Anwenden vordefinierter Sicherheitsvorlagen in Windows Server 2003

  • Artikel

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie vordefinierte Sicherheitsvorlagen anwenden.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 816585

Zusammenfassung

Microsoft Windows Server 2003 enthält mehrere vordefinierte Sicherheitsvorlagen, die Sie anwenden können, um die Sicherheit in Ihrem Netzwerk zu erhöhen. Mithilfe von Sicherheitsvorlagen in der Microsoft Management Console (MMC) können Sie Sicherheitsvorlagen an Ihre Anforderungen anpassen.

Vordefinierte Sicherheitsvorlagen in Windows Server 2003

  • Standardsicherheit (Setup security.inf)

    Die Setup-Vorlage security.inf wird während der Installation erstellt und ist für jeden Computer spezifisch. Dies variiert von Computer zu Computer, je nachdem, ob die Installation eine sauber Installation oder ein Upgrade war. Setup security.inf stellt die Standardsicherheitseinstellungen dar, die während der Installation des Betriebssystems angewendet werden, einschließlich der Dateiberechtigungen für den Stamm des Systemlaufwerks. Sie kann auf Servern und Clientcomputern verwendet werden. Sie kann nicht auf Domänencontroller angewendet werden. Sie können Teile dieser Vorlage für die Notfallwiederherstellung anwenden.

    Wenden Sie setup security.inf nicht mithilfe von Gruppenrichtlinie an. Wenn Sie dies tun, kann es zu Leistungseinbußen führen.

    Hinweis

    In Microsoft Windows 2000 gibt es zwei verschiedene Sicherheitsvorlagen: ocfiless (für Dateiserver) und ocfilesw (für Arbeitsstationen). In Windows Server 2003 wurden diese Dateien durch die Datei Setup security.inf ersetzt.

  • Standardsicherheit für Domänencontroller (DC security.inf)

    Diese Vorlage wird erstellt, wenn ein Server zu einem Domänencontroller heraufgestuft wird. Sie spiegelt die Standardsicherheitseinstellungen für Datei, Registrierung und Systemdienst wider. Wenn Sie diese Vorlage erneut anwenden, werden diese Einstellungen auf die Standardwerte festgelegt. Die Vorlage kann jedoch Berechtigungen für neue Dateien, Registrierungsschlüssel und Systemdienste überschreiben, die von anderen Programmen erstellt wurden.

  • Kompatibel (Compatws.inf)

    Diese Vorlage ändert die Standarddatei- und Registrierungsberechtigungen, die den Mitgliedern der Gruppe Benutzer gewährt werden, auf eine Weise, die den Anforderungen der meisten Programme entspricht, die nicht zum Windows-Logo-Programm für Software gehören. Die Vorlage Kompatibel entfernt auch alle Mitglieder der Gruppe "Power Users".

    Weitere Informationen zum Windows-Logo-Programm für Software finden Sie auf der folgenden Microsoft-Website: Windows Server-Katalog

    Hinweis

    Wenden Sie die Kompatible Vorlage nicht auf Domänencontroller an.

  • Sicher (Secure*.inf)

    Die Sicheren Vorlagen definieren erweiterte Sicherheitseinstellungen, die sich am wenigsten auf die Programmkompatibilität auswirken. Beispielsweise definieren die Secure-Vorlagen stärkere Kennwort-, Sperr- und Überwachungseinstellungen. Darüber hinaus beschränken die Vorlagen die Verwendung von LAN-Manager- und NTLM-Authentifizierungsprotokollen, indem Clients so konfiguriert werden, dass nur NTLMv2-Antworten gesendet werden, und indem Server so konfiguriert werden, dass LAN Manager-Antworten abgelehnt werden.

    Es gibt zwei vordefinierte Secure-Vorlagen in Windows Server 2003: Securews.inf für Arbeitsstationen und Securedc.inf für Domänencontroller. Weitere Informationen zur Verwendung dieser Vorlagen und anderer Sicherheitsvorlagen finden Sie im Hilfe- und Supportcenter nach "vordefinierten Sicherheitsvorlagen".

  • Hochsicher (hisec*.inf)

    Die Vorlagen für hohe Sicherheit geben zusätzliche Einschränkungen an, die nicht von den sicheren Vorlagen definiert werden, z. B. Verschlüsselungsstufen und Signierung, die für die Authentifizierung und den Datenaustausch über sichere Kanäle und zwischen SMB-Clients und -Servern (Server Message Block) erforderlich sind.

  • Systemstammsicherheit (Rootsec.inf)

    Diese Vorlage gibt die Stammberechtigungen an. Rootec.inf definiert diese Berechtigungen standardmäßig für den Stamm des Systemlaufwerks. Sie können diese Vorlage verwenden, um die Stammverzeichnisberechtigungen erneut anzuwenden, wenn sie versehentlich geändert werden, oder Sie können die Vorlage ändern, um die gleichen Stammberechtigungen auf andere Volumes anzuwenden. Wie angegeben, überschreibt die Vorlage keine expliziten Berechtigungen, die für untergeordnete Objekte definiert sind. Sie gibt nur die Berechtigungen weiter, die von untergeordneten Objekten geerbt werden.

  • Keine Terminalserverbenutzer-SID (Notssid.inf)

    Sie können diese Vorlage anwenden, um Windows-Terminal Server-Sicherheits-IDs (SIDs) aus dem Dateisystem und den Registrierungsspeicherorten zu entfernen, wenn die Terminaldienste nicht ausgeführt werden. Danach verbessert sich die Systemsicherheit nicht unbedingt. Ausführlichere Informationen zu allen vordefinierten Vorlagen in Windows Server 2003 finden Sie im Hilfe- und Supportcenter nach "vordefinierten Sicherheitsvorlagen".

    Wichtig

    Die Implementierung einer Sicherheitsvorlage auf einem Domänencontroller kann die Einstellungen der Standarddomänencontrollerrichtlinie oder standarddomänenrichtlinie ändern. Die angewendete Vorlage kann Berechtigungen für neue Dateien, Registrierungsschlüssel und Systemdienste überschreiben, die von anderen Programmen erstellt wurden. Das Wiederherstellen dieser Richtlinien ist möglicherweise erforderlich, nachdem Sie eine Sicherheitsvorlage angewendet haben. Bevor Sie diese Schritte auf einem Domänencontroller ausführen, erstellen Sie eine Sicherung der SYSVOL-Freigabe.

Anwenden einer Sicherheitsvorlage

  1. Klicken Sie auf Start und auf Ausführen. Geben Sie mmc ein, und klicken Sie dann auf OK.
  2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie auf Hinzufügen.
  4. Klicken Sie in der Liste Verfügbare eigenständige Snap-Ins auf Sicherheitskonfiguration und -analyse, klicken Sie auf Hinzufügen, klicken Sie auf Schließen und dann auf OK.
  5. Klicken Sie im linken Bereich auf Sicherheitskonfiguration und -analyse , und zeigen Sie die Anweisungen im rechten Bereich an.
  6. Klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse, und klicken Sie dann auf Datenbank öffnen.
  7. Geben Sie im Feld Dateiname den Namen der Datenbankdatei ein, und klicken Sie dann auf Öffnen.
  8. Klicken Sie auf die Sicherheitsvorlage, die Sie verwenden möchten, und klicken Sie dann auf Öffnen , um die in der Vorlage enthaltenen Einträge in die Datenbank zu importieren.
  9. Klicken Sie im linken Bereich mit der rechten Maustaste auf Sicherheitskonfiguration und -analyse , und klicken Sie dann auf Computer jetzt konfigurieren.