Готовые шаблоны безопасности
Предустановленные шаблоны безопасности
Предустановленные в Windows 2000 шаблоны безопасности могут быть применены только к компьютерам, работающим под управлением Windows 2000, чистая установка которой была произведена на раздел NTFS. Если компьютеры были обновлены с системы Windows NT 4.0 или более ранней, настройки безопасности изменены не будут (обновление с операционных систем Win9x рассматривается, как чистая установка). Настройки безопасности не будут применены, если Windows 2000 была установлена на файловую систему FAT.
Ниже приведены основные шаблоны безопасности, предназначенные для усиления безопасности систем, обновленных с более ранних версий на разделах NTFS до уровня чистой установки на NTFS раздел:
- Basicwk.inf для компьютеров работающих под управлением Windows 2000 Professional.
- Basicsv.inf для компьютеров работающих под управлением Windows 2000 Server.
- Basicdc.inf для контроллеров домена работающих под управлением Windows 2000 Server.
Эти шаблоны безопасности по умолчанию устанавливают настройки безопасности Windows 2000 для всех областей безопасности, за исключением прав пользователей и членства в группах.
Инкрементальные шаблоны безопасности
Windows 2000 поставляется вместе с нижеприведенными инкрементальными шаблонами безопасности. Эти шаблоны безопасности построены с учетом предположения, что они будут применены к компьютерам работающих под управлением Windows 2000, настроенных при помощи новых параметров безопасности Windows 2000. (Обратитесь к официальной документации, описывающей параметры безопасности Windows 2000, заданные по умолчанию, по ссылке http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/secdefs.mspx). Другими словами эти шаблоны изменяют настройки безопасности по умолчанию, постепенно повышая уровень безопасности системы. Они не включают в себя настройки по умолчанию с изменениями.
Эти шаблоны применимы к компьютерам, на которые была произведена чистая установка Windows 2000 на раздел NTFS. Для компьютеров, которые были обновлены до Windows 2000 с Windows NT 4.0 или более ранних версий на раздел NTFS, сначала примените соответствующие базовые шаблоны (как описано выше) и только после этого инкрементальные шаблоны безопасности. Безопасность операционных систем Windows 2000, установленных на раздел FAT, обеспечить невозможно.
- Compatws.inf предназначен для рабочих станций или серверов. Если Ваши пользователи не входят в группу Опытные пользователи (Power Users), конфигурация совместимости позволит группе Пользователи (Users) работать с необходимыми для функционирования старых приложений привилегиями Опытные пользователи (Power Users). Office 97 будет успешно работать, когда Вы войдете в систему Windows 2000, к которой был применен совместимый шаблон безопасности поверх настроек по умолчанию. Примите к сведению, что это не лучшая практика с точки зрения безопасности.
- Securews.inf, предназначенный для рабочих станций или серверов, и Securedc.inf для контроллеров домена, обеспечивают конфигурацию повышенной безопасности для областей операционной системы, которые невозможно настроить при помощи разрешений. Это включает в себя расширенные параметры безопасности для Политик учетных записей (Account Policy), Аудита (Auditing) и некоторых хорошо известных ключей реестра, относящихся к параметрам безопасности. При этом настраиваемые параметры не изменяют списков ACL исходя из предположения, что у Вас действуют заданные по умолчанию параметры безопасности Windows 2000.
- Hisecws.inf для рабочих станций и серверов и Hisecdc.inf для контроллеров домена обеспечивают в высшей степени безопасную конфигурацию и предназначены для компьютеров, работающих под управлением Windows 2000, функционирующих в чистом сетевом окружении Windows 2000. В данной конфигурации вся передаваемая по сети информация должна иметь цифровую подпись и быть зашифрована на уровне, который может обеспечить только Windows 2000. В связи с этим, сетевое взаимодействие между компьютером Windows 2000 с наивысшими настройками безопасности и более ранними версиями Windows осуществить невозможно.
Уровни безопасности
Нижеприведенная таблица описывает сравнительные уровни безопасности, основанные на примененных к операционной системе шаблонов (в ней нет информации по безопасности приложений, установленных в операционной системе), а также тип пользователя, получающего доступ к системе:
| Примененные шаблоны | Пользовательский уровень |
|---|---|
| Default | Опытный пользователь |
| Default + Compatible | Пользователь |
| Default | Пользователь |
| Default + Secure | Пользователь |
| Default + Secure + High Secure | Пользователь |
Соответственно, осуществлять вход в систему, где была осуществлена чистая установка Windows 2000 на раздел NTFS, как Опытный пользователь (Power User), менее безопасно, чем войти в точно такую же систему с правами Пользователь (User).
Автор: Станислав Павелко aka Yampo
Материалы взяты с сайта OSzone.net.