Применение стандартных шаблонов безопасности в Windows Server 2003

В этой пошаговой статье описывается применение стандартных шаблонов безопасности.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 816585

Сводка

Microsoft Windows Server 2003 включает несколько стандартных шаблонов безопасности, которые можно применить для повышения уровня безопасности в сети. Вы можете изменить шаблоны безопасности в соответствии со своими требованиями с помощью шаблонов безопасности в консоли управления Майкрософт (MMC).

Стандартные шаблоны безопасности в Windows Server 2003

• Безопасность по умолчанию (настройка security.inf)

  Шаблон Setup security.inf создается во время установки и предназначен для каждого компьютера. Она зависит от того, была ли установка чистой или обновлением. Setup security.inf представляет параметры безопасности по умолчанию, применяемые во время установки операционной системы, включая разрешения на файл для корневого каталога системного диска. Его можно использовать на серверах и клиентских компьютерах; Он не может применяться к контроллерам домена. Вы можете применить части этого шаблона для аварийного восстановления.

  Не применяйте setup security.inf с помощью групповая политика. В этом случае производительность может снизиться.

  Примечание.

  В Microsoft Windows 2000 существуют два других шаблона безопасности: ocfiless (для файловых серверов) и ocfilesw (для рабочих станций). В Windows Server 2003 эти файлы были заменены файлом security.inf установки.

• Безопасность контроллера домена по умолчанию (DC security.inf)

  Этот шаблон создается при повышении сервера до контроллера домена. Он отражает параметры безопасности файлов, реестра и системной службы по умолчанию. При повторном использовании этого шаблона для этих параметров будут заданы значения по умолчанию. Однако шаблон может перезаписать разрешения на новые файлы, разделы реестра и системные службы, созданные другими программами.

• Совместимость (Compatws.inf)

  Этот шаблон изменяет разрешения по умолчанию для файлов и реестра, предоставляемые членам группы "Пользователи", в соответствии с требованиями большинства программ, которые не относятся к программе с логотипом Windows для программного обеспечения. Шаблон "Совместимый" также удаляет всех членов группы "Опытные пользователи".

  Дополнительные сведения о программе с логотипом Windows для программного обеспечения см. на следующем веб-сайте Майкрософт: Каталог Windows Server

  Примечание.

  Не применяйте совместимый шаблон к контроллерам домена.

• Secure (Secure*.inf)

  Шаблоны безопасности определяют параметры повышенной безопасности, которые с наименьшей вероятностью влияют на совместимость программ. Например, безопасные шаблоны определяют более надежный пароль, блокировку и параметры аудита. Кроме того, шаблоны ограничивают использование протоколов проверки подлинности LAN Manager и NTLM, настраивая клиенты для отправки только ответов NTLMv2 и настраивая серверы на отказ в ответах LAN Manager.

  В Windows Server 2003 есть два стандартных шаблона secure: Securews.inf для рабочих станций и Securedc.inf для контроллеров домена. Дополнительные сведения об использовании этих шаблонов и других шаблонов безопасности см. в разделе "Стандартные шаблоны безопасности" в Центре справки и поддержки.

• Высокий уровень безопасности (hisec*.inf)

  Шаблоны с высоким уровнем безопасности указывают дополнительные ограничения, не определенные шаблонами Secure, такие как уровни шифрования и подписывания, необходимые для проверки подлинности и обмена данными по защищенным каналам, а также между клиентами и серверами SMB.

• Системная корневая безопасность (Rootsec.inf)

  Этот шаблон задает разрешения корневого каталога. По умолчанию Rootsec.inf определяет эти разрешения для корневого каталога системного диска. Этот шаблон можно использовать для повторного применения разрешений корневого каталога, если они непреднамеренно изменены, или вы можете изменить шаблон, чтобы применить те же разрешения корневого каталога к другим томам. Как указано, шаблон не перезаписывает явные разрешения, определенные для дочерних объектов; он распространяет только разрешения, унаследованные дочерними объектами.

• Нет идентификатора безопасности пользователя сервера терминалов (Notssid.inf)

  Этот шаблон можно применить для удаления идентификаторов безопасности сервера Терминал Windows из файловой системы и расположения реестра, когда службы терминалов не выполняются. После этого безопасность системы не обязательно улучшится. Дополнительные сведения обо всех стандартных шаблонах в Windows Server 2003 см. в разделе Центр справки и поддержки по запросу "предопределенные шаблоны безопасности".

  Важно!

  Реализация шаблона безопасности на контроллере домена может изменить параметры политики контроллера домена по умолчанию или политики домена по умолчанию. Примененный шаблон может перезаписать разрешения на новые файлы, разделы реестра и системные службы, созданные другими программами. Восстановление этих политик может потребоваться после применения шаблона безопасности. Перед выполнением этих действий на контроллере домена создайте резервную копию общей папки SYSVOL.

Применение шаблона безопасности

1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите mmcи нажмите кнопку ОК.
2. В меню Файл щелкните Добавить или удалить оснастку.
3. Нажмите кнопку Добавить.
4. В списке Доступные автономные оснастки щелкните Конфигурация и анализ безопасности, нажмите кнопку Добавить, Закрыть и нажмите кнопку ОК.
5. В левой области щелкните Настройка и анализ безопасности и просмотрите инструкции в правой области.
6. Щелкните правой кнопкой мыши пункт Настройка и анализ безопасности и выберите команду Открыть базу данных.
7. В поле Имя файла введите имя файла базы данных и нажмите кнопку Открыть.
8. Щелкните нужный шаблон безопасности и нажмите кнопку Открыть , чтобы импортировать записи, содержащиеся в шаблоне, в базу данных.
9. Щелкните правой кнопкой мыши конфигурацию и анализ безопасности на панели слева и выберите пункт Настроить компьютер сейчас.