2014年2月14日星期五

Windows Server 2003 中的预设安全模板及应用

Microsoft Windows Server 2003 包括几个预定义的安全模板,可供您用来提高网络上的安全级别。可以通过使用 Microsoft 管理控制台 (MMC) 中的“安全模板”来修改安全模板以满足您的要求。

Windows Server 2003 中的预定义安全模板

· 默认安全 (Setup security.inf)

Setup security.inf 模板是在安装过程中创建的,它与特定的计算机有关。根据安装是全新安装还是升级安装,不同计算机的 Setup security.inf 模板也各不相同。Setup security.inf 表示在安装操作系统的过程中应用的默认安全设置,包括对系统驱动器的根的文件权限。它可以用于服务器和客户机,但不能应用到域控制器。您可以将此模板的某些部分用于灾难恢复。

不要使用组策略来应用 Setup security.inf。因为这样做会导致性能下降。

注意:在 Microsoft Windows 2000 中,有另外两个安全模板:ocfiless(用于文件服务器)和 ocfilesw(用于工作站)。在 Windows Server 20003 中,这两个文件被 Setup security.inf 文件取代。

· 域控制器默认安全 (DC security.inf):

此模板是在服务器提升为域控制器时创建的。它反映了文件、注册表和系统服务的默认安全设置。如果您重新应用此模板,这些设置将设置为默认值。但是,该模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。

· 兼容 (Compatws.inf)

此模板依照大多数不属于 Windows Logo Program for Software(Windows 软件徽标计划)的程序的要求,更改被授予“Users”组成员的默认文件权限和注册表权限。兼容模板还删除“Power Users”组的所有成员。

有关 Windows Logo Program for Software 的更多信息,请访问下面的 Microsoft 网站:

http://www.microsoft.com/winlogo/default.mspx (http://www.microsoft.com/winlogo/default.mspx)

注意:不要对域控制器应用兼容模板。

· 安全 (Secure*.inf)

安全模板定义最不可能对程序兼容性产生影响的增强安全设置。例如,定义加强的密码、锁定和审核设置。另外,这种模板通过将客户端配置为仅发送 NTLMv2 响应而将服务器配置为拒绝 LAN Manager 响应来限制对 LAN Manager 和 NTLM 身份验证协议的使用。

Windows Server 2003 中有两个预定义的安全模板:用于工作站的 Securews.inf 和用于域控制器的 Securedc.inf。有关使用这些模板和其他安全模板的更多信息,请在帮助和支持中心搜索“预定义的安全模板”。

· 高度安全 (hisec*.inf)

高安全模板还指定了安全模板没有定义的其他限制,例如执行身份验证所需的加密级别和签名以及安全通道上的数据交换和服务器消息块 (SMB) 客户端和服务器之间的数据交换。

· 系统根安全 (Rootsec.inf)

此模板指定根权限。默认情况下,Rootsec.inf 为系统驱动器的根定义这些权限。如果根目录权限被意外更改,您可以使用此模板来重新应用根目录权限;您也可以修改此模板以便将相同的根权限应用到其他卷。按照指定,该模板不覆盖在子对象上定义的显式权限,它只传播子对象继承的权限。

· 无终端服务器用户 SID (Notssid.inf)

在终端服务没有运行时可以应用此模板,以便从文件系统和注册表位置删除 Windows Terminal Server 安全标识符 (SID)。执行此操作后系统安全不一定会提高。

有关 Windows Server 2003 中的所有预定义模板的更多详细信息,请在帮助和支持中心搜索“预定义的安全模板”。

重要说明:在域控制器上实现安全模板可能会更改“默认域控制器策略”或“默认域策略”的设置。应用的模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。应用安全模板后可能需要还原这些策略。在对域控制器执行这些步骤之前,请创建 SYSVOL 共享的备份。

应用安全模板

1. 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。

2. 在“文件”菜单上,单击“添加/删除管理单元”。

3. 单击“添加”。

4. 在“可用的独立管理单元”列表中,依次单击“安全配置和分析”、“添加”、“关闭”,然后单击“确定”。

5. 在左窗格中,单击“安全配置和分析”,在右窗格中查看说明。

6. 右键单击“安全配置和分析”,然后单击“打开数据库”。

7. 在“文件名”框中,键入数据库文件的名称,然后单击“打开”。

8. 单击要使用的安全模板,然后单击“打开”以将模板中包含的条目导入到数据库中。

9. 在左窗格中右键单击“安全配置和分析”,然后单击“立即配置计算机”。

没有评论:

发表评论