安全策略循序渐近指南：创建和部署基于角色的策略.docxVIP

安全策略循序渐近指南：创建和部署基于角色的策略更新时间: 2008年5月应用到: Windows Server 2008在 Windows Server? 2008 操作系统中，可以使用安全配置向导 (SCW) 通过修改角色、角色服务和功能的安全设置来减少服务器的受攻击面。使用 SCW 可帮助在使用服务器管理器初始安装角色之后维护安全的服务器配置。关于本指南本指南提供在测试环境中使用 SCW 创建安全策略并将其应用于原型服务器的循序渐进步骤。 方案概述影响多台计算机的设置、配置或行为的任何技术的安全使用要求在部署之前进行规划。SCW 的安全使用包括在生产环境中应用策略之前测试工具和策略。 使用代表您的生产环境中服务器配置的原型服务器执行本指南中的步骤（在测试方案中）。验证了创建的 SCW 策略并在为您的原型服务器提供所需的安全性的此测试方案中应用之后，可以将在测试环境中创建的策略应用于生产环境中的服务器。当您继续此方案时，将执行以下任务：使用 SCW 根据服务器的角色为服务器创建一个包含所有所需安全设置的安全策略。使用 SCW 和 Scwcmd 命令行工具将此安全策略应用于目标计算机。使用 Scwcmd 命令行工具查看和分析此安全策略。使用 Scwcmd 命令行工具将安全策略保存为组策略对象 (GPO) 格式。建立策略原型在 SCW 上下文中，“建立策略原型”意味着在原型计算机上为具有相同角色的一组服务器创建一个安全策略。原型计算机为模型服务器，其配置代表组中的每台计算机。 组件可以使用三个主要的组件来创建和应用安全策略：SCWScwcmd 命令行工具安全配置数据库SCWSCW 将指导您完成根据使用服务器管理器配置的服务器角色创建、编辑、应用或回滚安全策略的过程。使用 SCW 创建的安全策略是 XML 文件，应用该文件后，可以配置服务、网络安全、特定注册表值和审核策略。在此方案中，您将使用 SCW 来创建策略并将其应用于原型服务器。Scwcmd 命令行工具SCW 包含 Scwcmd.exe 命令行工具。可以使用 Scwcmd 来执行以下任务：使用 SCW 生成的策略配置一台或多台服务器。 针对 SCW 生成的策略分析一台或多台服务器。 查看采用 HTML 格式的分析结果。 回滚 SCW 策略。 将 SCW 生成的策略转换为组策略支持的文件。 使用 SCW 注册安全配置数据库扩展。可以使用 Scwcmd 在运行 Windows Server 2008 的远程服务器上配置、分析或回滚策略。在此方案中，将使用 Scwcmd 执行以下操作：将安全策略应用于一台或多台远程服务器。分析并查看服务器的安全策略。采用 GPO 格式保存策略。安全配置数据库安全配置数据库由一组 XML 文档组成，这些文档列出 SCW 支持的每个服务器角色所需的服务和端口。这些文件安装在 %Systemroot%\Security\Msscw\Kbs 中。选择了服务器之后，将扫描该服务器，以确定下列事项：服务器上已安装的角色 服务器可能正在执行的角色 已安装但是未在安全配置数据库中的服务 为服务器配置的 IP 地址和子网SCW 将此服务器特定的信息合并到一个名为 Main.xml 的 XML 文件中。如果单击“处理安全配置数据库”页上的“查看安全配置数据库”，SCW 将显示 Main.xml。可以通过为非 Microsoft 应用程序创建自定义角色定义扩展安全配置数据库。SCW 在 %Systemroot%\Security\Msscw\Kbs 目录中包含许多扩展，可用来构建新的扩展（角色定义）。技术回顾此部分简要介绍与使用 SCW 创建和应用安全策略有关的其他技术。当使用 SCW 创建安全策略时，您拥有用于应用该策略的不同选项。此部分回顾了这些选项以及它们如何影响应用于安全设置的优先规则。在 Active Directory 环境中应用策略对于远程管理，您可以使用 Active Directory? 域服务 (AD DS) 组织单位 (OU) 通过 GPO 将 SCW 策略轻松应用于服务器。使用 SCW 为服务器创建原型策略之后，通过使用 Scwcmd 命令行工具将其转换为 GPO，然后您只需将此 GPO 链接到一个或多个 OU。 组策略管理控制台组策略管理控制台 (GPMC) 已集成到 Windows Server 2008 操作系统中。您可以使用 GPMC 将 GPO 链接到 OU。链接是将 GPO 应用于 OU 中的用户和计算机的机制。有关使用 GPMC 跨企业管理组策略的信息，请参阅“组策略管理控制台”(/fwlink/?LinkId=105933)（可能为英文网页）。 安全模板除了使用 SCW 创建安全策略之外，还可以使用 SCW 通过安全模板应用安全