插入配置失败的安全配置项对应的项目名称；
[0074]
s503，在配置失败的安全配置项对应的项目名称之后插入配置失败安全配置项的配置值；
[0075]
s504，插入配置失败安全配置项的配置值之后插入版本字符串，拼接为第二命令。
[0076]
其中，在步骤s501中，编码设置字符串具体为：
[0077]
[unicode]
[0078]
unicode＝yes
[0079]
[systemacess]。
[0080]
在步骤s504中，版本字符串具体为：
[0081]
[version]
[0082]
signature＝"$chicago$"
[0083]
revision＝1
[0084]
拼接后的第二命令如图6所示，配置失败的安全配置项对应的项目名称以密码长度最小值为例进行说明，即密码长度最小值这一项的配置项值设置为8。具体命令为：minimumpasswordlength＝8。
[0085]
最后，空配置文件中的第二命令拼接完成后，对应的拼接后的第二命令的执行命令可以是：“secedit/configure/db temp.sdb/cfg temp.ini/areas securitypolicy”。
[0086]
进一步地，如果步骤s5执行完成后，判断配置失败(待配置的安全配置项通过第一命令配置失败)的安全配置项，是否配置成功，如果配置成功，返回配置成功的提示信息，然后执行下一个配置失败的安全配置项；如果配置失败，返回配置失败的提示信息以及失败原因，然后执行下一个配置失败的安全配置项；直至所有配置失败的安全配置项均配置完成。
[0087]
需要说明的是，本发明技术方案中步骤s1-s5均可以通过软件或硬件编程语言编程实现，实现方式与步骤相对应，也可以通过其他方式实现，本发明在此不做限制。
[0088]
本发明在第一命令配置失败的基础上，通过拼接第二命令实现第一命令配置失败的安全配置项的配置，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠性，提高了配置效率。
[0089]
本发明技术方案不仅实现第一命令配置快、操作简单的优点，而且可以兼容第二命令覆盖面广泛、可靠性高的优点。
[0090]
实施例二
[0091]
如图7所示，本发明技术方案还提供了一种windows系统下安全配置项配置装置，包括：
[0092]
建立模块101，建立安全配置项的中文名称、项目名称、命令名称之间的对应关系；其中，项目名称为安全配置项在第一命令体系中的项目名，命令名称为安全配置项在第一命令体系中的命令名；
[0093]
第一配置模块102，获取用户输入的待配置的安全配置项对应的中文名称，根据安全配置项的中文名称、项目名称、命令名称之间的对应关系确定对应的命令名称，然后通过拼接第一命令实现用户输入的待配置的安全配置项的配置；
[0094]
第二配置模块103，如果配置失败，建立空配置文件，在空配置文件中根据配置失败的安全配置项对应的项目名称拼接第二命令，实现配置失败的安全配置项的配置。
[0095]
本发明在第一命令配置失败的基础上，通过拼接第二命令实现第一命令配置失败的安全配置项的配置，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠性，提高了配置效率。
[0096]
本发明技术方案不仅实现第一命令配置快、操作简单的优点，而且可以兼容第二命令覆盖面广泛、可靠性高的优点。
[0097]
实施例三
[0098]
如图8所示，本发明技术方案还提供了一种电子设备，包括：存储器201，用于存储计算机程序；处理器202，用于执行所述计算机程序时实现实施例一中的一种windows系统下安全配置项配置方法的步骤。
[0099]
本技术实施例中的存储器201用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。可以理解，存储器201可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-onlymemory)、可擦除可编程只读存储器(eprom，erasable programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flashmemory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，randomaccessmemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static randomaccess memory)、同步静态随机存取存储器(ssram，synchronous static randomaccess memory)、动态随机存取存储器(dram，dynamic randomaccess memory)、同步动态随机存取存储器(sdram，synchronousdynamic randomaccess memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic randomaccess memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的存储器201旨在包括但不限于这些和任意其它适合类型的存储器。
[0100]
上述本技术实施例揭示的方法可以应用于处理器202中，或者由处理器202实现。处理器202可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器202可以是通用处理器、dsp(digital signal processing，即指能够实现数字信号处理技术的芯片)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器202可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器201，处理器202读取存储器201中的程序，结合其硬件完成前述方法的步骤。处理器202执行所述程序时实现本技术实施例的各个方法中的相应流程，为了简洁，在此不再赘述。
[0101]
本发明在第一命令配置失败的基础上，通过拼接第二命令实现第一命令配置失败的安全配置项的配置，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠性，提高了配置效率。
[0102]
本发明技术方案不仅实现第一命令配置快、操作简单的优点，而且可以兼容第二
命令覆盖面广泛、可靠性高的优点。
[0103]
实施例四
[0104]
本发明技术方案还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如实施例一中的一种windows系统下安全配置项配置方法的步骤。
[0105]
例如包括存储计算机程序的存储器201，上述计算机程序可由处理器202执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
[0106]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
[0107]
本发明在第一命令配置失败的基础上，通过拼接第二命令实现第一命令配置失败的安全配置项的配置，有效解决由于现有技术造成安全配置项配置操作复杂，且安全性以及可靠性较低的问题，有效地提高了windows系统下安全配置项配置的安全性以及可靠性，提高了配置效率。
[0108]
本发明技术方案不仅实现第一命令配置快、操作简单的优点，而且可以兼容第二命令覆盖面广泛、可靠性高的优点。
[0109]
上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。