Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo dettagliato descrive come applicare modelli di sicurezza predefiniti.
Si applica a: Windows Server 2003
Numero KB originale: 816585
Riepilogo
Microsoft Windows Server 2003 include diversi modelli di sicurezza predefiniti che è possibile applicare per aumentare il livello di sicurezza nella rete. È possibile modificare i modelli di sicurezza in base ai requisiti usando i modelli di sicurezza in Microsoft Management Console (MMC).
Modelli di sicurezza predefiniti in Windows Server 2003
Sicurezza predefinita (configurazione security.inf)
Il modello setup security.inf viene creato durante l'installazione ed è specifico per ogni computer. Varia da computer a computer, a seconda che l'installazione sia stata un'installazione pulita o un aggiornamento. Setup security.inf rappresenta le impostazioni di sicurezza predefinite applicate durante l'installazione del sistema operativo, incluse le autorizzazioni di file per la radice dell'unità di sistema. Può essere usato nei server e nei computer client; non può essere applicato ai controller di dominio. È possibile applicare parti di questo modello a scopo di ripristino di emergenza.
Non applicare l'installazione di security.inf tramite Criteri di gruppo. In questo caso, è possibile che si verifichi una riduzione delle prestazioni.
Note
In Microsoft Windows 2000 esistono due modelli di sicurezza vari, ocfiless (per file server) e ocfilesw (per workstation). In Windows Server 2003 questi file sono stati sostituiti dal file security.inf del programma di installazione.
Sicurezza predefinita del controller di dominio (DC security.inf)
Questo modello viene creato quando un server viene alzato di livello a un controller di dominio. Riflette le impostazioni di sicurezza predefinite del file, del Registro di sistema e del servizio di sistema. Se si riapplica questo modello, queste impostazioni vengono impostate sui valori predefiniti. Tuttavia, il modello può sovrascrivere le autorizzazioni per nuovi file, chiavi del Registro di sistema e servizi di sistema creati da altri programmi.
Compatibile (Compatws.inf)
Questo modello modifica le autorizzazioni predefinite per il file e il Registro di sistema concesse ai membri del gruppo Users in modo coerente con i requisiti della maggior parte dei programmi che non appartengono al programma logo di Windows per il software. Il modello Compatibile rimuove anche tutti i membri del gruppo Power Users.
Per ulteriori informazioni sul programma logo Windows per software, visitare il seguente sito Web Microsoft: Catalogo di Windows Server
Note
Non applicare il modello Compatibile ai controller di dominio.
Secure (Secure*.inf)
I modelli sicuri definiscono le impostazioni di sicurezza avanzate che hanno meno probabilità di influire sulla compatibilità dei programmi. Ad esempio, i modelli sicuri definiscono password, blocco e impostazioni di controllo più avanzate. Inoltre, i modelli limitano l'uso dei protocolli di autenticazione LAN Manager e NTLM configurando i client per inviare solo risposte NTLMv2 e configurando i server per rifiutare le risposte di LAN Manager.
Esistono due modelli sicuri predefiniti in Windows Server 2003: Securews.inf per workstation e Securedc.inf per i controller di dominio. Per altre informazioni sull'uso di questi modelli e altri modelli di sicurezza, cercare "modelli di sicurezza predefiniti" nella Guida e nel Supporto tecnico.
Alta sicurezza (hisec*.inf)
I modelli Altamente sicuri specificano restrizioni aggiuntive non definite dai modelli sicuri, ad esempio i livelli di crittografia e la firma necessari per l'autenticazione e lo scambio di dati su canali sicuri e tra client e server SMB (Server Message Block).
Sicurezza radice del sistema (Rootsec.inf)
Questo modello specifica le autorizzazioni radice. Per impostazione predefinita, Rootsec.inf definisce queste autorizzazioni per la radice dell'unità di sistema. È possibile usare questo modello per riapplicare le autorizzazioni della directory radice se vengono modificate inavvertitamente oppure è possibile modificare il modello per applicare le stesse autorizzazioni radice ad altri volumi. Come specificato, il modello non sovrascrive autorizzazioni esplicite definite per gli oggetti figlio; propaga solo le autorizzazioni ereditate dagli oggetti figlio.
NESSUN SID utente di Terminal Server (Notssid.inf)
È possibile applicare questo modello per rimuovere Terminale Windows SID (Server Security Identifiers) dal file system e dai percorsi del Registro di sistema quando Servizi terminal non è in esecuzione. A questo scopo, la sicurezza del sistema non migliora necessariamente. Per informazioni più dettagliate su tutti i modelli predefiniti in Windows Server 2003, cercare guida e supporto tecnico per "modelli di sicurezza predefiniti".
Importante
L'implementazione di un modello di sicurezza in un controller di dominio può modificare le impostazioni dei criteri del controller di dominio predefinito o dei criteri di dominio predefiniti. Il modello applicato può sovrascrivere le autorizzazioni per i nuovi file, le chiavi del Registro di sistema e i servizi di sistema creati da altri programmi. Il ripristino di questi criteri potrebbe essere necessario dopo l'applicazione di un modello di sicurezza. Prima di seguire questa procedura in un controller di dominio, creare un backup della condivisione SYSVOL.
Applicare un modello di sicurezza
- Fare clic su Start, fare clic su Esegui, digitare mmc e quindi fare clic su OK.
- Scegliere Aggiungi/Rimuovi snap-in dal menu File.
- Fare clic su Aggiungi.
- Nell'elenco Snap-in autonomi disponibili fare clic su Configurazione e analisi della sicurezza, fare clic su Aggiungi, fare clic su Chiudi e quindi su OK.
- Nel riquadro sinistro fare clic su Configurazione e analisi della sicurezza e visualizzare le istruzioni nel riquadro destro.
- Fare clic con il pulsante destro del mouse su Configurazione e analisi della sicurezza, quindi scegliere Apri database.
- Nella casella Nome file digitare il nome del file di database e quindi fare clic su Apri.
- Fare clic sul modello di sicurezza da usare e quindi su Apri per importare le voci contenute nel modello nel database.
- Fare clic con il pulsante destro del mouse su Configurazione e analisi della sicurezza nel riquadro sinistro e quindi scegliere Configura computer ora.