Active Directory для Windows Server 2003

         

Предопределенные шаблоны защиты


Чтобы облегчить применение защиты, компания Microsoft создала разнообразные предопределенные шаблоны защиты. Эти шаблоны сконфигурированы в соответствии с категориями защиты, такими как default (заданная по умолчанию), secure (безопасная) и high security (сильная защита). Шаблоны хранятся в папке %systemroot %\security\templates. Когда вы устанавливаете на компьютере системы Windows Server 2003 или Windows XP Professional, к компьютеру применяется шаблон Setup Security.inf. Этот шаблон различен для рабочих станций и серверов, он также зависит от того, была ли ваша операционная система установлена как обновление или как чистая инсталляция. Вы можете повторно применять шаблон защиты в любое время после начальной инсталляции. Например, если изменяются параметры настройки защиты на компьютере и нужно вернуть заданные по умолчанию параметры, можно повторно применить этот шаблон. Он создается в процессе установки для каждого компьютера и должен применяться только локально. Он содержит много параметров настройки, которые не конфигурируются в составе какого-либо другого шаблона. Следовательно, не нужно ис-

пользовать групповые политики для развертывания заданного по умолчанию шаблона. Их можно использовать для развертывания дополнительных шаблонов защиты, которые могут изменять некоторые параметры настройки, сконфигурированные в заданном по умолчанию шаблоне.

Если вы устанавливаете на компьютере системы Windows Server 2003 или Windows XP Professional как обновление предыдущей операционной системы, заданные по умолчанию шаблоны на компьютере не применяются. Это гарантирует, что после обновления будут поддерживаться любые предыдущие конфигурации защиты.

Если заданные по умолчанию параметры настройки защиты не отвечают вашим потребностям, примените другие конфигурации защиты, используя шаблоны. Они предназначены для использования на тех компьютерах, где уже выполняются заданные по умолчанию шаблоны защиты. Компания Microsoft включила следующие шаблоны в систему Windows Server 2003.


  • Compatwsinf. Этот шаблон может применяться к рабочим станциям или серверам. Windows Server 2003 сконфигурирован так, чтобы быть более безопасным, чем предыдущие версии Windows. Это означает, что некоторые приложения, работающие в предыдущих операционных системах, не будут выполняться в системах Windows Server 2003 или Windows XP Professional. Особенно справедливо это для несер-тифицированных приложений, которым требуется доступ пользователя к системному реестру. Один из способов выполнить такие приложения состоит в том, чтобы сделать пользователя членом группы Power Users (Полномочные пользователи), которая имеет более высокий уровень разрешений, чем обычный пользователь. Другой вариант состоит в том, чтобы ослабить параметры настройки защиты на выбранных файлах и ключах системного реестра так, чтобы группа Users (Пользователи) имела больше разрешений. Шаблон Compatws.inf может использоваться для применения второго варианта. Применение этого шаблона изменяет заданный по умолчанию файл и разрешения системного реестра так, чтобы члены группы Users могли выполнять большинство приложений.


  • Securewsinf и Securedcinf. Эти шаблоны обеспечивают усиленную защиту для политики учетных записей, аудита и разрешения на доступ к системному реестру. Они ограничивают использование NTLM-аутентификации, включая подписи на серверах пакетов блока серверных сообщений (Server Message Block - SMB). Шаблон Securews.inf применим для любой рабочей станции или сервера, а шаблон Securedcinf - только для контроллеров домена.


  • Hisecwsinf и Hisecdc.inf. Эти шаблоны последовательно увеличивают защиту, которая создается другими шаблонами. Защита усиливается в областях, затрагивающих сетевые протоколы связи. Они должны использоваться только в сетях, включающих компьютеры с системами Windows Server 2003, Windows 2000 или Windows XP, и должны быть протестированы и применены на всех компьютерах, чтобы убедиться, что все они работают на одном и том же уровне защиты. Шаблон Hisecws.inf применяется для любой рабочей станции или сервере, а шаблон Hisecdc.inf - только для контроллеров домена.




  • DC security.inf. Этот шаблон применяется автоматически всякий раз, когда сервер-член домена с системой Windows Server 2003 назначается контроллером домена. Он дает возможность администратору повторно применить начальную защиту контроллера домена, если возникает такая потребность.


  • Notssid.inf. Этот шаблон удаляет идентификатор безопасности SID группы безопасности Terminal Users (Пользователи терминала) из всех «тисков управления разграничительным доступом DACL на сервере. Используется для повышения безопасности терминальных серверов, потому что все пользователи терминального сервера будут иметь разрешения, полученные через членство индивидуальных пользователей и групп, а не через общую группу безопасности Terminal Users. Этот шаблон включен только в Windows Server 2003, который сконфигурирован как терминальный сервер в режиме приложений.


  • Rootsec.inf. Этот шаблон переустанавливает заданные по умолчанию разрешения системной корневой папки и распространяет унаследованные разрешения на все подпапки и файлы, расположенные в корневой папке. Применение этого шаблона не изменяет явные разрешения, назначенные на файлы.


  • После того как вы решили, какой шаблон защиты использовать, ими можно управлять через редактор объектов групповых политик. Если нужно установить один из настроенных шаблонов, щелкните правой кнопкой мыши на папке Security Settings и выберите Import Policy (Импорт политики). По умолчанию диалоговое окно откроет папку %systemroot %\Security\Templates, где расположены предопределенные шаблоны защиты. Когда вы выберете один из шаблонов, он загрузится в редактор объектов групповых политик. Затем можно применить эту групповую политику к выбранному контейнерному объекту. Вы можете изменить импортированный шаблон защиты так, чтобы он точно удовлетворял вашим требованиям. После этого экспортируйте шаблон, чтобы он был доступен для импортирования в другую групповую политику.


    Содержание раздела