Windows 2003安全配置向导(SCW)

更新时间：2024-02-01 15:43:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

windows10推荐度：
相关推荐

易用性和安全性的平衡

——Windows 2003安全配置向导（SCW）

作者：

“在试图发现并利用网络或计算机系统中的每一个开放的端口，每一个细小的漏洞的过程中，黑客们对各种复杂的技术进行了细致的解剖。在做这些事情的时候，他们就像神经外科专家做手术时那么精确。”

—— ＪｏｅｌＳｃａｍｂｒａｙ

微软公司在设计和开发产品时是以最大限度的易用性为出发点的，正是因为这一点，它们才会如此地受到欢迎。很多人都忽略了一个这样的事实：安全问题是一种“零和”游戏——越是容易使用的东西，对它进行安全防护所需花费的时间和努力也就越多。如果把100%的安全性和100%易用性看做信息安全问题的两个极端，那么，100%的安全性就意味着0的易用性，而100%的易用性则相当于0安全性。我相信微软不会一直玩着这个游戏，下面我们就用Windows 2003安全配置向导（SCW）来这一游戏规则吧。

剖析了解SCW

近日微软终于发布Windows Server 2003中文补丁包SP1，除了对系统中存在的漏洞进行修补外，还新增了一些实用功能，特别是安全配置向导（Security Configuration Wizard，简称SCW）功能，它成为Windows 2003 SP1新增功能中的亮点。

安全配置向导（SCW）是一个新增的安全配置功能，它可以最大限度地缩小服务器的受攻击面。其实做安全管理的人士都明白一个原则，已知的远程攻击手段都与系统中运行的服务有关，因此，只要阻断有关的访问通道或者禁用有关的服务，就不会给相关的攻击手段留下可乘之机。利用SCW所提供的功能，网管能非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对巩固服务器的安全有极大的帮助。同时，由于整个配置过程都是在向导对话框中完成的，无需繁琐的手工设置，非专业的安全管理人员一样可以顺利完成服务器加固工作。

开启SCW

要使用SCW功能集成到Windows 2003系统的SP1补丁包，但做到这一步还暂时不能使用，我们要手动的开启SCW服务功能。用户需要通过“添加/删除Windows组件”功能手工安装SCW，进入“添加/删除Windows组件”页面，在

“Windows组件向导”对话框中选中“安全配置向导”选项，点击“下一步”按钮后，就能轻松完成SCW组件的安装（如图1）。

运行SCW也很简单，有两种方法：1. 在“管理工具”窗口中运行“安全配置向导”；2. 点击“开始→运行”，在运行对话框中运行“SCW.exe”命令。在弹出的“欢迎使用安全配置向导”对话框中，点击“下一步”按钮，进入“配置操作”对话框。由于我们是第一次运行SCW功能，因此在“配置操作”对话框中要选择“创建新的安全策略”（如图2）。提示：在调试过程中可能会用到“策略回滚”，SCW不存在只能进行一次回滚的限制。但是，为避免管理开销，应避免不必要的策略回滚。请在每个 SCW 会话期间进行多项更改，而不要多次运行 SCW 且每次都创建单独的策略。

选择服务器

首先我们要选择目标，也就是选择将要进行安全配置的Windows 2003服务器。当然如果处于域管理模型下，对于其他服务器的管理就更加得心应手了。接着上面的操作，点击“下一步”按钮后，进入“选择服务器”对话框。在这里选择要进行安全配置的Windows 2003服务器（可以是本地服务器，也可是网络中的其他服务器）。在“服务器”栏中输入要进行安全配置的Windows 2003服务器的机器名或IP地址。接着点击“下一步”按钮，SCW就开始处理安全配置数据库。完成后，进入“基于角色的服务配置”对话框，才真正开始使用SCW向导安全加固服务器的工作了。

选择配置角色

Windows 2003服务器提供了数量众多的服务器角色，如文件服务器、DHCP服务器等。前面我们已经谈到了提供最小服务的安全性比率较高，但是，如果不是因为资源紧张，而需要一台服务器提供多种功能（如Web和数据库运行在一台Server上）反而会增加服务器的安全隐患，手工加固的工作量就会加大，但我们现在可以利用SCW的“选择服务器角色”向导就能轻松完成角色的选择。

在“基于角色的服务配置”向导中可以对Windows 2003服务器角色、客户端功能、系统服务等内容进行配置。点击“下一步”按钮，进入“选择服务器角色”对话框（如图3），在列表框中选择Windows 2003服务器所执行的角色（如文件服务器、打印服务器等）。根据自己的需要，在角色列表框中勾选需要的服务器角色选项，确保相应的Windows 2003服务器功能并开放相应的服务端口。

点击“下一步”后，选择Windows 2003服务器的“客户端功能”。设置Windows 2003系统作为客户端所要扮演的角色（如组策略客户端、FTP客户端

等），在列表框中选定所需要的客户端功能即可。点击 “下一步”后，进入“选择管理和其它选项”对话框，选择所需要的Windows 2003服务。

下面还要配置Windows 2003系统的额外服务，配置完成后进入“处理未指定的服务”对话框。“未指定的服务”是指没有在安全配置数据库中列出的服务（如杀毒与软件防火墙等提供的服务）。这里建议选中“不更改此服务的启用模式”选项，这样该服务会按照以前的状态运行。

开放必要端口

我们在启用Windows 2003的防火墙后，就会在SCW中遇到为实现服务功能必须为用户开启服务端口。默认情况下，Windows防火墙是不允许这些服务端口通信的。因此，我们可以在SCW向导中开放通信端口。

进入“网络安全”对话框，在此可配置已经选中的服务器角色和其他

Windows 2003服务所使用的端口。点击“下一步”按钮后，在“打开端口并允许应用程序”对话框中开放需要的端口（如图4）。如FTP服务器需要的“20和21”端口，IIS服务需要的“80”端口，以及一些备份软件需要开启的135、139等NetBIOS端口，我们只要在列表框中选择要开放的端口选项即可，最后确认端口配置。

加固注册表

很多网站上和一些安全服务公司提供加固Windows服务器的操作方法，都是利用修改注册表和组策略的方法增强服务器安全，但这种方法存在很大的风险性，错误修改了某个键值或安全策略，会导致服务器意想不到的问题。利用SCW的注册表设置向导进行修改，我们就可以摆脱这一困扰大家的难题。完成以上网络安全设置后，就进入到注册表设置向导对话框，利用设置向导来修改某些特殊的注册表键值，增强服务器安全。“注册表设置摘要”（如

图5）页为您提供了这样的机会：可以查看此安全策略在应用于选定服务器时将对特定注册表设置进行的所有更改。安全配置向导 (SCW) 显示每个注册表值的当前设置和由策略定义的设置值。在应用安全策略之前，不会对选定的服务器进行任何更改。因此，我们如果一个或多个注册表设置更改不正确，则可以通过更改此部分中前面页面上的选择来修改这些设置。

配置审核策略

服务器的日志就像飞机上的“黑匣子”，可以记录系统中发生的一切，为服务器的稳定运行提供帮助。一旦出现黑客入侵，找到漏洞最快捷的方法也是从日志分析入手。但是记录太多的事件会浪费服务器资源，因此网管可以合理地选择审核目标，记录一些重要事件，也可以用第三方的日志管理软件。不过SCW并没有自动的加大日志文件的存储空间，这些还是需要我们手工处理才可解决。

SCW提供了系统审核策略配置功能，这样就免去了在组策略里编辑审核目标的麻烦。进入“系统审核策略”配置对话框后，合理选择审核目标即可。建议这里选择“审核成功的操作”选项，这样一来，日志只记录成功的事件操作，而其他则会被忽略，节省了服务器资源。当然，如果有特殊需要，也可以选择其他“不审核”或“审核成功或不成功的操作”选项。

摆脱脆弱的IIS

IIS的漏洞之多可以算是“臭名昭著”了，当你的高档硬件防火墙经过仔细的策略配置之后，黑客也只能从Web着手他们的工作了。如果系统中已安装、运行了IIS服务器，完成了系统审核策略配置后，SCW就会对IIS服务进行安全配置，保证它能稳定运行。

进入“Internet信息服务”配置向导对话框后，按照提示和服务器的需要，分别设置IIS要启用的Web服务扩展、要保留的虚拟目录（如图6），以及设置匿名用户是否有写权限。以上设置过程比较简单，根据实际需要，启用所要的IIS项目即可。

注：有的时候我感到ＳＣＷ很多的地方非常像，微软提供了“服务器安全性自查表”，经过对比之后，发现果真如此！ＳＣＷ可以说按照“自查表”多了有针对性的配置功能，真是“踏破铁鞋无觅处，得来全不费功夫。

配置审核策略

摆脱脆弱的IIS

本文来源：https://www.bwwdw.com/article/2pdw.html

相关文章：