Windows server 2003 安全配置向导部署

Windows server 2003 安全配置向导部署

安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面。它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能。特别是，SCW 有助于创建和部署具有如下功能的安全策略：

∙禁用不需要的服务。

∙阻止不使用的端口。

∙允许保持打开状态的端口的其他地址或安全限制。

∙禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用）。

∙减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。

∙定义高信噪比审核策略。

SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。

本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 Windows

Server 2003 的计算机上的过程。

安装和运行 SCW 的要求

SCW 随 Windows Server 2003 SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server 2003 的计算机。它并非旨在用于 Microsoft Small Business Server 或Windows XP Professional 之类的客户端操作系统。

SCW 部署概述

SCW即为Security Configuration Wizard，安全配置向导。

SCW主要功能：配置服务（Services）、网络安全（Network security）、审核（Auditing）、注册表（Registry）…. 使用全策略来完成这些目标。

SCW安装步骤：

1．添加删除Windows组件

2．添加“安全配置向导”

SCW 部署

打开- 开始- 所有程序管理工具–安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：

在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）。

选择创建安全策略的话，安全策略将以XML格式文件保存，使用.xml扩展名，默认的安全模板存储位于

C:\Windows\security\msscw\policies，最好是为每一个策略提供一个描述，这样对于拥有多策略的情况下是非常有用的。

在这里我们要创建一新的策略，选取第一选项然后点击Next，然后会便开始进行处理，（如果使用的系统是R2的服务器必须打上SP2补丁）

首先它将生成一个安全配置数据库，在这里我们可以选择“查看配置数据库”，里面显示了所有的角色设置，包括已经安装和未安装以及启用与禁用的。

这个数据库就是一个参考，为我们后面的选择配置提供参照了简介。

继续下一步，再次出现一个Welcome界面，

在这里，便开始进入到另一个阶段

了，

创建SCW 安全策略文件

如何创建SCW 安全策略文件。

创建安全策略

1.依次单击“开始”、“管理工具”，然后单击“安全配置向导”。

2.阅读“欢迎”页，然后单击“下一步”。

3.选择“创建新的安全策略”，然后单击“下一步”。

4.键入原型服务器的名称，然后单击“下一步”。

5.等待安全配置数据库处理完毕，然后单击“下一步”。

6.对于接下来的五个向导页的每一页，只需单击“下一步”即可：

∙“基于角色的服务配置”页。

∙“选择服务器角色”页。

∙“选择客户端功能”页。

∙“选择管理和其他选项”页。

∙“选择其他服务”页。

7.在“处理未指定的服务”页上，单击“下一步”。

8.对于接下来的20 个向导页的每一页，只需单击“下一步”即可：

∙“确认服务更改”页。

∙“网络安全”页。

∙“打开端口并确认应用程序”页。

∙“确认服务更改”页。

∙“确认端口配置”页。

∙“注册表设置”页。

∙“要求SMB 安全签名”页。

∙“要求LDAP 签名”页。

∙“出站身份验证方法”页。

∙“使用域帐户的出站身份验证方法”页。

∙“注册表设置摘要”页。

∙“审核策略”页。

∙“系统审核策略”页。

∙“审核策略摘要”页。

∙“Internet 信息服务”页。

∙“选择动态内容的Web 服务扩展”页。

∙“选择一个要保留的虚拟路径”页。

∙“阻止匿名用户访问内容文件”页。

∙“IIS 设置摘要”页。

∙“保存安全策略”页。

9.在“安全策略文件名”页上，键入原型策略的名称，然后单击“下一步”。

不要使用原型计算机的名称命名安全策略，因为scwcmd.exe 使用computername.xml保存分析结果，而您也不希望安全策略与分析结果具有相同的名称。这样会造成混乱或覆盖的风险。

10.在“正在完成安全配置向导”页上，单击“完成”。

部署SCW 安全策略文件

使用SCW 创建的安全策略文件将生成为 .XML 文件，这些文件默认保存

到%systemdir%\security\msscw\Policies 中。可以使用SCW 用户界面或SCW 中随附的scwcmd.exe 命令行工具部署这些文件。

使用SCW 用户界面

此方法最适合于单个服务器。要将SCW 安全策略应用到多个服务器，请改用命令行方法或组策略。

将SCW 安全策略应用到服务器

1.依次单击“开始”、“管理工具”，然后单击“安全配置向导”。

2.阅读“欢迎页”，然后单击“下一步”。

3.在“配置操作”页上，选择“应用现有安全策略”，键入该策略的完整路径和文件名，然后单击“下一步”。

4.在“选择服务器”页上，键入要应用策略的服务器的名称，然后单击“下一步”。