Windows server 2003 安全配置向导部署.doc

Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能特别是，SCW 有助于创建和部署具有如下功能的安全策略： 禁用不需要的服务 阻止不使用的端口 允许保持打开状态的端口的其他地址或安全限制 禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用） 减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露 定义高信噪比审核策略SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 Windows Server2003 的计算机上的过程安装和运行 SCW 的要求SCW 随 Windows Server2003SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server2003 的计算机它并非旨在用于 Microsoft Small Business Server 或 WindowsXP Professional 之类的客户端操作系统。

SCW 部署概述SCW即为SecurityConfigurationWizard，安全配置向导SCW主要功能：配置服务（Services）、网络安全（Networksecurity）、审核（Auditing）、注册表（Registry）…. 使用全策略来完成这些目标SCW安装步骤：1． 添加删除Windows组件2． 添加“安全配置向导”SCW 部署打开 - 开始 - 所有程序管理工具 – 安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）选择创建安全策略的话，安全策略将以XML格式文件保存，使用.xml扩展名，默认的安全模板存储位于C:\Windows\security\msscw\policies，最好是为每一个策略提供一个描述，这样对于拥有多策略的情况下是非常有用的在这里我们要创建一新的策略，选取第一选项然后点击Next，然后会便开始进行处理，（如果使用的系统是R2的服务器必须打上SP2补丁）首先它将生成一个安全配置数据库，在这里我们可以选择“查看配置数据库”，里面显示了所有的角色设置，包括已经安装和未安装以及启用与禁用的。

这个数据库就是一个参考，为我们后面的选择配置提供参照了简介继续 下一步，再次出现一个Welcome界面， 在这里，便开始进入到另一个阶段了，创建 SCW 安全策略文件如何创建 SCW 安全策略文件创建安全策略 1. 依次单击“开始”、“管理工具”，然后单击“安全配置向导”2. 阅读“欢迎”页，然后单击“下一步”3. 选择“创建新的安全策略”，然后单击“下一步”4. 键入原型服务器的名称，然后单击“下一步”5. 等待安全配置数据库处理完毕，然后单击“下一步”6. 对于接下来的五个向导页的每一页，只需单击“下一步”即可： “基于角色的服务配置”页 “选择服务器角色”页 “选择客户端功能”页 “选择管理和其他选项”页 “选择其他服务”页7. 在“处理未指定的服务”页上，单击“下一步”8. 对于接下来的 20 个向导页的每一页，只需单击“下一步”即可： “确认服务更改”页 “网络安全”页 “打开端口并确认应用程序”页 “确认服务更改”页 “确认端口配置”页 “注册表设置”页 “要求 SMB 安全签名”页 “要求 LDAP 签名”页 “出站身份验证方法”页 “使用域帐户的出站身份验证方法”页 “注册表设置摘要”页。

“审核策略”页 “系统审核策略”页 “审核策略摘要”页 “Internet 信息服务”页 “选择动态内容的 Web 服务扩展”页 “选择一个要保留的虚拟路径”页 “阻止匿名用户访问内容文件”页 “IIS 设置摘要”页 “保存安全策略”页9. 在“安全策略文件名”页上，键入原型策略的名称，然后单击“下一步”不要使用原型计算机的名称命名安全策略，因为 scwcmd.exe 使用 computername.xml 保存分析结果，而您也不希望安全策略与分析结果具有相同的名称这样会造成混乱或覆盖的风险10. 在“正在完成安全配置向导”页上，单击“完成”部署 SCW 安全策略文件使用 SCW 创建的安全策略文件将生成为 .XML 文件，这些文件默认保存到 %systemdir%\security\msscw\Policies 中可以使用 SCW 用户界面或 SCW 中随附的 scwcmd.exe 命令行工具部署这些文件使用 SCW 用户界面此方法最适合于单个服务器要将 SCW 安全策略应用到多个服务器，请改用命令行方法或组策略将 SCW 安全策略应用到服务器 1. 依次单击“开始”、“管理工具”，然后单击“安全配置向导”。

2. 阅读“欢迎页”，然后单击“下一步”3. 在“配置操作”页上，选择“应用现有安全策略”，键入该策略的完整路径和文件名，然后单击“下一步”4. 在“选择服务器”页上，键入要应用策略的服务器的名称，然后单击“下一步” 5. 在“应用安全策略”页上，单击“下一步” 6. 在“正在应用安全策略”页上，等待处理完成，然后单击“下一步” 7. 在“正在完成安全配置向导”页上，单击“完成”SCW 安全策略文件到组策略对象 (GPO) 的转换SCW 安全策略文件转换为 GPOSCW 将其安全策略保存为 .xml 文件，并且 Scwcmd.exe 命令行工具允许使用 scwcmd transform 命令转换这些文件并将其保存为 GPOSCW 用户界面本身不支持 GPOScwcmd transform创建新的 GPO 并定义这些组策略扩展的设置： 安全设置包含服务设置、注册表值、审核策略和已导入到 SCW XML 策略的安全模板设置 IP 安全策略包含 SCW 策略中定义的 IPsec 配置 Windows 防火墙包含 SCW 策略中定义的 Windows 防火墙设置 所有在 SCW 策略中定义的 Internet 信息服务 (IIS) 设置都会在 scwcmd transform 操作期间丢失，因为组策略不支持配置 IIS 设置。

创建 GPO 之后，管理员必须使用“Active Directory 用户和计算机”或“组策略管理控制台 (GPMC)”将 GPO 手动链接到目标组织单位 (OU)以本地组策略格式保存 SCW 安全策略 在命令提示符下，键入scwcmd transform /p:PathAndPolicyFileName /g:GPODisplayName其中，PathAndPolicyFileName 是您先前使用 SCW 创建的策略，包括它的 .xml 文件扩展名，而 GPODisplayName 是组策略对象 (GPO) 在组策略对象编辑器或组策略管理控制台 (GPMC) 中出现时所使用的名称将组策略和 Active Directory 与 SCW 一起使用SCW 并非组策略中可用安全设置的替代；它是一个补充 Active Directory 及其策略结构的安全工具，增强常见 Active Directory 工具（例如，Active Directory 用户和计算机管理单元）对您的功用Active Directory 最佳操作包括使用“Active Directory 用户和计算机”将计算机对象分为多个组织单位 (OU) 以便于管理。

这样有助于使用组策略对象 (GPO) 部署 SCW 策略您可以通过使用 SCW 用户界面将服务器变为原型服务器来创建 SCW 安全策略，然后使用 scwcmd.exe 将其转换为 GPO，最后将 GPO 链接到 OU如果 OU 中的所有服务器在功能上都相似，那么这些服务器都会接收 SCW 创建的安全策略组策略对象编辑器组策略对象编辑器是随 Active Directory 一起提供的用户和计算机配置管理工具组策略设置包括组策略对象编辑器中的安全设置，尽管这些安全设置在显示和处理上与多数其他组策略设置不同例如，安全设置在注册表中持久有效，但是每当刷新策略时，都会重新写入组策略管理模板设置组策略对象编辑器用于编辑所有组策略对象，包括那些从 SCW 格式转换来的对象因此，SCW 通过提供适合于服务器类型的 GPO，使得组策略对象编辑器更加有用组策略管理控制台组策略管理控制台 (GPMC) 满足了在 Active Directory 环境中易于分析、规划和备份策略的需求，在这种环境中，经常将多个 GPO 应用到同一个系统，并且自定义的 OU 排列会影响继承可以通过免费下载来获得 GPMC它支持所有企业范围的组策略任务，但不支持编辑单个 GPO，该操作仍由组策略对象编辑器执行。

GPMC 专门用于将 GPO 链接到 OU链接是一种机制，GPO 通过这种机制应用到 OU 内的用户和计算机如果使用组策略对象编辑器编辑包含 SCW 安全策略的 GPO，则请注意在组策略对象编辑器中手动创建的安全设置优先于使用 SCW 应用的相同设置 如果 SCW 创建的设置转换为 GPO，则按照一般 GPO 继承规则做出优先使用哪类设置的决策安全模板和优先顺序除了使用 SCW 创建安全策略之外，您还可以使用安全模板来应用安全设置安全模板是一些 .inf 文件，例如，默认位于 %systemroot%\security\templates\ 中的 securedc.inf您可以在以下位置查看组策略对象编辑器和 GPMC 中的安全模板设置： GPO 名称\计算机配置\Windows 设置\安全设置\使用 SCW 用户界面（而不使用安全模板）执行的配置更改与单独使用安全模板执行的配置更改部分重叠每个配置更改集都不能完全包含另一个配置更改集例如，SCW 用户界面包括并未包括在任何安全模板中的 IIS 设置相反，安全模板可以包括诸如软件限制策略之类的项目，这些项目不能通过 SCW 用户界面进行配置。

有些配置更改 [例如，IP 安全 (IPsec) 策略] 可以使用以下三种方法设置：使用 SCW 用户界面；将安全模板附加到本地 SCW 策略文件（.xml 文件）；或同时使用上述两种方法但是，如果同时使用这两种方法，便可使用本部分稍后说明的优先顺序规则来解决冲突的策略设置此外，scwcmd.exe 命令行工具及其转换选项支持通过 SCW 策略创建新的、未链接的 GPO这表示实际上有三种使用安全模板的方法： 如果您熟悉组策略，并且已使用过组策略对象编辑器和 GPMC，则也应当能够通过右键单击“安全设置”，单击“导入策略”，然后浏览到 .inf 文件将安全模板附加到 GPO 第二种方法是通过单击“包括安全模板”，然后单击“。