■ %programfiles% — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.

■ %systemroot%\downloaded program files — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.

■ %systemroot%\temp — чтение/запись/чтение и выполнение/список содержимого файлов/изменение.

■ %systemroot%\sysvol — права не определены ни для одной из групп.

Шаблон безопасности Compatws также изменяет права на ветви реестра из корневого раздела HKEY_CLASSES_ROOT. Но в данном случае скорее происходит не повышение прав группы Пользователи на содержимое данной ветви, а понижение прав группы Опытные пользователи, чтобы они не могли выполнять запись в данный корневой раздел реестра.

Securews.inf

Настройки этого шаблона повышают общую безопасность рабочей станции. Существует также шаблон безопасности securedc, выполняющий аналогичные действия для контроллера домена. В контексте данной книги будет рассмотрен шаблон securewc, так как второй шаблон предназначен для компьютеров, находящихся в домене и являющихся контролерами доменов, что довольно редко на домашних компьютерах. Итак, основные отличия шаблона securewc от шаблона по умолчанию заключаются в следующем.

■ Минимальная длина пароля 8 символов.

■ Минимальный срок действия пароля 2 дня.

■ Пароль должен отвечать требованиям безопасности.

■ Требование неповторяемости 24 последних паролей.

■ Блокировка учетной записи на 30 минут.

■ Пороговое значение ошибок ввода пароля равно 5.

■ Сброс счетчика блокировки через 30 минут.

■ Выполняется аудит следующих событий: неправильный ввод пароля при входе в систему, аудит всех событий входа в систему и управления учетными записями, а также любое изменение политик и отказ системы в предоставлении привилегий учетной записи пользователя.

■ Изменений в доступе к реестру и файловой системе нет. Изменения в параметрах безопасности не рассматриваются, хотя если кратко, то они в основном заключаются в отказе от протоколов аутентификации LM и NTLM.

Hisecws.inf

Данный шаблон определяет повышенный уровень безопасности рабочей станции. Как и предыдущие два шаблона, он имеет своего двойника, предназначенного для настройки повышенного уровня безопасности контроллера домена (Hisecdc). Основные отличия шаблона Hisecws от шаблона securewc заключаются в следующем.

■ Блокировка учетной записи на 0 минут (то есть до ее явной разблокировки администратором).

■ Аудит всех событий безопасности, кроме событий отслеживания процессов (отключен) и событий доступа к службе каталогов Active Directory (не определен).

■ Изменений в доступе к реестру и файловой системе нет. Изменения параметров безопасности в основном заключаются в требовании подписывания передаваемых по сети данных.

Rootsec.inf

Данный шаблон безопасности служит лишь одной цели — присвоению прав доступа к системному диску по умолчанию. Именно этот шаблон применяется для настройки прав на доступ к системному диску при установке операционной системы.

Notssid.inf

Данный шаблон безопасности предназначен лишь для исключения доступа учетной записи Terminal Server к файловой системе и реестру Windows XP. Если сервер терминалов не используется, то можно применить данный шаблон безопасности для исключения SID сервера терминалов из прав доступа к объектам системы, хотя, как подчеркивает Microsoft, присутствие SID сервера терминалов никоим образом не влияет на безопасность компьютеров.

Создание и импортирование шаблона безопасности

Теперь для примера попробуем создать свой собственный шаблон безопасности. Как правило, для этого лучше воспользоваться одним из стандартных шаблонов, а не создавать шаблон с нуля.

Создание шаблона безопасности

Чтобы создать шаблон безопасности на основе любого другого шаблона, необходимо в контекстном меню шаблона выбрать команду Сохранить как. Затем консоль управления Microsoft предложит вам указать имя нового шаблона, после чего он отобразится в дереве оснастки Шаблоны безопасности. Существует также возможность копирования отдельных разделов шаблона в другой шаблон. Для этого необходимо в контекстном меню раздела эталонного шаблона выбрать команду Копировать. После этого в контекстном меню того же раздела, но шаблона-приемника нужно выбрать команду Вставить.

Например, чтобы быстро создать шаблон на основе шаблона Securews, но с настройками файловой системы из шаблона Rootsec, необходимо сначала создать шаблон на основе шаблона Securews (команда Сохранить как), а после этого скопировать раздел Rootsec►Файловая система в раздел Файловая система созданного вами шаблона. После этого можно самостоятельно отредактировать состояние отдельных правил политик созданного вами шаблона.