本分步文章介绍如何应用预定义的安全模板。
适用于: Windows Server 2003
原始 KB 数: 816585
总结
Microsoft Windows Server 2003 包括多个预定义的安全模板,这些模板可用于提高网络上的安全性级别。 可以在Microsoft管理控制台(MMC)中使用安全模板来修改安全模板以满足你的要求。
Windows Server 2003 中的预定义安全模板
默认安全性(安装程序 security.inf)
安装程序 security.inf 模板是在安装过程中创建的,它特定于每台计算机。 根据安装是干净安装还是升级,它因计算机而异。 安装程序 security.inf 表示在安装操作系统期间应用的默认安全设置,包括系统驱动器根目录的文件权限。 它可以在服务器和客户端计算机上使用;它不能应用于域控制器。 可以将此模板的某些部分应用于灾难恢复目的。
不要使用组策略应用 Setup security.inf。 如果这样做,可能会遇到性能下降的问题。
注意
在 Microsoft Windows 2000 中,存在两个杂项的安全模板:无遮挡(适用于文件服务器)和 ocfilesw(适用于工作站)。 在 Windows Server 2003 中,这些文件已被 Setup security.inf 文件取代。
域控制器默认安全性 (DC security.inf)
将服务器提升到域控制器时,将创建此模板。 它反映文件、注册表和系统服务默认安全设置。 如果重新应用此模板,这些设置将设置为默认值。 但是,模板可能会覆盖其他程序创建的新文件、注册表项和系统服务的权限。
兼容 (Compatws.inf)
此模板以与不属于适用于软件的 Windows 徽标程序的大部分程序的要求一致的方式更改了授予用户组成员的默认文件和注册表权限。 兼容模板还会删除 Power Users 组的所有成员。
有关适用于软件的 Windows 徽标计划的详细信息,请访问以下Microsoft网站: Windows Server 目录
注意
不要将兼容模板应用于域控制器。
Secure (Secure*.inf)
安全模板定义不太可能影响程序兼容性的增强安全设置。 例如,安全模板定义更强的密码、锁定和审核设置。 此外,模板通过将客户端配置为仅发送 NTLMv2 响应以及配置服务器来拒绝 LAN Manager 响应来限制 LAN 管理器和 NTLM 身份验证协议的使用。
Windows Server 2003 中有两个预定义的安全模板:适用于工作站的 Securews.inf 和域控制器的 Securec.inf。 有关使用这些模板和其他安全模板的其他信息,请在帮助和支持中心搜索“预定义的安全模板”。
高度安全 (hisec*.inf)
高度安全模板指定了安全模板未定义的其他限制,例如通过安全通道以及在服务器消息块(SMB)客户端和服务器之间进行身份验证和数据交换所需的加密级别和数据交换。
系统根安全性(Rootsec.inf)
此模板指定根权限。 默认情况下,Rootsec.inf 为系统驱动器的根定义这些权限。 如果根目录权限无意中发生更改,则可以使用此模板重新应用根目录权限,也可以修改模板以将相同的根权限应用于其他卷。 如指定,模板不会覆盖在子对象上定义的显式权限;它仅传播子对象继承的权限。
无终端服务器用户 SID (Notssid.inf)
可以应用此模板,在未运行终端服务时,从文件系统和注册表位置中删除Windows 终端服务器安全标识符(SID)。 执行此操作后,系统安全性不一定得到改进。 有关 Windows Server 2003 中所有预定义模板的更多详细信息,请在“帮助和支持中心”搜索“预定义的安全模板”。
重要
在域控制器上实现安全模板可能会更改默认域控制器策略或默认域策略的设置。 应用模板可能会覆盖其他程序创建的新文件、注册表项和系统服务的权限。 应用安全模板后,可能需要还原这些策略。 在域控制器上执行这些步骤之前,请创建 SYSVOL 共享的备份。
应用安全模板
- 单击“开始”,单击“运行”,键入 mmc,然后单击“确定”。
- 在“文件” 菜单上,单击“添加/删除管理单元” 。
- 单击“添加” 。
- 在“可用独立管理单元”列表中,单击“安全配置和分析”,单击“添加”,单击“关闭”,然后单击“确定”。
- 在左窗格中,单击“安全配置和分析”,并在右窗格中查看说明。
- 右键单击 “安全配置和分析”,然后单击“ 打开数据库”。
- 在 “文件名 ”框中,键入数据库文件的名称,然后单击“ 打开”。
- 单击要使用的安全模板,然后单击“打开”将模板中包含的条目导入数据库。
- 在左窗格中右键单击 “安全配置和分析 ”,然后单击“ 立即配置计算机”。