Созданные при помощи оснастки Шаблоны безопасности текстовые файлы хранятся на жестком диске и при необходимости могут быть импортированы в базу данных безопасности. В этом случае все хранимые настройки безопасности начнут действовать.
С помощью оснастки Шаблоны безопасности можно конфигурировать:
- Политики безопасности учетных записей (Account Security). Здесь вы сможете настроить такие параметры безопасности, как политика паролей, политика блокировки паролей и т. д.
- Локальные политики (Local Policies). Здесь можно настроить параметры безопасности, касающиеся политики аудита, прав пользователей и индивидуальных параметров безопасности конкретной машины Windows 2000. Большинство этих параметров безопасности соответствуют значениям переменных реестра.
- Журнал событий (Event Log). Здесь настраиваются параметры, определяющие работу журналов системы, безопасности, приложений и службы каталогов (Directory Service).
- Группы с ограниченным доступом (Restricted Groups). Параметры, определяющие членство в группах, включая поддержку встроенных групп контроллеров домена.
- Системные службы (System Services). Здесь можно настроить параметры безопасности, касающиеся режима загрузки и управления доступом для всех системных служб, а также параметры, определяющие безопасность редиректора и сервера.
- Реестр (Registry). Можно управлять доступом к разделам реестра системы.
- Файловая система (File System). Можно настроить параметры управления доступом к файлам и папкам локальных томов файловой системы и деревьев каталога.
Значения параметров всех перечисленных выше областей обеспечения безопасности заносятся в текстовые файлы с расширением inf, называемые шаблонами безопасности. С их помощью можно конфигурировать систему. Кроме того, при анализе безопасности системы шаблоны могут быть использованы в качестве рекомендованной конфигурации.
Информация о конфигурации безопасности расположена в нескольких разделах. Вся информация шаблонов обрабатывается ядром оснастки Шаблоны безопасности. Шаблоны обладают гибкой архитектурой, позволяющей в случае необходимости создавать новые разделы для конфигурации и анализа информации безопасности.
Оснастка Шаблоны безопасности располагает набором созданных заранее шаблонов безопасности. По умолчанию они хранятся в папке %SystemRoot% SecurityTemplates. Они могут быть модифицированы с помощью этой оснастки и импортированы в расширение Параметры безопасности (Security Settings) оснастки Групповая политика.
Шаблоны безопасности отличаются друг от друга совокупностью хранящихся в них настроек. С помощью разных шаблонов можно устанавливать различные по степени защищенности конфигурации безопасности компьютера Windows 2000. Применять шаблоны безопасности, можно только в случае, если система была уже настроена с помощью параметров безопасности, установленных по умолчанию. Новые шаблоны безопасности не изменяют все старые настройки параметров системы безопасности, они лишь дополняют их, увеличивая (инкрементируя) степень защищенности компьютера. Поэтому их называют инкрементирующими шаблонами безопасности. Вы можете использовать их без изменения содержимого или в качестве основы для создания своих собственных шаблонов. Инкрементирующие шаблоны безопасности можно применять в системах Windows 2000, установленных на разделе NTFS. Если компьютер Windows 2000 был установлен путем обновления его из компьютера Windows NT 4.0, на нем необходимо предварительно установить базовый шаблон безопасности, который содержит значения параметров, безопасности, установленные по умолчанию. Если операционная система установлена в разделе FAT, такой компьютер не может быть защищен.
Оснастка Шаблоны безопасности предоставляет средства изменения информации, содержащейся в шаблонах. Поскольку усиленная безопасность часто отрицательно сказывается на производительности системы, настройки безопасности, определенные в заранее созданных шаблонах, не должны применяться в рабочем режиме без тщательного предварительного анализа последствий установки той или другой конфигурации безопасности.
Заранее определенные компанией Microsoft конфигурации безопасности делятся на следующие типы:
- Базовая (Basic). Это набор настроек безопасности, генерируемых по умолчанию на рабочих станциях, серверах и контроллерах доменов при первоначальной установке Windows 2000. Базовая конфигурация в основном служит для того, чтобы прекращать действие более жестких типов конфигураций безопасности. Операционная система Windows 2000 содержит три базовых шаблона безопасности:
- basicwk.inf — для рабочих станций
- basicsv.inf — для серверов
- basicdc.inf — для контроллеров доменов
- Совместимая (Compatible). Эти настройки безопасности генерируются в системах, где не требуются жесткие меры безопасности, и где работают устаревшие программные продукты. В выборе между обеспечением выполнения всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону приложения. Помимо некоторого улучшения установок безопасности, совместимые конфигурации содержат в себе специальные настройки, предназначенные для защиты пакета Microsoft Office. В случае, если в системе используется этот продукт, совместимая конфигурация должна быть включена после установки пакета Office. Однако следует помнить, что конфигурация безопасности, создаваемая этим шаблоном, не считается защищенной. Файл совместимого шаблона безопасности называется compatws.inf.
- Защищенная (Secure). Обеспечивает более надежную безопасность по сравнению с совместимой конфигурацией. В выборе между обеспечением выполнения` всех функций приложения и обеспечением безопасности данная конфигурация принимает сторону безопасности. Она содержит жесткие настройки безопасности для политики учетных записей, аудита и некоторых широко используемых разделов реестра. Защищенную конфигурацию рекомендуется ставить на компьютеры, где не задействованы все возможности Microsoft Office, или если данный компьютер предназначен для решения узкого круга задач. Шаблоны защищенной безопас ности находятся в файлах securews.inf и securedc.inf.
- Сильно защищенная (High Security). Эта конфигурация позволяет получить идеально защищенную систему Windows 2000, не учитывающую функциональность приложений. Подобная конфигурация при обмене информацией предполагает обязательное использование электронной подписи и шифрования, которое обеспечивается только средствами Windows 2000. Поэтому компьютеры, на которых установлена сильно защищенная конфигурация безопасности, не могут обмениваться данными с другими операционными системами Windows. Сильно защищенную конфигурацию можно применять в системах, где работают приложения, предназначенные для функционирования в среде с усиленной системой безопасности. Шаблоны защищенной безопасности находятся в файлах hisecws.inf и hisecdc.inf.
Приложения, которые успешно работают на определенном уровне безопасности, обеспеченной заранее созданными шаблонами, также успешно функционируют на более низких уровнях безопасности.
Архитектура оснастки Шаблоны безопасности предполагает возможность расширения этого программного инструмента. Вы можете добавить расширения в качестве новых направлений обеспечения безопасности или в качестве новых атрибутов внутри существующих направлений. Поскольку информация конфигурации хранится в стандартных текстовых файлах, ее можно легко дополнить новыми параметрами и разделами с полным сохранением обратной совместимости.
Кроме того, в настоящее время в шаблоне определен раздел, относящийся к службам системы, архитектура которого дает возможность расширять его внутреннюю структуру. Это позволяет любой службе обратиться к оснастке Шаблоны безопасности и настроить с ее помощью свои параметры безопасности. Поэтому различные системы Windows 2000 могут быть сконфигурированы для работы с индивидуальными наборами служб. Кроме того, компания Microsoft ожидает, что независимые разработчики программного обеспечения, создающие новые службы, будут добавлять к общей структуре безопасности необходимую информацию конфигурации и анализа безопасности своих служб.
В следующих разделах приведены примеры работы с редактором шаблонов безопасности.