Windows Server 2003'te önceden tanımlanmış güvenlik şablonları uygulama

  • Makale

Bu adım adım makalede önceden tanımlanmış güvenlik şablonlarının nasıl uygulanacağı açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 816585

Özet

Microsoft Windows Server 2003, ağınızdaki güvenlik düzeyini artırmak için uygulayabileceğiniz önceden tanımlanmış birkaç güvenlik şablonu içerir. Microsoft Yönetim Konsolu'nda (MMC) Güvenlik Şablonları'nı kullanarak güvenlik şablonlarını gereksinimlerinize uyacak şekilde değiştirebilirsiniz.

Windows Server 2003'te Önceden Tanımlanmış Güvenlik Şablonları

  • Varsayılan güvenlik (Security.inf kurulumu)

    Kurulum security.inf şablonu yükleme sırasında oluşturulur ve her bilgisayara özeldir. Yüklemenin temiz bir yükleme mi yoksa yükseltme mi olduğunu temel alarak bilgisayardan bilgisayara değişir. Security.inf kurulumu, sistem sürücüsünün köküne yönelik dosya izinleri de dahil olmak üzere işletim sisteminin yüklenmesi sırasında uygulanan varsayılan güvenlik ayarlarını temsil eder. Sunucularda ve istemci bilgisayarlarda kullanılabilir; etki alanı denetleyicilerine uygulanamaz. Olağanüstü durum kurtarma amacıyla bu şablonun bazı bölümlerini uygulayabilirsiniz.

    grup ilkesi kullanarak Setup security.inf uygulamayın. Bunu yaparsanız performansın düşmesiyle karşılaşabilirsiniz.

    Not

    Microsoft Windows 2000'de iki çeşitli güvenlik şablonu vardır: ocfiless (dosya sunucuları için) ve ocfilesw (iş istasyonları için). Windows Server 2003'te bu dosyaların yerini Setup security.inf dosyası alır.

  • Etki alanı denetleyicisi varsayılan güvenliği (DC security.inf)

    Bu şablon, bir sunucu bir etki alanı denetleyicisine yükseltildiğinde oluşturulur. Dosya, kayıt defteri ve sistem hizmeti varsayılan güvenlik ayarlarını yansıtır. Bu şablonu yeniden kullanırsanız, bu ayarlar varsayılan değerlere ayarlanır. Ancak, şablon yeni dosyalar, kayıt defteri anahtarları ve diğer programlar tarafından oluşturulan sistem hizmetleri üzerindeki izinlerin üzerine yazabilir.

  • Uyumlu (Compatws.inf)

    Bu şablon, Kullanıcılar grubunun üyelerine verilen varsayılan dosya ve kayıt defteri izinlerini, Yazılım için Windows Logo Programı'na ait olmayan çoğu programın gereksinimleriyle tutarlı bir şekilde değiştirir. Uyumlu şablon, Power Users grubunun tüm üyelerini de kaldırır.

    Yazılım için Windows Logo Programı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin: Windows Server Kataloğu

    Not

    Uyumlu şablonu etki alanı denetleyicilerine uygulamayın.

  • Güvenli (Secure*.inf)

    Güvenli şablonlar, program uyumluluğunu etkileme olasılığı en düşük olan gelişmiş güvenlik ayarlarını tanımlar. Örneğin, Güvenli şablonlar daha güçlü parola, kilitleme ve denetim ayarlarını tanımlar. Ayrıca şablonlar, istemcileri yalnızca NTLMv2 yanıtlarını gönderecek şekilde yapılandırarak ve sunucuları LAN Manager yanıtlarını reddedecek şekilde yapılandırarak LAN Manager ve NTLM kimlik doğrulama protokollerinin kullanımını sınırlar.

    Windows Server 2003'te önceden tanımlanmış iki Güvenli şablon vardır: İş istasyonları için Securews.inf ve etki alanı denetleyicileri için Securec.inf. Bu şablonları ve diğer güvenlik şablonlarını kullanma hakkında ek bilgi için Yardım ve Destek Merkezi'ne "önceden tanımlanmış güvenlik şablonları" araması yapın.

  • Yüksek Oranda Güvenli (hisec*.inf)

    Yüksek Oranda Güvenli şablonlar, güvenli kanallar üzerinden ve Sunucu İleti Bloğu (SMB) istemcileri ve sunucuları arasında kimlik doğrulaması ve veri değişimi için gereken şifreleme düzeyleri ve imzalama gibi Güvenli şablonlar tarafından tanımlanmayan ek kısıtlamaları belirtir.

  • Sistem kök güvenliği (Rootsec.inf)

    Bu şablon kök izinleri belirtir. Varsayılan olarak, Rootsec.inf sistem sürücüsünün kökü için bu izinleri tanımlar. Bu şablonu kullanarak, yanlışlıkla değiştirildiğinde kök dizin izinlerini yeniden uygulayabilir veya şablonu aynı kök izinleri diğer birimlere uygulayacak şekilde değiştirebilirsiniz. Belirtildiği gibi, şablon alt nesneler üzerinde tanımlanan açık izinlerin üzerine yazılmaz; yalnızca alt nesneler tarafından devralınan izinleri yayılım.

  • Terminal Server kullanıcı SID'i yok (Notssid.inf)

    Terminal Hizmetleri çalıştırılmadığında dosya sisteminden ve kayıt defteri konumlarından Windows Terminal Sunucusu güvenlik tanımlayıcılarını (SID) kaldırmak için bu şablonu uygulayabilirsiniz. Bunu yaptıktan sonra sistem güvenliği mutlaka geliştirilmez. Windows Server 2003'teki tüm önceden tanımlanmış şablonlar hakkında daha ayrıntılı bilgi için Yardım ve Destek Merkezi'nde "önceden tanımlanmış güvenlik şablonları" araması yapın.

    Önemli

    Bir etki alanı denetleyicisinde güvenlik şablonu uygulamak, Varsayılan Etki Alanı Denetleyicisi İlkesi veya Varsayılan Etki Alanı İlkesi ayarlarını değiştirebilir. Uygulanan şablon yeni dosyalar, kayıt defteri anahtarları ve diğer programlar tarafından oluşturulan sistem hizmetleri üzerindeki izinlerin üzerine yazabilir. Bir güvenlik şablonu uyguladıktan sonra bu ilkeleri geri yüklemek gerekebilir. Bir etki alanı denetleyicisinde bu adımları izlemeden önce SYSVOL paylaşımının yedeğini oluşturun.

Güvenlik Şablonu Uygulama

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, mmc yazın ve ardından Tamam'a tıklayın.
  2. Dosya menüsünde, Ek Bileşen Ekle/Kaldır'a tıklayın.
  3. Ekle'ye tıklayın.
  4. Kullanılabilir Tek Başına Ek Bileşenler listesinde Güvenlik Yapılandırması ve Analizi'ne tıklayın, Ekle'ye tıklayın, Kapat'a ve ardından Tamam'a tıklayın.
  5. Sol bölmede Güvenlik Yapılandırması ve Çözümleme'ye tıklayın ve sağ bölmedeki yönergeleri görüntüleyin.
  6. Güvenlik Yapılandırması ve Çözümlemesi'ne sağ tıklayın ve ardından Veritabanını Aç'a tıklayın.
  7. Dosya adı kutusuna veritabanı dosyasının adını yazın ve Aç'a tıklayın.
  8. Kullanmak istediğiniz güvenlik şablonuna tıklayın ve sonra da şablonda yer alan girdileri veritabanına aktarmak için Aç'a tıklayın.
  9. Sol bölmede Güvenlik Yapılandırması ve Çözümlemesi'ne sağ tıklayın ve ardından Bilgisayarı Şimdi Yapılandır'a tıklayın.