Jak zastosować wstępnie zdefiniowane szablony zabezpieczeń w systemie Windows Server 2003

W tym artykule krok po kroku opisano sposób stosowania wstępnie zdefiniowanych szablonów zabezpieczeń.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 816585

Podsumowanie

System Microsoft Windows Server 2003 zawiera kilka wstępnie zdefiniowanych szablonów zabezpieczeń, które można zastosować w celu zwiększenia poziomu zabezpieczeń w sieci. Szablony zabezpieczeń można modyfikować zgodnie z wymaganiami przy użyciu szablonów zabezpieczeń w konsoli zarządzania firmy Microsoft (MMC).

Wstępnie zdefiniowane szablony zabezpieczeń w systemie Windows Server 2003

• Zabezpieczenia domyślne (Setup security.inf)

  Szablon Setup security.inf jest tworzony podczas instalacji i jest specyficzny dla każdego komputera. Różni się ona w zależności od tego, czy instalacja była czystą instalacją, czy uaktualnieniem. Instalator security.inf reprezentuje domyślne ustawienia zabezpieczeń, które są stosowane podczas instalacji systemu operacyjnego, w tym uprawnienia do pliku głównego dysku systemowego. Może być używany na serwerach i komputerach klienckich; nie można go zastosować do kontrolerów domeny. Części tego szablonu można zastosować do celów odzyskiwania po awarii.

  Nie stosuj pliku Security.inf instalatora przy użyciu zasady grupy. Jeśli to zrobisz, może wystąpić spadek wydajności.

  Uwaga

  W systemie Microsoft Windows 2000 istnieją dwa różne szablony zabezpieczeń: ocfiless (dla serwerów plików) i ocfilesw (dla stacji roboczych). W systemie Windows Server 2003 te pliki zostały zastąpione przez plik Setup security.inf.

• Domyślne zabezpieczenia kontrolera domeny (DC security.inf)

  Ten szablon jest tworzony, gdy serwer jest promowany do kontrolera domeny. Odzwierciedla domyślne ustawienia zabezpieczeń plików, rejestru i usługi systemowej. W przypadku ponownego zastosowania tego szablonu te ustawienia są ustawione na wartości domyślne. Szablon może jednak zastępować uprawnienia do nowych plików, kluczy rejestru i usług systemowych utworzonych przez inne programy.

• Zgodne (Compatws.inf)

  Ten szablon zmienia domyślne uprawnienia do plików i rejestru, które są przyznawane członkom grupy Użytkownicy w sposób zgodny z wymaganiami większości programów, które nie należą do programu Logo systemu Windows dla oprogramowania. Zgodny szablon usuwa również wszystkich członków grupy Użytkownicy usługi Power.

  Aby uzyskać więcej informacji na temat programu logo systemu Windows dla oprogramowania, odwiedź następującą witrynę internetową firmy Microsoft: Wykaz systemu Windows Server

  Uwaga

  Nie stosuj zgodnego szablonu do kontrolerów domeny.

• Zabezpieczanie (Secure*.inf)

  Szablony zabezpieczeń definiują rozszerzone ustawienia zabezpieczeń, które mają najmniejszy wpływ na zgodność programu. Na przykład szablony Secure definiują silniejsze ustawienia haseł, blokady i inspekcji. Ponadto szablony ograniczają korzystanie z protokołów uwierzytelniania LAN Manager i NTLM, konfigurując klientów do wysyłania tylko odpowiedzi NTLMv2 i konfigurując serwery do odrzucania odpowiedzi menedżera SIECI LAN.

  Istnieją dwa wstępnie zdefiniowane bezpieczne szablony w systemie Windows Server 2003: Securews.inf dla stacji roboczych i Securedc.inf dla kontrolerów domeny. Aby uzyskać dodatkowe informacje na temat korzystania z tych szablonów i innych szablonów zabezpieczeń, wyszukaj w Centrum pomocy i pomocy technicznej "wstępnie zdefiniowane szablony zabezpieczeń".

• Wysoce bezpieczne (hisec*.inf)

  Szablony o wysokim poziomie bezpieczeństwa określają dodatkowe ograniczenia, które nie są zdefiniowane przez szablony secure, takie jak poziomy szyfrowania i podpisywanie wymagane do uwierzytelniania i wymiany danych za pośrednictwem bezpiecznych kanałów oraz między klientami i serwerami bloku komunikatów serwera (SMB).

• Zabezpieczenia główne systemu (Rootsec.inf)

  Ten szablon określa uprawnienia główne. Domyślnie plik Rootsec.inf definiuje te uprawnienia dla katalogu głównego dysku systemowego. Za pomocą tego szablonu możesz ponownie zastosować uprawnienia katalogu głównego, jeśli zostaną przypadkowo zmienione, lub zmodyfikować szablon, aby zastosować te same uprawnienia główne do innych woluminów. Jak określono, szablon nie zastępuje jawnych uprawnień zdefiniowanych w obiektach podrzędnych; Propaguje tylko uprawnienia dziedziczone przez obiekty podrzędne.

• Brak identyfikatora SID użytkownika serwera terminali (Notssid.inf)

  Ten szablon można zastosować w celu usunięcia identyfikatorów zabezpieczeń serwera Terminal Windows (SID) z systemu plików i lokalizacji rejestru, gdy usługi terminalowe nie są uruchamiane. Po wykonaniu tej czynności zabezpieczenia systemu nie muszą się poprawiać. Aby uzyskać bardziej szczegółowe informacje na temat wszystkich wstępnie zdefiniowanych szablonów w systemie Windows Server 2003, wyszukaj w Centrum pomocy i pomocy technicznej "wstępnie zdefiniowane szablony zabezpieczeń".

  Ważna

  Zaimplementowanie szablonu zabezpieczeń na kontrolerze domeny może zmienić ustawienia domyślnych zasad kontrolera domeny lub domyślnych zasad domeny. Zastosowany szablon może zastępować uprawnienia do nowych plików, kluczy rejestru i usług systemowych utworzonych przez inne programy. Przywrócenie tych zasad może być wymagane po zastosowaniu szablonu zabezpieczeń. Przed wykonaniem tych kroków na kontrolerze domeny utwórz kopię zapasową udziału SYSVOL.

Stosowanie szablonu zabezpieczeń

1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz mmc, a następnie kliknij przycisk OK.
2. W menu Plik kliknij polecenie Dodaj/Usuń przystawkę.
3. Kliknij pozycję Dodaj.
4. Na liście Dostępne samodzielne przystawki kliknij pozycję Konfiguracja zabezpieczeń i analiza, kliknij przycisk Dodaj, kliknij przycisk Zamknij, a następnie kliknij przycisk OK.
5. W okienku po lewej stronie kliknij pozycję Konfiguracja zabezpieczeń i Analiza i wyświetl instrukcje w okienku po prawej stronie.
6. Kliknij prawym przyciskiem myszy pozycję Konfiguracja zabezpieczeń i analiza, a następnie kliknij pozycję Otwórz bazę danych.
7. W polu Nazwa pliku wpisz nazwę pliku bazy danych, a następnie kliknij przycisk Otwórz.
8. Kliknij szablon zabezpieczeń, którego chcesz użyć, a następnie kliknij przycisk Otwórz , aby zaimportować wpisy zawarte w szablonie do bazy danych.
9. Kliknij prawym przyciskiem myszy pozycję Konfiguracja zabezpieczeń i analiza w okienku po lewej stronie, a następnie kliknij pozycję Konfiguruj komputer teraz.