预定义的安全模板是作为创建安全策略的初始点而提供的，这些策略都经过自定义设置以满足不同的组织要求。可以使用安全模板管理单元对该模板进行自定义。一旦对预定义的安全模板进行了自定义，就可以用它们配置单台或数以千计的计算机的安全性。可以使用Security Configuration and Analysis管理单元、Secedit 命令行工具，或将模板导入本地安全策略中来配置单台计算机。可以通过将模板导入Security Settings extension to Group Policy（属于组策略的扩展）来对多台计算机进行配置。通过使用“安全配置和分析”管理单元，也可以将安全模板作为分析系统潜在安全漏洞或违反策略的基础。默认情况下，预定义的安全模板存储在如下目录：

systemroot\Security\Templates

• 默认安全设置 (Setup security.inf)

Setup security.inf 模板是在安装期间针对每台计算机创建的。根据所进行的安装是全新安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，其中包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户端计算机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。

请不要通过使用“组策略”来应用 Setup security.inf。此模板含有大量数据，如果通过组策略来应用它，可能会严重降低性能（因为策略是定期刷新的，这样做将导致在域中移动大量数据）。

因此，建议在局部应用 Setup security.inf 模板。由于 Secedit 命令行工具支持该功能，因此建议使用该工具。

•   域控制器默认安全设置 (DC security.inf)

该模板是在服务器被升级为域控制器时创建的。它反映了文件、注册表以及系统服务的默认安全设置。重新应用它后，上述范围的安全设置将被重新设置为默认值。它可能覆盖由其他应用程序创建的新文件、注册表和系统服务的权限。使用“安全配置和分析”管理单元或 Secedit 命令行工具可以应用它。

• 兼容 (compatws.inf)

对于工作站及服务器的默认权限授予三个本地组：Administrators、Power Users 和 Users。Administrators 享有{zg}的特权，而 Users 的特权{zd1}。正因为如此，您便可以通过以下方式极大地提高系统所有权的安全性、可靠性，并降低其总成本：

   • 确保最终用户都是 Users 成员。
   • 部署可由 Users 组的成员成功运行的应用程序。

具有 User 特权的人可以成功运行已加入 Windows Logo Program for Software 中的应用程序。但是，Users 可能无法运行不符合该计划要求的应用程序。如果必须支持其他的应用程序，有两种办法可供选择：

• 允许 Users 组的成员成为 Power Users 组的成员。
• 放松授予 Users 组的默认权限。

由于 Power Users 用户不可避免地具有诸如创建用户、组、打印机和共享的功能，因此一些管理员宁愿放松默认的 User 权限也不愿让最终用户成为 Power Users 组的成员。这正是兼容模板的目的所在。对大多数不属于 Windows Logo Program for Software 的应用程序而言，兼容模板能够以符合这些程序要求的方式更改授予 Users 的默认文件和注册表权限。此外，由于假设应用兼容模板的管理员不希望最终用户成为 Power Users 的成员，因而兼容模板也可以删除 Power Users 组的所有成员。详细信息，请参阅组的默认安全设置。

请不要将兼容模板应用到域控制器。例如，不要将兼容模板导入“默认域策略”或“默认域控制器策略”。

• 安全 (Secure*.inf)

安全模板定义了至少可能影响应用程序兼容性的增强安全设置。例如，安全模板定义了更严密的密码、锁定和审核设置。

此外，安全模板还限制了 LAN Manager 和 NTLM 身份认证协议的使用，其方式是将客户端配置为仅可发送 NTLMv2 响应，而将服务器配置为可拒绝 LAN Manager 的响应。.

•   为了将 Securews.inf 应用于成员计算机，包含登录到客户端的所有用户的用户帐户的所有域控制器必须运行 Windows NT 4.0 Service Pack 4 或更高版本的操作系统。
•   如果成员计算机已加入包含运行 Windows NT 4.0 的域控制器的域中，为了对此成员计算机应用 Securews.inf，运行 Windows NT 4.0 的域控制器和该成员计算机之间的时钟误差应该在 30 分钟以内。
•   客户端经过 Securews.inf 配置后，它将无法使用在目标服务器上定义的本地帐户连接到仅使用 LAN Manager 身份验证协议或运行带有 Service Pack 4 之前版本的 Windows NT 4.0 服务器。
•   客户端经过 Securews.inf 配置后，它将无法使用在目标服务器上定义的本地帐户连接到运行 Windows 2000 或 Windows NT 4.0 的服务器，除非目标服务器和客户端的时钟误差在 30 分钟以内。
•   客户端经过 Securews.inf 配置后，它将无法使用在目标服务器上定义的本地帐户连接到运行 Windows XP 或更新版本的计算机，除非目标服务器和客户端的时钟误差在 20 小时以内。
•   客户端经过 Securews.inf 配置后，它将无法连接到运行 LAN Manager 并且在共享级安全模式下运行的服务器。
•   服务器经过 Securews.inf 配置后，对于具有该服务器的本地帐户的用户而言，他们将无法从仅运行正在使用该本地帐户的 LAN Manager 的客户端计算机连接到该服务器。
•   运行 Windows 2000 的服务器经过 securews.inf 配置后，如果在该服务器上具有本地帐户的客户端同时被配置成使用 NTLMv2 身份验证，则它将无法建立连接，除非这两台机器之间的相互时钟误差在 30 分钟以内。
•   运行 Windows XP 的服务器经过 securews.inf 配置后，如果在该服务器上具有本地帐户的客户端同时被配置成使用 NTLMv2 身份验证，则它将无法建立连接，除非这两台机器之间的时钟误差在 20 小时以内。
•   域控制器经过 Securedc.inf 配置后，对于在该域中有本地帐户的用户而言，他们将无法从仅运行正在使用该域帐户的 LAN Manager 的客户端计算机连接到任何成员服务器。
•   运行 LAN Manager 的计算机包括 Windows for Workgroupsas 以及尚未安装 Active Directory Client Extensions Pack 的 Windows 95 和 Windows 98 平台。如果 Windows 95 或 Windows 98 上安装了 Active Directory Client Extensions Pack，那些客户端将能够使用 NTLMv2。Windows Millinnium Edition 支持 NTLMv2，而不必进行其他修改。
•   通过将 HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel 设为 3 或更大的值，可以将运行 Windows NT Service Pack 4 或更高版本的计算机配置为仅发送 NTLMv2 响应。
•   通过在网络安全：LAN Manager 身份验证级别安全选项中指定此{sx}项，可以将运行 Windows NT Service Pack 4 或更高版本的计算机配置为仅发送 NTLMv2 响应。
通过防止匿名用户（如来自不受信任域的用户）执行如下操作，安全模板也对匿名用户提供了更进一步的限制：
•   枚举帐户名和共享。
•   执行 SID 到名称或名称到 SID 的转换。

{zh1}，安全模板可启用服务器端的服务器消息块 (SMB) 数据包签名。默认情况下，该功能对服务器是禁用的。由于在默认情况下客户端的 SMB 数据包签名是启用的，因此，当工作站和服务器同在“安全”级别下运行时，SMB 数据包签名始终要经过协商。

• 高级安全 (hisec*.inf)

高级安全模板是对加密和签名做进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在 SMB 客户端和服务器之间进行安全传输所必需的。例如，安全模板可以使服务器拒绝 LAN Manager 的响应，而高级安全模板则可使服务器同时拒绝 LAN Manager 和 NTLM 的响应。安全模板可以启用服务器端的 SMB 数据包签名，而高级安全模板则要求这种签名。此外，高级安全模板还要求对形成域到成员以及域到域的信任关系的安全通道数据进行强力加密和签名。因此，为了将 hisecws.inf 应用于成员计算机：

•   将登录到客户端的所有用户的用户帐户所属的所有域控制器都必须运行 Windows NT 4.0 Service Pack 4 或更高版本。
•   客户端所加入的域中的所有域控制器必须运行 Windows 2000 或更高版本。
•   经过 Hisecws.inf 配置的客户端无法使用在目标服务器上定义的本地帐户连接到仅运行 LAN Manager 的计算机，也无法连接到运行 Windows NT 4.0 Service Pack 3 或之前版本的计算机。
•   客户端经过 Hisecws.inf 后，将无法使用在目标服务器上定义的本地帐户连接到运行 Windows 2000 或 Windows NT 4.0 Service Pack 4 的服务器，除非目标服务器与客户端的时钟误差在 30 分钟以内。
•   客户端经过 Hisecws.inf 配置后，将无法使用在目标计算机上定义的本地帐户连接到运行 Windows XP 或更新版本的计算机，除非目标计算机与客户端的时钟误差在 20 小时以内。
•   客户端经过 Hisecws.inf 配置后，将无法连接到在共享级安全模式下运行的 LAN Manager 服务器。
•   要将 Hisecdc.inf 应用到域控制器，所有已信任域或待信任域中的所有域控制器都必须运行 Windows 2000 或 Windows Server 2003 家族操作系统。
•   服务器经过 Hisecws.inf 配置后，具有该服务器本地帐户的用户将无法从不支持 NTLMv2 的客户端连接到该服务器。
•   服务器经过 Hisecws.inf 配置后，具有该服务器本地帐户的客户端将无法连接到该服务器，除非此客户端的计算机经过配置可以发送 NTLMv2 响应。
•   服务器经过 Hisecws.inf 配置后，想使用 SMB 连接该服务器的所有客户端必须启用客户端的 SMB 数据包签名。所有运行 Windows 2000 和 Windows XP 操作系统的计算机在默认情况下都启用客户端的 SMB 数据包签名。
•   域控制器经过 Hisecdc.inf 配置后，如果试图从仅使用 LAN Manager 身份验证协议的客户端进行连接，则在该域中有帐户的用户将无法使用此域用户帐户连接到成员服务器。
•   域控制器经过 Hisecdc.inf 配置后，在该域中有帐户的用户将无法使用此域帐户连接到成员服务器，除非： 客户端和目标服务器都运行 Windows 2000 或更高版本，并且都能使用基于 Kerberos 的身份验证，而不是基于 LAN Manager 的身份验证。

客户端经过配置可以发送 NTLMv2 响应。

警告

•   创建这些安全模板的假设条件是要将它们应用到使用默认安全设置的计算机。换句话说，如果这些模板位于计算机上，则它们可以不断修改默认安全设置。在进行修改之前，它们不安装默认的安全设置。
•   在没有经过测试，确保网络和系统体系结构具有正确的应用程序功能级别之前，不应将预定义的安全模板应用于产品系统。
可以通过“安全模板”查看安全模板设置。*.inf 文件也可以按文本文件查看。这些文件位于：
%windir%\Security\Templates
无法保证安装在文件分配表 (FAT) 文件系统中的 Windows XP Professional 系统的安全。