Come applicare modelli di sicurezza predefiniti in Windows Server 2003

  • Articolo

Questo articolo dettagliato descrive come applicare modelli di sicurezza predefiniti.

Si applica a: Windows Server 2003
Numero KB originale: 816585

Riepilogo

Microsoft Windows Server 2003 include diversi modelli di sicurezza predefiniti che è possibile applicare per aumentare il livello di sicurezza nella rete. È possibile modificare i modelli di sicurezza in base ai requisiti usando Modelli di sicurezza in Microsoft Management Console (MMC).

Modelli di sicurezza predefiniti in Windows Server 2003

  • Sicurezza predefinita (setup security.inf)

    Il modello setup security.inf viene creato durante l'installazione ed è specifico per ogni computer. Varia da computer a computer, in base al fatto che l'installazione sia stata un'installazione pulita o un aggiornamento. Setup security.inf rappresenta le impostazioni di sicurezza predefinite applicate durante l'installazione del sistema operativo, incluse le autorizzazioni per i file per la radice dell'unità di sistema. Può essere usato su server e computer client; non può essere applicato ai controller di dominio. È possibile applicare parti di questo modello a scopo di ripristino di emergenza.

    Non applicare il file security.inf del programma di installazione usando Criteri di gruppo. In questo caso, è possibile che si verifichi una riduzione delle prestazioni.

    Nota

    In Microsoft Windows 2000 esistono due modelli di sicurezza diversi, ocfiles (per file server) e ocfilesw (per workstation). In Windows Server 2003 questi file sono stati sostituiti dal file security.inf del programma di installazione.

  • Sicurezza predefinita del controller di dominio (DC security.inf)

    Questo modello viene creato quando un server viene promosso a controller di dominio. Riflette le impostazioni di sicurezza predefinite di file, Registro di sistema e del servizio di sistema. Se si riapplica questo modello, queste impostazioni vengono impostate sui valori predefiniti. Tuttavia, il modello può sovrascrivere le autorizzazioni per i nuovi file, le chiavi del Registro di sistema e i servizi di sistema creati da altri programmi.

  • Compatibile (Compatws.inf)

    Questo modello modifica le autorizzazioni predefinite per il file e il Registro di sistema concesse ai membri del gruppo Utenti in modo coerente con i requisiti della maggior parte dei programmi che non appartengono a Windows Logo Program for Software. Il modello Compatibile rimuove anche tutti i membri del gruppo Power Users.

    Per altre informazioni su Windows Logo Program for Software, visitare il seguente sito Web Microsoft: Catalogo di Windows Server

    Nota

    Non applicare il modello Compatibile ai controller di dominio.

  • Secure (Secure*.inf)

    I modelli sicuri definiscono impostazioni di sicurezza avanzate che hanno meno probabilità di influire sulla compatibilità del programma. Ad esempio, i modelli sicuri definiscono impostazioni di password, blocco e controllo più avanzate. Inoltre, i modelli limitano l'uso dei protocolli di autenticazione LAN Manager e NTLM configurando i client per inviare solo risposte NTLMv2 e configurando i server per rifiutare le risposte di LAN Manager.

    In Windows Server 2003 sono disponibili due modelli sicuri predefiniti: Securews.inf per le workstation e Securedc.inf per i controller di dominio. Per altre informazioni sull'uso di questi modelli e di altri modelli di sicurezza, cercare "modelli di sicurezza predefiniti" nella Guida e nel Centro supporto tecnico.

  • Altamente sicuro (hisec*.inf)

    I modelli a protezione elevata specificano restrizioni aggiuntive non definite dai modelli sicuri, ad esempio i livelli di crittografia e la firma necessari per l'autenticazione e lo scambio di dati su canali sicuri e tra client e server SMB (Server Message Block).

  • Sicurezza radice del sistema (Rootsec.inf)

    Questo modello specifica le autorizzazioni radice. Per impostazione predefinita, Rootsec.inf definisce queste autorizzazioni per la radice dell'unità di sistema. È possibile utilizzare questo modello per riapplicare le autorizzazioni della directory radice se vengono inavvertitamente modificate oppure è possibile modificare il modello per applicare le stesse autorizzazioni radice ad altri volumi. Come specificato, il modello non sovrascrive le autorizzazioni esplicite definite sugli oggetti figlio; propaga solo le autorizzazioni ereditate dagli oggetti figlio.

  • Nessun SID utente di Terminal Server (Notssid.inf)

    È possibile applicare questo modello per rimuovere Terminale Windows SID (Server Security Identifier) dal file system e dai percorsi del Registro di sistema quando Servizi terminal non è in esecuzione. Dopo aver eseguito questa operazione, la sicurezza del sistema non migliora necessariamente. Per informazioni più dettagliate su tutti i modelli predefiniti in Windows Server 2003, cercare "modelli di sicurezza predefiniti" in Guida e Supporto tecnico.

    Importante

    L'implementazione di un modello di sicurezza in un controller di dominio può modificare le impostazioni dei criteri del controller di dominio predefiniti o dei criteri di dominio predefiniti. Il modello applicato può sovrascrivere le autorizzazioni per i nuovi file, le chiavi del Registro di sistema e i servizi di sistema creati da altri programmi. Il ripristino di questi criteri potrebbe essere necessario dopo l'applicazione di un modello di sicurezza. Prima di seguire questa procedura in un controller di dominio, creare un backup della condivisione SYSVOL.

Applicare un modello di sicurezza

  1. Fare clic sul pulsante Start, scegliere Esegui, digitare mmc e quindi fare clic su OK.
  2. Scegliere Aggiungi/Rimuovi snap-in dal menu File.
  3. Fare clic su Aggiungi.
  4. Nell'elenco Snap-in autonomi disponibili fare clic su Configurazione e analisi della sicurezza, su Aggiungi, su Chiudi e quindi su OK.
  5. Nel riquadro sinistro fare clic su Configurazione e analisi della sicurezza e visualizzare le istruzioni nel riquadro destro.
  6. Fare clic con il pulsante destro del mouse su Configurazione e analisi della sicurezza e quindi scegliere Apri database.
  7. Nella casella Nome file digitare il nome del file di database e quindi fare clic su Apri.
  8. Fare clic sul modello di sicurezza che si vuole usare e quindi fare clic su Apri per importare nel database le voci contenute nel modello.
  9. Fare clic con il pulsante destro del mouse su Configurazione e analisi della sicurezza nel riquadro sinistro e quindi scegliere Configura computer ora.