Определение шаблонов безопасности с помощью Snap-In

В этой статье описано, как определить шаблоны безопасности с помощью оснастки "Шаблоны безопасности".

Применяется к: Windows Server 2003
Исходный номер базы знаний: 816297

Сводка

В этой пошаговой статье описывается создание и определение нового шаблона безопасности с помощью оснастки "Шаблоны безопасности" в Microsoft Windows Server 2003.

С помощью оснастки "Шаблоны безопасности" можно создать политику безопасности для сети или компьютера с помощью шаблонов безопасности. Шаблон безопасности — это текстовый файл, представляющий конфигурацию безопасности. Вы можете применить шаблон безопасности к локальному компьютеру, импортировать шаблон безопасности в групповая политика или использовать шаблон безопасности для анализа безопасности. Вы можете использовать стандартный шаблон безопасности, включенный в Windows Server 2003, изменить стандартный шаблон безопасности или создать настраиваемый шаблон безопасности, содержащий нужные параметры безопасности. Шаблоны безопасности можно использовать для определения следующих компонентов:

• Политики учетных записей

  • Политика паролей
  • Политика блокировки учетных записей
  • Политика Kerberos

• Локальные политики

  • Политика аудита
  • Назначение прав пользователя
  • Параметры безопасности

• Журнал событий: параметры приложения, системы и журнала событий безопасности

• Ограниченные группы: членство в группах, чувствительных к безопасности

• Системные службы: режимы запуска и разрешения для системных служб

• Реестр: разрешения раздела реестра

• Файловая система: разрешения для файлов и папок

Добавление Snap-In шаблонов безопасности в консоль управления (MMC)

Чтобы добавить оснастку "Шаблоны безопасности" в консоль MMC, выполните следующие действия.

1. Нажмите кнопку Пуск и выберите пункт Выполнить.

2. В поле Открыть введите mmc и нажмите кнопку ОК.

3. В меню Файл щелкните Добавить или удалить оснастку.

4. В диалоговом окне Добавление и удаление оснастки откройте вкладку Автономная и нажмите кнопку Добавить.

5. В диалоговом окне Добавление автономной оснастки щелкните Шаблоны безопасности, нажмите кнопку Добавить, Закрыть и нажмите кнопку ОК.

6. В дереве консоли разверните узел Шаблоны безопасности, а затем % SystemRoot%\Security\Templates.

   В правой области появится список стандартных шаблонов безопасности и их описания.

Создание и определение нового шаблона безопасности

Чтобы определить новый шаблон безопасности, выполните следующие действия.

1. В дереве консоли разверните узел Шаблоны безопасности.

2. Щелкните правой кнопкой мыши %SystemRoot%\Security\Templates и выберите пункт Создать шаблон.

3. В поле Имя шаблона введите имя нового шаблона.

   При необходимости можно ввести описание в поле Описание и нажмите кнопку ОК.

   Новый шаблон безопасности появится в списке шаблонов безопасности. Обратите внимание, что параметры безопасности для этого шаблона еще не определены. При развертывании нового шаблона безопасности в дереве консоли разверните каждый компонент шаблона, а затем дважды щелкните каждый параметр безопасности, содержащийся в этом компоненте, в столбце Параметр компьютера появится состояние Не определено.

4. Чтобы определить политики учетных записей, локальные политики или политики журнала событий, выполните следующие действия.

   1. В дереве консоли разверните компонент, содержащий параметр безопасности, который требуется настроить.
      Например, чтобы задать политику максимального возраста паролей, разверните раздел Политики учетных записей.
   2. На правой панели дважды щелкните параметр безопасности, который требуется настроить. Например, чтобы задать политику максимального срока действия паролей, дважды щелкните Политику паролей, а затем дважды щелкните Максимальный срок действия пароля.
   3. Щелкните, чтобы выбрать параметр Определить эту политику в поле шаблон проверка, укажите нужный параметр или параметр в соответствии с параметром безопасности, а затем нажмите кнопку ОК.

5. Чтобы определить политику ограниченных групп, выполните следующие действия.

   1. Щелкните правой кнопкой мыши Ограниченные группы и выберите команду Добавить группу.
   2. Нажмите кнопку Обзор.
   3. В диалоговом окне Выбор групп введите имя группы, доступ к которой требуется ограничить, нажмите кнопку ОК и нажмите кнопку ОК.
   4. В диалоговом окне Свойства groupName в разделе Участники этой группы щелкните Добавить участников , чтобы добавить в группу нужных участников.
      Чтобы добавить эту группу в качестве члена другой группы, в разделе Эта группа является членом щелкните Добавить группы.
   5. Нажмите кнопку OK.

6. Чтобы определить политику системных служб, выполните следующие действия.

   1. Разверните узел Системные службы.
   2. В правой области дважды щелкните службу, которую нужно настроить.
   3. Укажите нужные параметры и нажмите кнопку ОК.

7. Чтобы определить безопасность для разделов реестра, выполните следующие действия.

   1. Щелкните правой кнопкой мыши Реестр и выберите команду Добавить ключ.
   2. В диалоговом окне Выбор раздела реестра щелкните раздел реестра, для которого требуется определить безопасность, и нажмите кнопку ОК.
   3. В диалоговом окне Безопасность базы данных для RegistryKey укажите необходимые разрешения для раздела реестра, а затем нажмите кнопку ОК.
   4. В диалоговом окне Добавление объекта укажите, какие разрешения на этот ключ наследуются, нажмите кнопку ОК, а затем нажмите кнопку ОК.

8. Чтобы определить безопасность для файлов или папок, выполните следующие действия.

   1. Щелкните правой кнопкой мыши файловую систему и выберите команду Добавить файл.
   2. В диалоговом окне Добавление файла или папки выберите файл или папку, в которую требуется добавить безопасность, а затем нажмите кнопку ОК.
   3. В диалоговом окне Безопасность базы данных для fileName или FolderName укажите необходимые разрешения, нажмите кнопку ОК, а затем нажмите кнопку ОК.

Копирование параметров безопасности из предопределенного шаблона в другой шаблон

Чтобы скопировать параметры безопасности из предопределенного шаблона в пользовательский шаблон, выполните следующие действия.

1. В дереве консоли разверните стандартный шаблон, содержащий параметры, которые нужно скопировать, щелкните правой кнопкой мыши компонент, который требуется скопировать, и выберите команду Копировать.

2. В дереве консоли разверните пользовательский шаблон, щелкните правой кнопкой мыши соответствующий компонент и выберите команду Вставить.

   Например, чтобы использовать параметры Политик учетных записей из шаблона Hisecdc в пользовательском шаблоне, разверните узел Hisecdc, щелкните правой кнопкой мыши Пункт Политики учетных записей и выберите команду Копировать. Разверните пользовательский шаблон, щелкните правой кнопкой мыши Пункт Политики учетных записей и выберите команду Вставить.

Создание нового шаблона безопасности на основе предопределенного шаблона

Чтобы создать шаблон безопасности на основе параметров из предопределенного шаблона, сохраните предопределенный шаблон, используя другое имя файла. Для этого выполните указанные ниже действия.

1. Щелкните правой кнопкой мыши шаблон, который нужно скопировать, и выберите команду Сохранить как.

2. В диалоговом окне Сохранить как введите имя шаблона безопасности в поле Имя файла и нажмите кнопку Сохранить.

   Новый шаблон безопасности появится в списке шаблонов безопасности. Настройте шаблон с нужными параметрами.

Ссылки

Дополнительные сведения о шаблонах безопасности в Windows Server 2003 см. в разделе "Безопасность Configuration Manager" в разделе Безопасность документации по Windows 2003 Server.