Готовые шаблоны безопасности представляют собой отправную точку в создании политик безопасности, которые настраиваются, чтобы удовлетворять организационным требованиям. Шаблоны можно настраивать при помощи оснастки Шаблоны безопасности. После настройки готовых шаблонов безопасности их можно использовать для изменения параметров безопасности одного или нескольких компьютеров. Изменить конфигурацию компьютеров можно при помощи оснастки Анализ и настройка безопасности, средства Secedit.exe, работающего из командной строки, а также при помощи импорта шаблона в оснастку Локальная политика безопасности. Можно выполнить настройку для нескольких компьютеров, импортировав шаблон в расширение групповой политики под названием Расширение «Параметры безопасности» для групповой политики. На основе шаблонов безопасности можно также выполнять анализ возможных слабых мест безопасности и нарушений политики системы при помощи оснасток «Анализ и настройка безопасности». По умолчанию готовые шаблоны безопасности сохранены в расположении:

системный_корневой_каталог\безопасность\шаблоны

• Безопасность по умолчанию (Setup security.inf)
  Шаблон Setup security.inf создается во время установки для каждого компьютера. Шаблон может различаться на разных компьютерах, в зависимости от того, производилась ли новая установка или обновление. Шаблон Setup security.inf содержит параметры безопасности, используемые по умолчанию, которые применяются во время установки операционной системы, включая разрешения для файлов корневого каталога системного диска. Он может быть использован на компьютерах-серверах и компьютерах-клиентах, но не на контроллерах домена. Части этого шаблона могут быть использованы для восстановления системы после сбоя.
  Шаблон Setup security.inf нельзя применять при помощи оснастки «Групповая политика». Данный шаблон имеет большой объем, при его применении с помощью оснастки «Групповая политика» возможно серьезное снижение производительности в связи с периодическим обновлением политики и перемещением значительного объема данных в домене.
  Шаблон рекомендуется применять по частям. Рекомендуется использование средства командной строки Secedit, дающего такую возможность.
  Дополнительные сведения см. в Автоматизация задач настройки системы безопасности.
  
• Безопасность по умолчанию для контроллеров домена (DC security.inf)
  Данный шаблон создается при назначении сервера контроллером домена. Он отражает настройки безопасности, используемые по умолчанию для файлов, реестра и системных служб. Применение этого шаблона приводит к установке значений по умолчанию в данных областях, но может перезаписать разрешения для новых файлов, ключей реестра и системных служб, созданных другими приложениями. Шаблон может быть применен с помощью оснастки «Анализ и настройка безопасности» или средства командной строки Secedit.
  
• Совместимый (Compatws.inf)
  Разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими. По этой причине можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:
  
  • убедиться, что конечные пользователи являются членами группы «Пользователи»;
    
  • внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
    
  Лица, обладающие правами группы «Пользователи», могут работать с приложениями, принимающими участие в программе размещения эмблемы Windows для программного обеспечения. Однако члены группы «Пользователи» могут испытывать проблемы при запуске приложений, не отвечающих требованиям программы. Если необходимо обеспечить поддержку таких приложений, существуют две возможности.
  
  • Все члены группы «Пользователи» должны также являться членами группы «Опытные пользователи».
    
  • Использовать дополнительные разрешения разрешения по умолчанию, созданные для группы «Пользователи».
    
  Поскольку члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон. При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи» и соответствующие требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Кроме того, поскольку после применения совместимого шаблона пользователи не должны присоединяться к группе «Опытные пользователи», все члены группы «Опытные пользователи» удаляются. Дополнительные сведения см. в разделе Параметры безопасности для групп по умолчанию.
  Дополнительные сведения о программе размещения эмблемы Windows для программного обеспечения см. на  веб-узле корпорации Майкрософт
  Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в стандартный домен или в объект групповой политики стандартного контролера домена.
  
• Защита (Secure*.inf)
  В шаблоне «Защита» определяются параметры повышенной безопасности. Наименее вероятно, что они оказывают влияние на совместимость. Например, в шаблоне «Защита» определяются параметры надежных паролей, блокировки и аудита.
  Помимо этого, шаблоном «Защита» ограничивается использование LAN Manager и протоколов проверки подлинности NTLM путем настройки клиентов на отправку ответов в формате NTLMv2, а также настройки серверов на откз от ответов в этом формате.
  
  • Чтобы применить шаблон Securews.inf на компьютере, все контроллеры домена, содержащего учетные записи всех пользователей, входящих в систему клиента, должны работать под управлением Windows NT 4.0 с пакетом обновления 4 или более поздней версии.
    
  • Чтобы применить шаблон Securews.inf на рядовом компьютере, присоединенном к домену, контроллеры которого работают под управлением Windows NT, часы контроллеров домена под управлением Windows NT 4.0 и присоединяемого компьютера должны быть установлены с разностью не более чем 30 минут.
    
  • Если клиент настроен с помощью шаблона Securews.inf, подключение к серверу, использующему только протокол проверки подлинности LAN Manager или работающему под управлением Windows NT 4.0 с пакетом обновлений версий, предшествующих пакету обновлений 4, невозможно при использовании локальной учетной записи, определенной на сервере, к которому производится подключение.
    
  • Если клиент настроен с помощью шаблона Securews.inf, подключение к серверу, работающему под управлением Windows 2000 или Windows NT 4.0, с помощью локальной учетной записи, определенной на сервере, к которому производится подключение, невозможно, если часы сервера и клиента установлены с разностью более 30 минут.
    
  • Если клиент настроен с помощью шаблона Securews.inf, подключение к серверу, работающему под управлением Windows XP; или более поздней операционной системы, с помощью локальной учетной записи, определенной на сервере, к которому производится подключение, невозможно, если часы сервера и клиента установлены с разностью более 20 часов.
    
  • Если клиент настроен с помощью шаблона Securews.inf, подключение к серверу, использующему LAN Manager в режиме управления доступом на уровне ресурсов, невозможно.
    
  • Если сервер настроен с использованием шаблона Securews.inf, клиент с учетной записью на этом сервере не сможет подключиться к нему с компьютера-клиента, на котором установлена операционная система LAN Manager, используя локальную учетную запись.
    
  • Если сервер под управлением Windows 2000 настроен с использованием шаблона Securews.inf, то клиент с локальной учетной записью на этом сервере, настроенный для использования проверки подлинности по протоколу NTLMv2, не сможет подключиться к серверу, если часы на этих компьютерах будут установлены с разностью более чем 30 минут.
    
  • Если сервер под управлением Windows XP; настроен с использованием шаблона Securews.inf, то клиент с локальной учетной записью на этом сервере, настроенный для использования проверки подлинности по протоколу NTLMv2, не сможет подключиться к серверу, если часы на этих компьютерах будут установлены с разностью более чем 20 часов.
    
  • Если контроллер домена настроен с использованием шаблона Securedc.inf, пользователь с учетной записью в этом домене не сможет подключиться к нему с компьютера-клиента, на котором установлена операционная система LAN Manager, используя учетную запись домена.
    
  • Под управлением LAN Manager работают платформы Windows for Workgroups, Windows 95 и Windows 98, на которых не установлен пакет расширений клиента Active Directory. Если пакет расширений клиента Active Directory установлен на компьютер под управлением Windows 95 или Windows 98, эта система сможет использовать протокол NTLMv2. Операционная система Windows Millennium Edition поддерживает протокол NTLMv2 без дополнительных изменений.
    
  • Компьютеры под управлением Windows NT 4.0 с пакетом обновлений 4 или более поздним могут быть настроены на отправку ответов только по протоколу NTLMv2 путем присвоения параметру реестра HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel значения 3 или больше.
    
  • Компьютеры под управлением Windows NT 4.0 с пакетом обновлений 4 или более поздним могут быть настроены на отправку ответов только по протоколу NTLMv2 путем задания этого режима параметром Сетевая безопасность: уровень проверки подлинности LAN Manager.
    
  Шаблоны безопасности также определяют дополнительные ограничения для анонимных пользователей. Анонимные пользователи (такие как пользователи доменов, с которыми не установлены доверительные отношения) не могут выполнять следующие действия.
  
  • Ввод имен учетных записей и общих ресурсов.
    
  • Выполнение перевода SID-имя или имя-SID.
    
  Шаблоны безопасности включают подпись пакетов SMB на сервере, которая по умолчанию отключена для серверов. Поскольку подпись пакетов SMB на стороне клиента включена по умолчанию, она выполняется, если рабочие станции и серверы работают на безопасном уровне.
  
• Повышенная защита (hisec*.inf)
  Группа шаблонов повышенной защиты включает в себя шаблоны, налагающие дополнительные ограничения на уровни кодировки и подписи, необходимые для проверки подлинности и для данных, передаваемых по безопасным каналам между клиентами SMB и серверами. Например, тогда как парметры шаблонов безопасности определяют отказ серверов от ответов LAN Manager, парметры шаблонов повышенной защиты определяют отказ серверов как от ответов LAN Manager, так и от ответов NTLM. Шаблон защиты включает подписание пакетов SMB на сервере, а для шаблона повышенной защиты такое подписание является необходимым. Для шаблонов повышенной защиты необходима надежная кодировка и подпись для данных, передаваемых по безопасному каналу между доменом и членом домена, а также между двумя доменами, имеющими доверительные отношения. Чтобы применить шаблон Hisecws.inf на рядовом компьютере, выполните следующие действия.
  
  • На всех контроллерах домена, содержащего учетные записи всех пользователей, входящих в систему клиента, необходимо установить Windows NT 4.0 с пакетом обновлений 4 или более поздней версии.
    
  • На всех контроллерах домена, членом которого является клиент, должна быть установлена операционная система Windows 2000 или более поздняя.
    
  • Клиенты, настроенные с помощью шаблона Hisecws.inf, не могут подключится к компьютеру, работающему с LAN Manager или компьютеру под управлением Windows NT 4.0 с пакетом обновлений 3 или более ранней версии, с использованием локальной учетной записи, определенной на сервере, к которому производится подключение.
    
  • Если клиент настроен с помощью шаблона Hisecws.inf, подключение к серверу, работающему под управлением Windows 2000 или Windows NT 4.0 с пакетом обновлений Service Pack 4, с помощью локальной учетной записи, определенной на сервере, к которому производится подключение, невозможно, если часы сервера и клиента установлены с разностью более 30 минут.
    
  • Если клиент настроен с помощью шаблона Hisecws.inf, подключение к компьютеру, работающему под управлением Windows XP; или более поздней операционной системы, с помощью локальной учетной записи, определенной на компьютере, к которому производится подключение, невозможно, если часы этих компьютеров установлены с разностью более 20 часов.
    
  • Если клиент настроен с помощью шаблона Hisecws.inf, подключение к серверу, использующему LAN Manager в режиме управления доступом на уровне ресурсов, невозможно.
    
  • Чтобы применить шаблон Hisecdc.inf на контроллере домена, на всех контроллерах доменов, с которыми установлены отношения доверия, должна быть установлена операционная система Windows 2000 или операционная система семейства Windows Server 2003.
    
  • Если сервер настроен с помощью шаблона Hisecws.inf, пользователь с локальной учетной записью на этом сервере не сможет подключиться к нему с клиента, не поддерживающего протокол NTLMv2.
    
  • Если сервер настроен с помощью шаблона Hisecws.inf, пользователь с локальной учетной записью на этом сервере не сможет подключиться к нему с клиента, не настроенного на отправку NTLMv2-ответов.
    
  • Если сервер настроен при помощи шаблона Hisecws.inf, на всех клиентах, использующих протокол SMB для подключения к этому серверу, должны включить подпись пакетов SMB на стороне клиента. На всех компьютерах под управлением операционных систем Windows 2000 и Windows XP; подпись пакетов SMB на стороне клиента включена по умолчанию.
    
  • Если контроллер домена настроен с использованием шаблона Hisecdc.inf, пользователь с учетной записью в этом домене не сможет подключиться к нему с компьютера-клиента, на котором установлен протокол проверки подлинности LAN Manager, используя учетную запись домена.
    
  • Если контроллер домена настроен с помощью шаблона Hisecws.inf, пользователь с локальной учетной записью в домене сможет подключиться к серверу с клиента, используя учетную запись, только при выполнении двух условий.
    

Клиент и сервер, к которому производится подключение, работают по управлением Windows 2000 или более поздней операционной системы и могут проводить проверку подлинности по протоколу Kerberos.

Клиент настроен для отправки NTLMv2-ответов.

Внимание!

• Эти шаблоны предназначены для компьютеров, на которых используются параметры безопасности по умолчанию. Другими словами, будучи установленными на компьютере, эти шаблоны значительно изменяют стандартные параметры безопасности. Но они не устанавливают стандартные параметры безопасности, прежде чем изменить их.
  
• Готовые шаблоны безопасности не должны применяться на производстве без предварительной проверки, в ходе которой должно подтверждаться соответствие архитектуре сети и системы заданного уровня функциональности приложения.
  

Параметры шаблонов безопасности можно просмотреть при помощи компонента «Шаблоны безопасности». Файлы *.inf можно просматривать как текстовые файлы. Эти файлы расположены в папке:

%windir%\Security\Templates

Невозможно обеспечить безопасность систем под управлением Windows XP Professional., установленных на диски с файловой системой FAT.

Дополнительные сведения см. в разделах Настройка готового шаблона безопасности, Импорт шаблона безопасности в объект групповой политики, Настройка безопасности локального компьютера и Восстановление параметров безопасности по умолчанию.