Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie vordefinierte Sicherheitsvorlagen angewendet werden.
Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 816585
Zusammenfassung
Microsoft Windows Server 2003 enthält mehrere vordefinierte Sicherheitsvorlagen, die Sie anwenden können, um die Sicherheitsstufe in Ihrem Netzwerk zu erhöhen. Sie können Sicherheitsvorlagen entsprechend Ihren Anforderungen ändern, indem Sie Sicherheitsvorlagen in der Microsoft Management Console (MMC) verwenden.
Vordefinierte Sicherheitsvorlagen in Windows Server 2003
Standardsicherheit (Setup security.inf)
Die Setup security.inf-Vorlage wird während der Installation erstellt und ist für jeden Computer spezifisch. Sie variiert von Computer zu Computer, je nachdem, ob die Installation eine Neuinstallation oder ein Upgrade war. Setup security.inf stellt die Standardsicherheitseinstellungen dar, die während der Installation des Betriebssystems angewendet werden, einschließlich der Dateiberechtigungen für den Stamm des Systemlaufwerks. Sie kann auf Servern und Clientcomputern verwendet werden; sie kann nicht auf Domänencontroller angewendet werden. Sie können Teile dieser Vorlage für Notfallwiederherstellungszwecke anwenden.
Wenden Sie setup security.inf nicht mithilfe von Gruppenrichtlinien an. Wenn Sie dies tun, können Sie die Leistung verringert haben.
Notiz
In Microsoft Windows 2000 sind zwei verschiedene Sicherheitsvorlagen vorhanden, ocfiless (für Dateiserver) und Ocfilesw (für Arbeitsstationen). In Windows Server 2003 wurden diese Dateien durch die Datei "Setup security.inf" ersetzt.
Standardsicherheit des Domänencontrollers (DC security.inf)
Diese Vorlage wird erstellt, wenn ein Server auf einen Domänencontroller heraufgestuft wird. Sie spiegelt die Standardsicherheitseinstellungen für Datei, Registrierung und Systemdienst wider. Wenn Sie diese Vorlage erneut anwenden, werden diese Einstellungen auf die Standardwerte festgelegt. Die Vorlage kann jedoch Berechtigungen für neue Dateien, Registrierungsschlüssel und Systemdienste überschreiben, die von anderen Programmen erstellt wurden.
Kompatibel (Compatws.inf)
Diese Vorlage ändert die Standarddatei- und Registrierungsberechtigungen, die den Mitgliedern der Gruppe "Benutzer" auf eine Weise gewährt werden, die den Anforderungen der meisten Programme entspricht, die nicht zum Windows-Logo-Programm für Software gehören. Die Vorlage "Kompatibel" entfernt auch alle Mitglieder der Gruppe "Power Users".
Weitere Informationen zum Windows-Logo-Programm für Software finden Sie auf der folgenden Microsoft-Website: Windows Server-Katalog
Notiz
Wenden Sie die kompatible Vorlage nicht auf Domänencontroller an.
Secure (Secure*.inf)
Die sicheren Vorlagen definieren erweiterte Sicherheitseinstellungen, die sich am wenigsten auf die Programmkompatibilität auswirken. Beispielsweise definieren die sicheren Vorlagen stärkere Kennwort-, Sperr- und Überwachungseinstellungen. Darüber hinaus beschränken die Vorlagen die Verwendung von LAN-Manager- und NTLM-Authentifizierungsprotokollen, indem Clients so konfiguriert werden, dass nur NTLMv2-Antworten gesendet werden, und indem Server so konfiguriert werden, dass LAN-Manager-Antworten abgelehnt werden.
Es gibt zwei vordefinierte Sichere Vorlagen in Windows Server 2003: Securews.inf für Arbeitsstationen und Securedc.inf für Domänencontroller. Weitere Informationen zur Verwendung dieser Vorlagen und anderer Sicherheitsvorlagen finden Sie im Hilfe- und Supportcenter nach "vordefinierten Sicherheitsvorlagen".
Hochsicher (hisec*.inf)
Die Hochsicheren Vorlagen geben zusätzliche Einschränkungen an, die nicht durch die sicheren Vorlagen definiert werden, z. B. Verschlüsselungsstufen und signieren, die für die Authentifizierung und den Datenaustausch über sichere Kanäle und zwischen SMB-Clients (Server Message Block) und Servern erforderlich sind.
Systemstammsicherheit (Rootsec.inf)
Diese Vorlage gibt die Stammberechtigungen an. Standardmäßig definiert Rootec.inf diese Berechtigungen für den Stamm des Systemlaufwerks. Sie können diese Vorlage verwenden, um die Stammverzeichnisberechtigungen erneut anzuwenden, wenn sie versehentlich geändert werden, oder Sie können die Vorlage ändern, um dieselben Stammberechtigungen auf andere Volumes anzuwenden. Wie angegeben, überschreibt die Vorlage keine expliziten Berechtigungen, die für untergeordnete Objekte definiert sind; sie verteilt nur die Berechtigungen, die von untergeordneten Objekten geerbt werden.
Keine Terminalserver-Benutzer-SID (Notssid.inf)
Sie können diese Vorlage anwenden, um Windows-Terminal Serversicherheits-IDs (SIDs) aus dem Dateisystem und Registrierungsspeicherorten zu entfernen, wenn Terminaldienste nicht ausgeführt werden. Danach verbessert sich die Systemsicherheit nicht unbedingt. Ausführlichere Informationen zu allen vordefinierten Vorlagen in Windows Server 2003 finden Sie im Hilfe- und Supportcenter nach "vordefinierten Sicherheitsvorlagen".
Wichtig
Das Implementieren einer Sicherheitsvorlage auf einem Domänencontroller kann die Einstellungen der Standarddomänenrichtlinie oder der Standarddomänenrichtlinie ändern. Die angewendete Vorlage kann Berechtigungen für neue Dateien, Registrierungsschlüssel und Systemdienste, die von anderen Programmen erstellt wurden, überschreiben. Das Wiederherstellen dieser Richtlinien ist möglicherweise erforderlich, nachdem Sie eine Sicherheitsvorlage angewendet haben. Bevor Sie diese Schritte auf einem Domänencontroller ausführen, erstellen Sie eine Sicherung der SYSVOL-Freigabe.
Anwenden einer Sicherheitsvorlage
- Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "mmc" ein, und klicken Sie dann auf "OK".
- Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
- Klicken Sie auf Hinzufügen.
- Klicken Sie in der Liste "Verfügbare Eigenständige Snap-Ins" auf "Sicherheitskonfiguration und -analyse", klicken Sie auf "Hinzufügen", klicken Sie auf "Schließen", und klicken Sie dann auf "OK".
- Klicken Sie im linken Bereich auf "Sicherheitskonfiguration und -analyse ", und zeigen Sie die Anweisungen im rechten Bereich an.
- Klicken Sie mit der rechten Maustaste auf "Sicherheitskonfiguration und -analyse", und klicken Sie dann auf " Datenbank öffnen".
- Geben Sie im Feld "Dateiname " den Namen der Datenbankdatei ein, und klicken Sie dann auf " Öffnen".
- Klicken Sie auf die Sicherheitsvorlage, die Sie verwenden möchten, und klicken Sie dann auf "Öffnen ", um die Einträge zu importieren, die in der Vorlage enthalten sind, in die Datenbank.
- Klicken Sie im linken Bereich mit der rechten Maustaste auf "Sicherheitskonfiguration und -analyse ", und klicken Sie dann auf " Computer jetzt konfigurieren".