Windows server 2003 安全配置向导部署.docVIP

Windows server 2003 安全配置向导部署 安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面。它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能。特别是，SCW 有助于创建和部署具有如下功能的安全策略： 禁用不需要的服务。 阻止不使用的端口。 允许保持打开状态的端口的其他地址或安全限制。 禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用）。 减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。 定义高信噪比审核策略。 SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。 本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 Windows Server?2003 的计算机上的过程。 安装和运行 SCW 的要求 SCW 随 Windows Server?2003?SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server?2003 的计算机。它并非旨在用于 Microsoft Small Business Server 或 Windows?XP Professional 之类的客户端操作系统。 SCW 部署概述 SCW即为Security?Configuration?Wizard，安全配置向导。 SCW主要功能：配置服务（Services）、网络安全（Network?security）、审核（Auditing）、注册表（Registry）…. 使用全策略来完成这些目标。 SCW安装步骤： 添加删除Windows组件 添加“安全配置向导” SCW 部署 打开 - 开始 - 所有程序管理工具 – 安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：????在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）。????选择创建安全策略的话，安全策略将以XML格式文件保存，使用.xml扩展名，默认的安全模板存储位于C:\Windows\security\msscw\policies，最好是为每一个策略提供一个描述，这样对于拥有多策略的情况下是非常有用的。????在这里我们要创建一新的策略，选取第一选项然后点击Next，然后会便开始进行处理，（如果使用的系统是R2的服务器必须打上SP2补丁） 首先它将生成一个安全配置数据库，在这里我们可以选择“查看配置数据库”，里面显示了所有的角色设置，包括已经安装和未安装以及启用与禁用的。????这个数据库就是一个参考，为我们后面的选择配置提供参照了简介。????继续 下一步，再次出现一个Welcome界面， ???在这里，便开始进入到另一个阶段了，??? 创建 SCW 安全策略文件 如何创建 SCW 安全策略文件。 创建安全策略 依次单击“开始”、“管理工具”，然后单击“安全配置向导”。 阅读“欢迎”页，然后单击“下一步”。 选择“创建新的安全策略”，然后单击“下一步”。 键入原型服务器的名称，然后单击“下一步”。 等待安全配置数据库处理完毕，然后单击“下一步”。 对于接下来的五个向导页的每一页，只需单击“下一步”即可： “基于角色的服务配置”页。 “选择服务器角色”页。 “选择客户端功能”页。 “选择管理和其他选项”页。 “选择其他服务”页。 在“处理未指定的服务”页上，单击“下一步”。 对于接下来的 20 个向导页的每一页，只需单击“下一步”即可： “确认服务更改”页。 “网络安全”页。 “打开端口并确认应用程序”页。 “确认服务更改”页。 “确认端口配置”页。 “注册表设置”页。 “要求 SMB 安全签名”页。 “要求 LDAP 签名”页。 “出站身份验证方法”页。 “使用域帐户的出站身份验证方法”页。 “注册表设置摘要”页。 “审核策略”页。 “系统审核策略”页。 “审核策略摘要”页。 “Internet 信息服务”页。 “选择动态内容的 Web 服务扩展”页。 “选择一个要保留的虚拟路径”页。 “阻止匿名用户访问内容文件”页。 “IIS 设置摘要”页。 “保存安全策略”页。 在“安全策略文件名”页上，键入原型策略的名称，然后单击“下一步”。 不要使用原型计算机的名称命名安全策略，因为 scwcmd.exe 使用 computername.xml 保存分析结果，而您也不希望安全策略与分析结果具有相同的名称。这样会造成混乱或覆盖的风险。 在“正在完成安全配置向导”页上，单击“完成”。 部署 SCW 安全策略文件 使用 SCW 创建的安全策略文