ASP 管理員應當對安全配置工具非常熟悉，因為要獲得系統(tǒng)中與安全相關(guān)的所有方面的信息，這是必不可少的。
這些工具應當使您非常容易地回答以下問題：“我的計算機安全嗎？”，或者“我的網(wǎng)絡安全嗎？”。這些工具應當允許對已定義的安全策略所包含的所有方面進行配置和分析，例如：
帳號策略。 設置或更改訪問策略，包括域或本地密碼策略、域或本地帳戶鎖定策略以及域 Kerberos 策略（在適用情況下）。
本地策略。 配置本地審核策略、用戶權(quán)限分配和各式各樣的安全選項，例如對軟盤、CD-ROM 等的控制。
受限制的組。 對內(nèi)置的組以及要進行配置的任何其它特定組指定或更改組成員（如 Administrators、Server Operators、Backup Operators、Power Users 等）。這不應作為一般的成員管理工具來使用 — 只用來控制特定組（具有指定給他們的敏感功能）的成員。
系統(tǒng)服務。 配置安裝在系統(tǒng)上不同服務（包括網(wǎng)絡傳輸服務如 TCP/IP、NetBIOS、CIFS 文件共享、打印等）的安全性。如果不使用，則會停止 TCP/IP 之外的服務。有關(guān)詳細信息，請參見 http://www.microsoft.com/technet/
文件或文件夾共享。 配置文件系統(tǒng)和重定向器服務的設置。這包括訪問各種網(wǎng)絡文件共享時關(guān)閉匿名訪問以及啟用數(shù)據(jù)包簽名和安全性的選項。
系統(tǒng)注冊表。 設置或更改有關(guān)系統(tǒng)注冊表項的安全性。
系統(tǒng)存儲。 設置或更改本地系統(tǒng)文件卷和目錄樹的安全性。
準備。 為客戶和 ASP 準備一個安全的環(huán)境，以便安全地創(chuàng)建用戶、文件等。

這些工具還應當有助于監(jiān)視安全策略中已定義的所有方面，例如：
帳號策略 — 密碼、鎖定以及 Kerberos 設置。
本地策略 — 審核、用戶權(quán)限和安全選項。（“安全選項”主要包括與安全相關(guān)的注冊表值。）
事件日志 — 系統(tǒng)、應用程序、安全和目錄服務日志的設置。
受限制的組 — 有關(guān)組成員的策略。
系統(tǒng)服務 — 系統(tǒng)服務的啟動模式和訪問控制。
注冊表 — 注冊表項的訪問控制。
文件系統(tǒng) — 文件夾和文件的訪問控制。
物理訪問系統(tǒng) — 對設備的訪問、卡式鑰匙的使用、閉環(huán)視頻等。

這些工具還應當可以分析組策略，一直下行至用戶級。可以使用其它工具來分析監(jiān)視過程中收集到的全部數(shù)據(jù)。這些工具通常特別依賴于統(tǒng)計技術(shù)。
使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全配置工具集”的下列組件來配置上述部分或全部的安全方面。
“安全模板”管理單元?！鞍踩０濉惫芾韱卧仟毩⒌?Microsoft 管理控制臺 (MMC) 管理單元，它可以創(chuàng)建基于文本的模板文件，該文件包含所有安全方面的安全設置。
“安全配置和分析”管理單元?！鞍踩渲煤头治觥惫芾韱卧仟毩⒌?MMC 管理單元，它可以配置或分析 Windows 2000 操作系統(tǒng)的安全性。其操作基于使用“安全模板”管理單元創(chuàng)建的安全模板的內(nèi)容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理單元的命令行版本。它可以使安全配置和分析在沒有圖形用戶界面 (GUI) 的情況下執(zhí)行。
對組策略的安全設置擴展?！鞍踩渲霉ぞ呒边€包括一個對組策略編輯器的擴展管理單元，用來配置本地安全策略以及域或組織單元 (OU) 的安全策略。本地安全策略只包括上述“帳號策略”和“本地策略”的安全范圍。為域或 OU 定義的安全策略可包括所有的安全性范圍。
ASP 安全任務和方法介紹

創(chuàng)建網(wǎng)絡安全時，會用到許多策略、任務和方法。下面是對它們的簡要介紹。
安全通信和概念
介紹和解釋在 ASP 的策略規(guī)劃中針對風險的安全策略
提供安全概念和詞匯的背景材料，使讀者熟悉安全規(guī)劃
確定 ASP 網(wǎng)絡的安全風險。在安全規(guī)劃中將其列出并加以解釋
執(zhí)行所有必要的安全措施（不要忘記物理方法）
嚴密監(jiān)視安全性
審核、評估、改進和培訓所有的步驟和策略

定義訪問控制
確定 ASP 的組織目前如何使用組和建立組名稱的規(guī)范，以及如何使用組類型
介紹用于對 ASP 范圍內(nèi)資源進行廣泛安全訪問的頂層安全組。它們可能是客戶通用組
介紹訪問控制策略，特別是關(guān)于如何以一致的方式使用安全組
確定創(chuàng)建新組的步驟以及由誰負責管理組成員
確定代表管理員控制特定任務的條件，介紹什么是客戶管理員的任務以及什么是 ASP 管理員的任務
規(guī)定 ASP 策略以保護管理員帳戶和管理控制臺
審核、評估、改進和培訓所有步驟及策略

遠程客戶或用戶訪問
描述支持客戶或用戶遠程訪問的 ASP 策略
建立一個規(guī)劃來傳遞遠程訪問步驟，包括連接方法
建立通過專用連接連接到客戶網(wǎng)絡的策略
審核、評估、改進和培訓所有步驟及策略

身份驗證訪問
確保對網(wǎng)絡資源的所有訪問都需要使用域帳戶進行身份驗證
確定用戶群（ASP 內(nèi)部和客戶用戶）的哪一部分需要對交互式或遠程訪問登錄使用有效的身份驗證
如果需要有效的身份驗證，則確定部署公鑰安全以及（或）進行智能卡登錄的規(guī)劃
定義用戶帳戶的密碼長度、更改間隔以及復雜性要求
確定一個 ASP 策略來消除在任何網(wǎng)絡上純文本密碼的傳輸，并制定出支持一次性登錄或保護密碼傳輸?shù)牟呗?
審核、評估、改進和培訓所有步驟及策略

代碼簽名和軟件簽名
規(guī)定下載的代碼所需要的安全級別
部署內(nèi)部的 ASP 步驟，對所有公開分發(fā)的內(nèi)部開發(fā)軟件實施代碼簽名
審核、評估、改進和培訓所有步驟及策略

部署“安全應用程序”策略
建立測試規(guī)劃和單獨的測試環(huán)境 來確認 ASP 應用程序是否在適當配置的安全系統(tǒng)下正常運行
確定還需要什么樣的附加應用程序來加強安全功能以達到 ASP 的安全目標
進行適當?shù)母墓芾?，包括在發(fā)布之前對更改的認可和安全驗證
審核、評估、改進和培訓所有步驟及策略

啟用數(shù)據(jù)保護
確定對敏感或保密客戶和內(nèi)部信息進行識別和管理的 ASP 策略，并確定保護這些敏感數(shù)據(jù)的條件
確定存放敏感客戶（或內(nèi)部）數(shù)據(jù)的 ASP 服務器，這些數(shù)據(jù)可能需要附加的數(shù)據(jù)保護以防止竊取
建立一個使用 IPSec 的部署規(guī)劃，以保護遠程訪問數(shù)據(jù)或訪問敏感的 ASP 數(shù)據(jù)服務器
審核、評估、改進和培訓所有步驟及策略

加密文件系統(tǒng)
介紹“數(shù)據(jù)恢復策略”，包括“恢復代理”的角色
介紹用來實施數(shù)據(jù)恢復過程并驗證該過程有效的步驟
審核、評估、改進和培訓所有步驟及策略

建立信任關(guān)系
介紹 ASP 域、域目錄樹和目錄林并明確規(guī)定它們之間的信任關(guān)系
確定對信任的客戶和廠商以及其它外部域的策略（信任其它域意味著也信任由該域的所有者確定的安全策略）
審核、評估、改進和培訓所有步驟及策略

設置統(tǒng)一的安全策略
使用安全模板的方法來介紹對不同的計算機類實施的安全級別
確定域范圍內(nèi)的帳號策略并將這些策略和指導方針傳遞給客戶和用戶群
確定對網(wǎng)絡上不同類系統(tǒng)（例如桌面、文件和打印服務器、以及電子郵件服務器）的本地安全策略要求。確定對應于每個類別的組策略安全設置
確定這樣的應用程序服務器，在其中可用特定的安全模板來管理安全設置以及在整個組策略中考慮對它們的管理