Windows server 2003 安全配置向?qū)Р渴?doc

Windows server 2003 安全配置向?qū)Р渴鸢踩渲孟驅(qū)?(SCW) 是一個(gè)工具，可減少Windows Server 2003 的計(jì)算機(jī)的攻擊面。它可確定服務(wù)器的一個(gè)或多個(gè)角色所需的最少功能，并且禁用不需要的功能。特別是，SCW 有助于創(chuàng)建和部署具有如下功能的安全策略： 禁用不需要的服務(wù)。 阻止不使用的端口。 允許保持打開狀態(tài)的端口的其他地址或安全限制。 禁止不需要的 Internet 信息服務(wù) (IIS) Web 擴(kuò)展（如果適用）。 減少對(duì)于服務(wù)器消息塊 (SMB)、LAN Manager 和輕型目錄訪問(wèn)協(xié)議 (LDAP) 的協(xié)議暴露。 定義高信噪比審核策略。SCW 會(huì)指導(dǎo)您完成基于選定的服務(wù)器角色創(chuàng)建、編輯、應(yīng)用或回滾安全策略的過(guò)程。本部署指南將指導(dǎo)您完成將 SCW 和 SCW 策略部署到運(yùn)行帶有 SP1 的 Windows Server2003 的計(jì)算機(jī)上的過(guò)程。安裝和運(yùn)行 SCW 的要求SCW 隨 Windows Server2003SP1 一起提供，但是僅用于運(yùn)行帶有 SP1 的 Windows Server2003 的計(jì)算機(jī)。它并非旨在用于 Microsoft Small Business Server 或 WindowsXP Professional 之類的客戶端操作系統(tǒng)。SCW 部署概述SCW即為SecurityConfigurationWizard，安全配置向?qū)?。SCW主要功能：配置服務(wù)（Services）、網(wǎng)絡(luò)安全（Networksecurity）、審核（Auditing）、注冊(cè)表（Registry）. 使用全策略來(lái)完成這些目標(biāo)。SCW安裝步驟：1 添加刪除Windows組件2 添加“安全配置向?qū)А盨CW 部署打開 - 開始 - 所有程序管理工具 安全配置向?qū)?，啟?dòng)SCW后，將會(huì)看到下圖的這樣一個(gè)歡迎界面：在這里，我們可以創(chuàng)建一個(gè)安全策略（Create）；編輯一個(gè)安全策略（Edit）；應(yīng)用現(xiàn)有安全策略（Apply）；回滾（Rollback）。選擇創(chuàng)建安全策略的話，安全策略將以XML格式文件保存，使用.xml擴(kuò)展名，默認(rèn)的安全模板存儲(chǔ)位于C:Windowssecuritymsscwpolicies，最好是為每一個(gè)策略提供一個(gè)描述，這樣對(duì)于擁有多策略的情況下是非常有用的。在這里我們要?jiǎng)?chuàng)建一新的策略，選取第一選項(xiàng)然后點(diǎn)擊Next，然后會(huì)便開始進(jìn)行處理，（如果使用的系統(tǒng)是R2的服務(wù)器必須打上SP2補(bǔ)?。┦紫人鼘⑸梢粋€(gè)安全配置數(shù)據(jù)庫(kù)，在這里我們可以選擇“查看配置數(shù)據(jù)庫(kù)”，里面顯示了所有的角色設(shè)置，包括已經(jīng)安裝和未安裝以及啟用與禁用的。這個(gè)數(shù)據(jù)庫(kù)就是一個(gè)參考，為我們后面的選擇配置提供參照了簡(jiǎn)介。繼續(xù) 下一步，再次出現(xiàn)一個(gè)Welcome界面， 在這里，便開始進(jìn)入到另一個(gè)階段了，創(chuàng)建 SCW 安全策略文件如何創(chuàng)建 SCW 安全策略文件。創(chuàng)建安全策略 1. 依次單擊“開始”、“管理工具”，然后單擊“安全配置向?qū)А薄?. 閱讀“歡迎”頁(yè)，然后單擊“下一步”。3. 選擇“創(chuàng)建新的安全策略”，然后單擊“下一步”。4. 鍵入原型服務(wù)器的名稱，然后單擊“下一步”。5. 等待安全配置數(shù)據(jù)庫(kù)處理完畢，然后單擊“下一步”。6. 對(duì)于接下來(lái)的五個(gè)向?qū)ы?yè)的每一頁(yè)，只需單擊“下一步”即可： “基于角色的服務(wù)配置”頁(yè)。 “選擇服務(wù)器角色”頁(yè)。 “選擇客戶端功能”頁(yè)。 “選擇管理和其他選項(xiàng)”頁(yè)。 “選擇其他服務(wù)”頁(yè)。7. 在“處理未指定的服務(wù)”頁(yè)上，單擊“下一步”。8. 對(duì)于接下來(lái)的 20 個(gè)向?qū)ы?yè)的每一頁(yè)，只需單擊“下一步”即可： “確認(rèn)服務(wù)更改”頁(yè)。 “網(wǎng)絡(luò)安全”頁(yè)。 “打開端口并確認(rèn)應(yīng)用程序”頁(yè)。 “確認(rèn)服務(wù)更改”頁(yè)。 “確認(rèn)端口配置”頁(yè)。 “注冊(cè)表設(shè)置”頁(yè)。 “要求 SMB 安全簽名”頁(yè)。 “要求 LDAP 簽名”頁(yè)。 “出站身份驗(yàn)證方法”頁(yè)。 “使用域帳戶的出站身份驗(yàn)證方法”頁(yè)。 “注冊(cè)表設(shè)置摘要”頁(yè)。 “審核策略”頁(yè)。 “系統(tǒng)審核策略”頁(yè)。 “審核策略摘要”頁(yè)。 “Internet 信息服務(wù)”頁(yè)。 “選擇動(dòng)態(tài)內(nèi)容的 Web 服務(wù)擴(kuò)展”頁(yè)。 “選擇一個(gè)要保留的虛擬路徑”頁(yè)。 “阻止匿名用戶訪問(wèn)內(nèi)容文件”頁(yè)。 “IIS 設(shè)置摘要”頁(yè)。 “保存安全策略”頁(yè)。9. 在“安全策略文件名”頁(yè)上，鍵入原型策略的名稱，然后單擊“下一步”。不要使用原型計(jì)算機(jī)的名稱命名安全策略，因?yàn)?scwcmd.exe 使用 computername.xml 保存分析結(jié)果，而您也不希望安全策略與分析結(jié)果具有相同的名稱。這樣會(huì)造成混亂或覆蓋的風(fēng)險(xiǎn)。10. 在“正在完成安全配置向?qū)А表?yè)上，單擊“完成”。部署 SCW 安全策略文件使用 SCW 創(chuàng)建的安全策略文件將生成為 .XML 文件，這些文件默認(rèn)保存到 %systemdir%securitymsscwPolicies 中?？梢允褂?SCW 用戶界面或 SCW 中隨附的 scwcmd.exe 命令行工具部署這些文件。使用 SCW 用戶界面此方法最適合于單個(gè)服務(wù)器。要將 SCW 安全策略應(yīng)用到多個(gè)服務(wù)器，請(qǐng)改用命令行方法或組策略。將 SCW 安全策略應(yīng)用到服務(wù)器 1. 依次單擊“開始”、“管理工具”，然后單擊“安全配置向?qū)А薄?2. 閱讀“歡迎頁(yè)”，然后單擊“下一步”。3. 在“配置操作”頁(yè)上，選擇“應(yīng)用現(xiàn)有安全策略”，鍵入該策略的完整路徑和文件名，然后單擊“下一步”。4. 在“選擇服務(wù)器”頁(yè)上，鍵入要應(yīng)用策略的服務(wù)器的名稱，然后單擊“下一步”。 5. 在“應(yīng)用安全策略”頁(yè)上，單擊“下一步”。 6. 在“正在應(yīng)用安全策略”頁(yè)上，等待處理完成，然后單擊“下一步”。 7. 在“正在完成安全配置向?qū)А表?yè)上，單擊“完成”。SCW 安全策略文件到組策略對(duì)象 (GPO) 的轉(zhuǎn)換SCW 安全策略文件轉(zhuǎn)換為 GPO。SCW 將其安全策略保存為 .xml 文件，并且 Scwcmd.exe 命令行工具允許使用 scwcmd transform 命令轉(zhuǎn)換這些文件并將其保存為 GPO。SCW 用戶界面本身不支持 GPO。Scwcmd transform。創(chuàng)建新的 GPO 并定義這些組策略擴(kuò)展的設(shè)置： 安全設(shè)置。包含服務(wù)設(shè)置、注冊(cè)表值、審核策略和已導(dǎo)入到 SCW XML 策略的安全模板設(shè)置。 IP 安全策略。包含 SCW 策略中定義的 IPsec 配置。 Windows 防火墻。包含 SCW 策略中定義的 Windows 防火墻設(shè)置。 所有在 SCW 策略中定義的 Internet 信息服務(wù) (IIS) 設(shè)置都會(huì)在 scwcmd transform 操作期間丟失，因?yàn)榻M策略不支持配置 IIS 設(shè)置。創(chuàng)建 GPO 之后，管理員必須使用“Active Directory 用戶和計(jì)算機(jī)”或“組策略管理控制臺(tái) (GPMC)”將 GPO 手動(dòng)鏈接到目標(biāo)組織單位 (OU)。以本地組策略格式保存 SCW 安全策略 在命令提示符下，鍵入scwcmd transform /p:PathAndPolicyFileName /g:GPODisplayName其中，PathAndPolicyFileName 是您先前使用 SCW 創(chuàng)建的策略，包括它的 .xml 文件擴(kuò)展名，而 GPODisplayName 是組策略對(duì)象 (GPO) 在組策略對(duì)象編輯器或組策略管理控制臺(tái) (GPMC) 中出現(xiàn)時(shí)所使用的名稱。將組策略和 Active Directory 與 SCW 一起使用SCW 并非組策略中可用安全設(shè)置的替代；它是一個(gè)補(bǔ)充 Active Directory 及其策略結(jié)構(gòu)的安全工具，增強(qiáng)常見 Active Directory 工具（例如，Active Directory 用戶和計(jì)算機(jī)管理單元）對(duì)您的功用。Active Directory 最佳操作包括使用“Active Directory 用戶和計(jì)算機(jī)”將計(jì)算機(jī)對(duì)象分為多個(gè)組織單位 (OU) 以便于管理。這樣有助于使用組策略對(duì)象 (GPO) 部署 SCW 策略。您可以通過(guò)使用 SCW 用戶界面將服務(wù)器變?yōu)樵头?wù)器來(lái)創(chuàng)建 SCW 安全策略，然后使用 scwcmd.exe 將其轉(zhuǎn)換為 GPO，最后將 GPO 鏈接到 OU。如果 OU 中的所有服務(wù)器在功能上都相似，那么這些服務(wù)器都會(huì)接收 SCW 創(chuàng)建的安全策略。組策略對(duì)象編輯器組策略對(duì)象編輯器是隨 Active Directory 一起提供的用戶和計(jì)算機(jī)配置管理工具。組策略設(shè)置包括組策略對(duì)象編輯器中的安全設(shè)置，盡管這些安全設(shè)置在顯示和處理上與多數(shù)其他組策略設(shè)置不同。例如，安全設(shè)置在注冊(cè)表中持久有效，但是每當(dāng)刷新策略時(shí)，都會(huì)重新寫入組策略管理模板設(shè)置。組策略對(duì)象編輯器用于編輯所有組策略對(duì)象，包括那些從 SCW 格式轉(zhuǎn)換來(lái)的對(duì)象。因此，SCW 通過(guò)提供適合于服務(wù)器類型的 GPO，使得組策略對(duì)象編輯器更加有用。組策略管理控制臺(tái)組策略管理控制臺(tái) (GPMC) 滿足了在 Active Directory 環(huán)境中易于分析、規(guī)劃和備份策略的需求，在這種環(huán)境中，經(jīng)常將多個(gè) GPO 應(yīng)用到同一個(gè)系統(tǒng)，并且自定義的 OU 排列會(huì)影響繼承?？梢酝ㄟ^(guò)免費(fèi)下載來(lái)獲得 GPMC。它支持所有企業(yè)范圍的組策略任務(wù)，但不支持編輯單個(gè) GPO，該操作仍由組策略對(duì)象編輯器執(zhí)行。GPMC 專門用于將 GPO 鏈接到 OU。鏈接是一種機(jī)制，GPO 通過(guò)這種機(jī)制應(yīng)用到 OU 內(nèi)的用戶和計(jì)算機(jī)。如果使用組策略對(duì)象編輯器編輯包含 SCW 安全策略的 GPO，則請(qǐng)注意在組策略對(duì)象編輯器中手動(dòng)創(chuàng)建的安全設(shè)置優(yōu)先于使用 SCW 應(yīng)用的相同設(shè)置。 如果 SCW 創(chuàng)建的設(shè)置轉(zhuǎn)換為 GPO，則按照一般 GPO 繼承規(guī)則做出優(yōu)先使用哪類設(shè)置的決策。安全模板和優(yōu)先順序除了使用 SCW 創(chuàng)建安全策略之外，您還可以使用安全模板來(lái)應(yīng)用安全設(shè)置。安全模板是一些 .inf 文件，例如，默認(rèn)位于 %systemroot%securitytemplates 中的 securedc.inf。您可以在以下位置查看組策略對(duì)象編輯器和 GPMC 中的安全模板設(shè)置： GPO 名稱計(jì)算機(jī)配置Windows 設(shè)置安全設(shè)置使用 SCW 用戶界面（而不使用安全模板）執(zhí)行的配置更改與單獨(dú)使用安全模板執(zhí)行的配置更改部分重疊。每個(gè)配置更改集都不能完全包含另一個(gè)配置更改集。例如，SCW 用戶界面包括并未包括在任何安全模板中的 IIS 設(shè)置。相反，安全模板可以包括諸如軟件限制策略之類的項(xiàng)目，這些項(xiàng)目不能通過(guò) SCW 用戶界面進(jìn)行配置。有些配置更改 例如，IP 安全 (IPsec) 策略 可以使用以下三種方法設(shè)置：使用 SCW 用戶界面；將安全模板附加到本地 SCW 策略文件（.xml 文件）；或同時(shí)使用上述兩種方法。但是，如果同時(shí)使用這兩種方法，便可使用本部分稍后說(shuō)明的優(yōu)先順序規(guī)則來(lái)解決沖突的策略設(shè)置。此外，scwcmd.exe 命令行工具及其轉(zhuǎn)換選項(xiàng)支持通過(guò) SCW 策略創(chuàng)建新的、未鏈接的 GPO。這表示實(shí)際上有三種使用安全模板的方法： 如果您熟悉組策略，并且已使用過(guò)組策略對(duì)象編輯器和 GPMC，則也應(yīng)當(dāng)能夠通過(guò)右鍵單擊“安全設(shè)置”，單擊“導(dǎo)入策略”，然后瀏覽到 .inf 文件將安全模板附加到 GPO。 第二種方法是通過(guò)單擊“包括安全模板”，然后單擊“添加”，在 SCW“安全策略文件名”頁(yè)的 SCW 策略中包括一個(gè)安全模板。對(duì)于組策略方法，然后瀏覽到 .inf 文件。 第三種方法是將模板附加到 .xml 策略文件（如上所述），然后在命令行上鍵入 scwcmd transform /p:policyfile.xml /g:GPOdisplayname 來(lái)創(chuàng)建 GPO，再使用 GPMC 鏈接 GPO。在采用組策略、SCW 以及多個(gè)安全模板的環(huán)境中，使用下列指導(dǎo)準(zhǔn)則來(lái)預(yù)測(cè)安全設(shè)置的優(yōu)先順序： 通過(guò)基于 Active Directory 的 GPO 應(yīng)用的安全策略優(yōu)先于通過(guò) SCW 策略文件（.xml 文件）應(yīng)用的安全策略。 每個(gè) GPO 是否通過(guò) scwcmd.exe 創(chuàng)建不會(huì)影響 GPO 中的優(yōu)先順序：只有標(biāo)準(zhǔn)的 Active Directory 繼承規(guī)則（其中連續(xù)應(yīng)用本地、站點(diǎn)、域以及組織單位 GPO）和鏈接順序才能確定 GPO 的優(yōu)先順序。 SCW 用戶界面中設(shè)置的安全策略優(yōu)先于附加到 .xml 策略文件的 .inf 安全模板中設(shè)置的沖突策略。 如果將多個(gè)安全模板附加到 .xml 安全模板，則在“包括安全模板”對(duì)話框中較高位置上列出的模板優(yōu)先于在列表中較低位置上出現(xiàn)的模板?；貪L注意事項(xiàng)回滾 SCW 策略并非例程 SCW 部署的一部分，但是您可能會(huì)遇到需要回滾 SCW 安全策略的情況。在這些情況下，請(qǐng)記住下列回滾注意事項(xiàng)。 安全設(shè)置在注冊(cè)表中持久有效。這種行為被稱為“紋身處理”。如果通過(guò)組策略應(yīng)用了 SCW 安全設(shè)置，便會(huì)對(duì)注冊(cè)表進(jìn)行紋身處理，并且無(wú)法回滾這一行為。促進(jìn) SCW 策略回滾的最佳操作是將服務(wù)器類型的策略設(shè)置僅放入一個(gè)而不是多個(gè) SCW 策略文件。 可以通過(guò) SCW 用戶界面，或使用 scwcmd rollback 命令通過(guò)命令行工具來(lái)執(zhí)行回滾。鍵入 scwcmd rollback 查看如何使用