如何在 Windows Server 2003 中应用预定义的安全模板

  • 项目

本分步文章介绍如何应用预定义的安全模板。

适用于: Windows Server 2003
原始 KB 编号: 816585

摘要

Microsoft Windows Server 2003 包括多个预定义的安全模板,你可以应用这些模板来提高网络上的安全级别。 可以使用 Microsoft 管理控制台中的安全模板 (MMC) 来修改安全模板以满足要求。

Windows Server 2003 中的预定义安全模板

  • 默认安全性 (安装程序 security.inf)

    安装程序 security.inf 模板是在安装过程中创建的,它特定于每台计算机。 它因计算机而异,具体取决于安装是干净安装还是升级。 Setup security.inf 表示在操作系统安装期间应用的默认安全设置,包括系统驱动器根目录的文件权限。 它可以在服务器和客户端计算机上使用;它不能应用于域控制器。 可以应用此模板的某些部分以实现灾难恢复目的。

    请勿使用 组策略 应用安装程序 security.inf。 如果这样做,可能会遇到性能下降的问题。

    注意

    在 Microsoft Windows 2000 中,存在两个其他安全模板:文件服务器的无 ocfile () 和 ocfilesw (工作站) 。 在 Windows Server 2003 中,这些文件已被安装程序 security.inf 文件取代。

  • 域控制器默认安全性 (DC security.inf)

    此模板是在将服务器提升为域控制器时创建的。 它反映了文件、注册表和系统服务的默认安全设置。 如果重新应用此模板,这些设置将设置为默认值。 但是,该模板可能会覆盖其他程序创建的新文件、注册表项和系统服务的权限。

  • 兼容 (Compatws.inf)

    此模板更改授予用户组成员的默认文件和注册表权限,方式与不属于 Windows 徽标计划软件的大多数程序的要求一致。 兼容模板还会删除 Power Users 组的所有成员。

    有关适用于软件的 Windows 徽标计划的详细信息,请访问以下 Microsoft 网站: Windows Server 目录

    注意

    不要将兼容模板应用于域控制器。

  • 安全 (Secure*.inf)

    安全模板定义最不可能影响程序兼容性的增强安全设置。 例如,安全模板定义更强的密码、锁定和审核设置。 此外,这些模板通过将客户端配置为仅发送 NTLMv2 响应以及将服务器配置为拒绝 LAN 管理器响应来限制使用 LAN 管理器和 NTLM 身份验证协议。

    Windows Server 2003 中有两个预定义的安全模板:用于工作站的 Securews.inf 和域控制器的 Securec.inf。 有关使用这些模板和其他安全模板的其他信息,请在帮助和支持中心搜索“预定义的安全模板”。

  • 高度安全 (hisec*.inf)

    高度安全模板指定了安全模板未定义的其他限制,例如加密级别和签名,用于通过安全通道进行身份验证和数据交换,以及服务器消息块 (SMB) 客户端和服务器之间。

  • 系统根安全性 (Rootsec.inf)

    此模板指定根权限。 默认情况下,Rootsec.inf 为系统驱动器的根目录定义这些权限。 如果根目录权限被无意更改,可以使用此模板重新应用这些权限,也可以修改模板以将相同的根权限应用于其他卷。 按指定,模板不会覆盖对子对象定义的显式权限;它仅传播子对象继承的权限。

  • No Terminal Server user SID (Notssid.inf)

    当终端服务未运行时,可以应用此模板从文件系统和注册表位置删除Windows 终端服务器安全标识符 (SID) 。 执行此操作后,系统安全性不一定得到改善。 有关 Windows Server 2003 中所有预定义模板的更多详细信息,请在帮助和支持中心搜索“预定义安全模板”。

    重要

    在域控制器上实现安全模板可能会更改默认域控制器策略或默认域策略的设置。 应用的模板可能会覆盖其他程序创建的新文件、注册表项和系统服务的权限。 应用安全模板后,可能需要还原这些策略。 在域控制器上执行这些步骤之前,请创建 SYSVOL 共享的备份。

应用安全模板

  1. 单击“开始”,再单击“运行”,键入 mmc,然后单击“确定”
  2. “文件”菜单上,单击“添加/删除管理单元”
  3. 单击“添加”
  4. “可用的独立管理单元 ”列表中,依次单击“ 安全配置和分析”、“ 添加”、“ 关闭”和“ 确定”。
  5. 在左窗格中,单击“ 安全配置和分析 ”,并在右窗格中查看说明。
  6. 右键单击“ 安全配置和分析”,然后单击“ 打开数据库”。
  7. 在“ 文件名 ”框中,键入数据库文件的名称,然后单击“ 打开”。
  8. 单击要使用的安全模板,然后单击“ 打开 ”,将模板中包含的条目导入数据库。
  9. 在左窗格中右键单击“ 安全配置和分析 ”,然后单击“ 立即配置计算机”。