======================================================================
		Диспетчер конфигураций безопасности
======================================================================
	(c) Корпорация Майкрософт (Microsoft Corporation), 1999.

===========
Предисловие
===========
Диспетчер конфигураций безопасности (SCM) был впервые выпущен в составе 
пакета обновления Windows NT 4.0 Service Pack 4.  Этот диспетчер часто 
называют редактором конфигураций безопасности (SCE).  

В дополнение к сведениям об установке этот файл содержит основные 
сведения об использовании SCM.  Желательно напечатать данный файл 
readme.txt и выполнить действия, описанные в разделе 4 «Использование 
SCM».

==========
Содержание
==========
1.0 Введение
2.0 Требования
3.0 Установка
	3.1 Установка графической программы SCM и программы, выполняемой 
	    из командной строки
	3.2 Установка только программы SCM, выполняемой из командной 
	    строки
4.0 Использование SCM
	4.1 Загрузка объекта Snap-in SCM консоли MMC
	4.2 Изменение готового файла настройки SCM
	4.3 Настройка системы через пользовательский интерфейс SCM
	4.4 Анализ безопасности
	4.5 Использование программы SCM, выполняемой из командной 
	    строки
5.0 Готовые файлы настройки SCM
	5.1 Совместимая конфигурация
	5.2 Безопасная конфигурация
	5.3 Конфигурация повышенной безопасности
	5.4 Основная конфигурация
	5.5 Конфигурация для MS Office 97 с установленным пакетом SR1
6.0 Обратная связь

============
1.0 Введение
============
В пакет Service Pack 5 включена поддержка диспетчера конфигураций 
безопасности Microsoft (SCM).  SCM позволяет системным администраторам 
объединить все параметры системы, имеющие отношение к безопасности, в 
один файл настройки.  Эти параметры безопасности можно применить к 
любому количеству компьютеров под управлением Windows NT.  В поставку 
также включены примеры файлов настройки, реализующие разные уровни 
безопасности.

SCM представлен в виде приложения с графическим интерфейсом (ГИП) и 
программы, выполняемой из командной строки.

SCM с ГИП позволяет администратору:
	o создавать и изменять файлы настройки безопасности;
	o применять к системе конфигурацию безопасности;
	o анализировать безопасность системы;
	o графически представлять результаты анализа.

Программа SCM, выполняемая из командной строки, позволяет:
	o применять к системе Windows NT конфигурацию безопасности;
	o анализировать безопасность системы.
- Результаты этого анализа в графическом виде можно просмотреть на 
  компьютере с Windows NT, на котором установлен SCM с ГИП.

==============
2.0 Требования
==============
Для работы SCM с ГИП и программы, выполняемой из командной строки, 
требуется:
	o NT4 с установленным пакетом SP4 или более поздним. 

Для работы SCM с ГИП требуется:
	o Microsoft Internet Explorer версии 3.02 или более поздней;
	o Microsoft Management Console версии 1.0 или более поздней.


=============
3.0 Установка
=============
SCM является необязательным компонентом пакета Service Pack, поэтому 
при установке пакета обновления SCM автоматически не устанавливается. 

Замечание: после установки, отмена установки SCM не может быть произведена.

-------------------------------------------------------------------
3.1 Установка графической программы SCM и программы, выполняемой из 
    командной строки
-------------------------------------------------------------------
1. Установите Internet Explorer версии 3.02 или более поздней.
2. Установите пакет Windows NT Service Pack 4 или более поздний.
3. Установите SCM:
   - SCM находится на компакт-диске пакета обновления в каталоге 
     \MSSCM\<платформа>.
   - Запустите файл MSSCM.EXE.

-------------------------------------------------------------------
3.2 Установка только программы SCM, выполняемой из командной строки
-------------------------------------------------------------------
1. Установите пакет Windows NT Service Pack 4 или более поздний.
2. Установите программу SCM, выполняемую из командной строки:
   - SCM находится на компакт-диске пакета обновления в каталоге 
     \MSSCM\<платформа>.
   - В командной строке введите MSSCM.EXE /C

Обратите внимание: установка программы, выполняемой из командной 
строки, задается также с помощью параметра /S.

=====================
4.0 Использование SCM
=====================

                       ******************
                       * ПРЕДУПРЕЖДЕНИЕ *
************************ -------------- ***********************
НЕ СЛЕДУЕТ ПРИМЕНЯТЬ ГОТОВЫЕ ФАЙЛЫ НАСТРОЙКИ, УПОМЯНУТЫЕ В ЭТОМ 
РУКОВОДСТВЕ, К РАБОТАЮЩИМ СИСТЕМАМ БЕЗ ПРЕДВАРИТЕЛЬНОЙ ПОЛНОЙ 
ПРОВЕРКИ ИХ НАДЕЖНОСТИ.
***************************************************************

--------------------------------------------
4.1 Загрузка объекта Snap-in SCM консоли MMC
--------------------------------------------

1. Запустите консоль управления MMC:
   - MMC.Exe
2. Добавьте объект Snap-in диспетчера конфигураций безопасности:
   - В меню «Консоль» выберите пункт «Добавить/удалить объекты 
     Snap-in».
   - Нажмите кнопку «Добавить».
   - Выберите пункт «Диспетчер конфигураций безопасности» и нажмите 
     кнопку «ОК».

------------------------------------------
4.2 Изменение готового файла настройки SCM
------------------------------------------
1. Разверните раздел «Диспетчер конфигураций безопасности».
   Появятся следующие папки:
	- База данных: не загружена.
	- Конфигурации.
2. Разверните раздел «Конфигурации».
3. Разверните папку стандартных файлов настройки:
	- %windir%\security\templates.
	- Появятся следующие файлы настройки:

	Файл настройки		Уровень безоп.		Платформа
	------------------	--------------		--------
	Basicwk.inf		Стандартный		NT4 Wksta
	Basicsv.inf		Стандартный		NT4 Server
	Basicdc.inf		Стандартный		NT4 DC
	Compws4.inf		Совместимый		NT4 Wksta\Server
	Compdc4.inf		Совместимый		NT4 DC
	Securws4.inf		Безопасный		NT4 Wksta\Server
	Securdc4.inf		Безопасный		NT4 DC
	Hisecws4.inf		Повышенный		NT4 Wksta\Server
	Hisecdc4.inf		Повышенный		NT4 DC
	Off97SR1.inf		с совместимым		NT4 Wksta\Server

4. Разверните требуемый файл настройки:
	- Например: securws4.
	- Определены семь областей изменяемых параметров безопасности, 
	  таких как «Политики учетных записей» и «Файловая система».
5. Выделите требуемую область безопасности:
	- Например: Локальные политики\Настройка безопасности.
	- В области параметров появятся изменяемые параметры.
6. Дважды щелкните объект безопасности в области параметров:
	- Например: Текст сообщения для пользователей, входящих в 
	  систему.
7. Задайте параметр безопасности для данной среды:
	- Введите текстовую строку для использования в данной 
	  среде и нажмите кнопку «ОК».
8. Сохраните измененный файл настройки:
	- Правой кнопкой мыши щелкните файл настройки в 
	  области файла (securws4.inf).
	- Для сохранения изменений воспользуйтесь командой 
	  «Сохранить» или «Сохранить как».

----------------------------------------------------------
4.3 Настройка системы через пользовательский интерфейс SCM
----------------------------------------------------------
1. Щелкните раздел «База данных: нет»:
	- Это активизирует базу данных, используемую по 
	  умолчанию (secedit.sdb).
	- Все настройки и анализы будут применяться к этой базе 
	  данных.
2. Правой кнопкой мыши щелкните раздел «База данных: Secedit.SDB».
2. Выберите команду «Импорт конфигурации».
3. Выберите конфигурацию для применения к базе данных:
	- Установите флажок «Перезаписать существующую конфигурацию»,
	  чтобы удалить все предыдущие настройки базы данных.
	  По умолчанию выполняется добавление к базе данных.
	- Нажмите кнопку «Открыть».
4. Правой кнопкой мыши щелкните раздел «База данных: Secedit.SDB».
5. Выберите пункт «Настроить систему...».
6. Введите имя файла для ведения журнала и нажмите кнопку «ОК».

ПРЕДУПРЕЖДЕНИЕ. Применение конфигурации безопасности к системе NT может 
повлечь потерю быстродействия и функциональных возможностей.  

Например, многие приложения предполагают, что все пользователи имеют 
разрешения на изменение (чтение, запись, выполнение и удаление) 
каталогов root, systemroot и systemroot\system32, так как этот профиль 
Windows NT используется по умолчанию.  Наряду с многими другими 
изменениями файлы конфигурации безопасности ограничивают права доступа, 
используемые по умолчанию, и могут вызвать сбои в приложениях, ранее 
работавших нормально.

-----------------------
4.4 Анализ безопасности
-----------------------
Перед тем как выполнить каждый следующий шаг, проверяйте действие 
механизма анализа, нарушая политику системы безопасности, реализованную 
на предыдущем шаге.
Например:
	- Измените политику паролей, воспользовавшись диспетчером 
	  пользователей.
1. Правой кнопкой мыши щелкните раздел «База данных: Secedit.SDB».
2. Выберите пункт «Анализ системы...».
3. Введите имя файла для ведения журнала и нажмите кнопку «ОК».

В окне хода работы отображаются текущие анализируемые области 
безопасности.  После завершения анализа в области параметров будут 
выделены различия между фактическими параметрами системы и параметрами 
в файле securws4.inf.


----------------------------------------------------------------
4.5 Использование программы SCM, выполняемой из командной строки
----------------------------------------------------------------
В диспетчер конфигураций безопасности включена также программа для 
применения файлов настройки, выполняемая из командной строки 
(secedit.exe).  Для получения списка параметров программы введите 
secedit и нажмите клавишу ввода.

Эта программа, выполняемая из командной строки, служит для применения 
к нескольким системам готовых файлов настройки с использованием 
средств управления распределенными системами, такими как Microsoft 
Systems Management Server.

Например, команда

secedit /configure /cfg securws4.inf /areas REGKEYS FILESTORE

применит к данной системе Windows NT параметры безопасности файловой 
системы и системного реестра, заданные в файле настройки securws4.inf.

===============================
5.0 Готовые файлы настройки SCM
===============================
Для тестирования и настройки собственных индивидуальных сред системные 
администраторы могут использовать файлы настройки, входящие в поставку.  
Эти конфигурации не следует применять к работающим средам без 
выполнения полной предварительной проверки на надежность.

Готовые файлы настройки безопасности описывают три уровня безопасности 
для использования вместо стандартных настроек.  Ниже описаны эти уровни 
безопасности.

----------------------------
5.1 Совместимая конфигурация
----------------------------
Усовершенствованные стандартные настройки безопасности. Данная 
конфигурация вызывает ошибки со стороны приложений, создавая компромисс 
между функциональными возможностями и безопасностью.

---------------------------
5.2 Безопасная конфигурация
---------------------------
Усовершенствованные совместимые настройки безопасности. Данная 
конфигурация вызывает ошибки со стороны системы безопасности, создавая 
компромисс между функциональными возможностями и безопасностью.

----------------------------------------
5.3 Конфигурация повышенной безопасности
----------------------------------------
В конфигурации повышенной безопасности используются параметры наилучшей 
безопасности системы Windows NT, не принимая во внимание 
работоспособность приложений. Большинство существующих приложений в 
конфигурации повышенной безопасности не будут нормально работать.  
Назначение конфигурации повышенной безопасности - способствовать 
разработке новых приложений, поддерживающих требования безопасности.

-------------------------
5.4 Основная конфигурация
-------------------------
Файлы основной конфигурации предназначены для «отмены» применения 
безопасных конфигураций.  Основная конфигурация устанавливает 
стандартные параметры Windows NT, но не восстанавливает следующие права 
пользователя, так как они обычно изменяются программами установки:
	- Запуск входа в систему в качестве службы.
	- Выполнение действий под видом компонента операционной системы.

Важно иметь в виду, что применение основной (стандартной) конфигурации 
не выполняет возврат системы к состоянию до применения конфигурации 
безопасности.  Просто стандартные файлы настройки применяют наборы 
параметров, отличающиеся от файлов конфигураций безопасности. 

-------------------------------------------------------------
5.5 Конфигурация для MS Office 97 с установленным пакетом SR1
-------------------------------------------------------------
Файл конфигурации для MS Office 97 с установленным пакетом SR1 следует 
использовать в сочетании с совместимой конфигурацией.  Он должен быть 
применен ПОСЛЕ установки пакета SR1 для Microsoft Office 97 и 
накладывает ограничения на совместимую конфигурацию, позволяющую MS 
Office 97 с установленным пакетом SR1 успешно работать в 
неадминистративном контексте.

==================
6.0 Обратная связь
==================
Присылайте свои предложения по адресу scefeed@microsoft.com