Windows 2003安全配置向导(SCW).docVIP

易用性和安全性的平衡 ——Windows 2003安全配置向导（SCW） 作者： “在试图发现并利用网络或计算机系统中的每一个开放的端口，每一个细小的漏洞的过程中，黑客们对各种复杂的技术进行了细致的解剖。在做这些事情的时候，他们就像神经外科专家做手术时那么精确。” —— Ｊｏｅｌ Ｓｃａｍｂｒａｙ 微软公司在设计和开发产品时是以最大限度的易用性为出发点的，正是因为这一点，它们才会如此地受到欢迎。很多人都忽略了一个这样的事实：安全问题是一种“零和”游戏——越是容易使用的东西，对它进行安全防护所需花费的时间和努力也就越多。如果把100%的安全性和100%易用性看做信息安全问题的两个极端，那么，100%的安全性就意味着0的易用性，而100%的易用性则相当于0安全性。我相信微软不会一直玩着这个游戏，下面我们就用Windows 2003安全配置向导（SCW）来这一游戏规则吧。 剖析了解SCW 近日微软终于发布Windows Server 2003中文补丁包SP1，除了对系统中存在的漏洞进行修补外，还新增了一些实用功能，特别是安全配置向导（Security Configuration Wizard，简称SCW）功能，它成为Windows 2003 SP1新增功能中的亮点。 安全配置向导（SCW）是一个新增的安全配置功能，它可以最大限度地缩小服务器的受攻击面。其实做安全管理的人士都明白一个原则，已知的远程攻击手段都与系统中运行的服务有关，因此，只要阻断有关的访问通道或者禁用有关的服务，就不会给相关的攻击手段留下可乘之机。利用SCW所提供的功能，网管能非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对巩固服务器的安全有极大的帮助。同时，由于整个配置过程都是在向导对话框中完成的，无需繁琐的手工设置，非专业的安全管理人员一样可以顺利完成服务器加固工作。 开启SCW 要使用SCW功能集成到Windows 2003系统的SP1补丁包，但做到这一步还暂时不能使用，我们要手动的开启SCW服务功能。用户需要通过“添加/删除Windows组件”功能手工安装SCW，进入“添加/删除Windows组件”页面，在“Windows组件向导”对话框中选中“安全配置向导”选项，点击“下一步”按钮后，就能轻松完成SCW组件的安装（如图1）。 运行SCW也很简单，有两种方法：1. 在“管理工具”窗口中运行“安全配置向导”；2. 点击“开始→运行”，在运行对话框中运行“SCW.exe”命令。 在弹出的“欢迎使用安全配置向导”对话框中，点击“下一步”按钮，进入“配置操作”对话框。由于我们是第一次运行SCW功能，因此在“配置操作”对话框中要选择“创建新的安全策略”（如图2）。提示：在调试过程中可能会用到“策略回滚”，SCW不存在只能进行一次回滚的限制。但是，为避免管理开销，应避免不必要的策略回滚。请在每个 SCW 会话期间进行多项更改，而不要多次运行 SCW 且每次都创建单独的策略。 选择服务器 首先我们要选择目标，也就是选择将要进行安全配置的Windows 2003服务器。当然如果处于域管理模型下，对于其他服务器的管理就更加得心应手了。接着上面的操作，点击“下一步”按钮后，进入“选择服务器”对话框。在这里选择要进行安全配置的Windows 2003服务器（可以是本地服务器，也可是网络中的其他服务器）。在“服务器”栏中输入要进行安全配置的Windows 2003服务器的机器名或IP地址。接着点击“下一步”按钮，SCW就开始处理安全配置数据库。完成后，进入“基于角色的服务配置”对话框，才真正开始使用SCW向导安全加固服务器的工作了。 选择配置角色 Windows 2003服务器提供了数量众多的服务器角色，如文件服务器、DHCP服务器等。前面我们已经谈到了提供最小服务的安全性比率较高，但是，如果不是因为资源紧张，而需要一台服务器提供多种功能（如Web和数据库运行在一台Server上）反而会增加服务器的安全隐患，手工加固的工作量就会加大，但我们现在可以利用SCW的“选择服务器角色”向导就能轻松完成角色的选择。 在“基于角色的服务配置”向导中可以对Windows 2003服务器角色、客户端功能、系统服务等内容进行配置。点击“下一步”按钮，进入“选择服务器角色”对话框（如图3），在列表框中选择Windows 2003服务器所执行的角色（如文件服务器、打印服务器等）。根据自己的需要，在角色列表框中勾选需要的服务器角色选项，确保相应的Windows 2003服务器功能并开放相应的服务端口。 点击“下一步”后，选择Windows 2003服务器的“客户端功能”。设置Windows 2