Windows server 2003 安全配置向导部署.doc

《Windows server 2003 安全配置向导部署.doc》由会员分享，可在线阅读，更多相关《Windows server 2003 安全配置向导部署.doc（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-作者xxxx-日期xxxxWindows server 2003 安全配置向导部署【精品文档】Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具，可减少Windows Server 2003 的计算机的攻击面。它可确定服务器的一个或多个角色所需的最少功能，并且禁用不需要的功能。特别是，SCW 有助于创建和部署具有如下功能的安全策略： 禁用不需要的服务。 阻止不使用的端口。 允许保持打开状态的端口的其他地址或安全限制。 禁止不需要的 Internet 信息服务 (IIS) Web 扩展（如果适用）。 减少对于服务器消息块 (SMB)、LAN Manag

2、er 和轻型目录访问协议 (LDAP) 的协议暴露。 定义高信噪比审核策略。SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 Windows Server2003 的计算机上的过程。安装和运行 SCW 的要求SCW 随 Windows Server2003SP1 一起提供，但是仅用于运行带有 SP1 的 Windows Server2003 的计算机。它并非旨在用于 Microsoft Small Business Server 或 WindowsXP Professional 之类的客户

3、端操作系统。SCW 部署概述SCW即为SecurityConfigurationWizard，安全配置向导。SCW主要功能：配置服务（Services）、网络安全（Networksecurity）、审核（Auditing）、注册表（Registry）. 使用全策略来完成这些目标。SCW安装步骤：1 添加删除Windows组件2 添加“安全配置向导”SCW 部署打开 - 开始 - 所有程序管理工具 安全配置向导，启动SCW后，将会看到下图的这样一个欢迎界面：在这里，我们可以创建一个安全策略（Create）；编辑一个安全策略（Edit）；应用现有安全策略（Apply）；回滚（Rollback）。选

4、择创建安全策略的话，安全策略将以XML格式文件保存，使用.xml扩展名，默认的安全模板存储位于C:Windowssecuritymsscwpolicies，最好是为每一个策略提供一个描述，这样对于拥有多策略的情况下是非常有用的。在这里我们要创建一新的策略，选取第一选项然后点击Next，然后会便开始进行处理，（如果使用的系统是R2的服务器必须打上SP2补丁）首先它将生成一个安全配置数据库，在这里我们可以选择“查看配置数据库”，里面显示了所有的角色设置，包括已经安装和未安装以及启用与禁用的。这个数据库就是一个参考，为我们后面的选择配置提供参照了简介。继续 下一步，再次出现一个Welcome界面，

5、在这里，便开始进入到另一个阶段了，创建 SCW 安全策略文件如何创建 SCW 安全策略文件。创建安全策略 1. 依次单击“开始”、“管理工具”，然后单击“安全配置向导”。2. 阅读“欢迎”页，然后单击“下一步”。3. 选择“创建新的安全策略”，然后单击“下一步”。4. 键入原型服务器的名称，然后单击“下一步”。5. 等待安全配置数据库处理完毕，然后单击“下一步”。6. 对于接下来的五个向导页的每一页，只需单击“下一步”即可： “基于角色的服务配置”页。 “选择服务器角色”页。 “选择客户端功能”页。 “选择管理和其他选项”页。 “选择其他服务”页。7. 在“处理未指定的服务”页上，单击“下一步

6、”。8. 对于接下来的 20 个向导页的每一页，只需单击“下一步”即可： “确认服务更改”页。 “网络安全”页。 “打开端口并确认应用程序”页。 “确认服务更改”页。 “确认端口配置”页。 “注册表设置”页。 “要求 SMB 安全签名”页。 “要求 LDAP 签名”页。 “出站身份验证方法”页。 “使用域帐户的出站身份验证方法”页。 “注册表设置摘要”页。 “审核策略”页。 “系统审核策略”页。 “审核策略摘要”页。 “Internet 信息服务”页。 “选择动态内容的 Web 服务扩展”页。 “选择一个要保留的虚拟路径”页。 “阻止匿名用户访问内容文件”页。 “IIS 设置摘要”页。 “保存

7、安全策略”页。9. 在“安全策略文件名”页上，键入原型策略的名称，然后单击“下一步”。不要使用原型计算机的名称命名安全策略，因为 scwcmd.exe 使用 保存分析结果，而您也不希望安全策略与分析结果具有相同的名称。这样会造成混乱或覆盖的风险。10. 在“正在完成安全配置向导”页上，单击“完成”。部署 SCW 安全策略文件使用 SCW 创建的安全策略文件将生成为 .XML 文件，这些文件默认保存到 %systemdir%securitymsscwPolicies 中。可以使用 SCW 用户界面或 SCW 中随附的 scwcmd.exe 命令行工具部署这些文件。使用 SCW 用户界面此方法最适

8、合于单个服务器。要将 SCW 安全策略应用到多个服务器，请改用命令行方法或组策略。将 SCW 安全策略应用到服务器 1. 依次单击“开始”、“管理工具”，然后单击“安全配置向导”。 2. 阅读“欢迎页”，然后单击“下一步”。3. 在“配置操作”页上，选择“应用现有安全策略”，键入该策略的完整路径和文件名，然后单击“下一步”。4. 在“选择服务器”页上，键入要应用策略的服务器的名称，然后单击“下一步”。 5. 在“应用安全策略”页上，单击“下一步”。 6. 在“正在应用安全策略”页上，等待处理完成，然后单击“下一步”。 7. 在“正在完成安全配置向导”页上，单击“完成”。SCW 安全策略文件到组

9、策略对象 (GPO) 的转换SCW 安全策略文件转换为 GPO。SCW 将其安全策略保存为 .xml 文件，并且 Scwcmd.exe 命令行工具允许使用 scwcmd transform 命令转换这些文件并将其保存为 GPO。SCW 用户界面本身不支持 GPO。Scwcmd transform。创建新的 GPO 并定义这些组策略扩展的设置： 安全设置。包含服务设置、注册表值、审核策略和已导入到 SCW XML 策略的安全模板设置。 IP 安全策略。包含 SCW 策略中定义的 IPsec 配置。 Windows 防火墙。包含 SCW 策略中定义的 Windows 防火墙设置。 所有在 SCW

10、策略中定义的 Internet 信息服务 (IIS) 设置都会在 scwcmd transform 操作期间丢失，因为组策略不支持配置 IIS 设置。创建 GPO 之后，管理员必须使用“Active Directory 用户和计算机”或“组策略管理控制台 (GPMC)”将 GPO 手动链接到目标组织单位 (OU)。以本地组策略格式保存 SCW 安全策略 在命令提示符下，键入scwcmd transform /p:PathAndPolicyFileName /g:GPODisplayName其中，PathAndPolicyFileName 是您先前使用 SCW 创建的策略，包括它的 .xml 文

11、件扩展名，而 GPODisplayName 是组策略对象 (GPO) 在组策略对象编辑器或组策略管理控制台 (GPMC) 中出现时所使用的名称。将组策略和 Active Directory 与 SCW 一起使用SCW 并非组策略中可用安全设置的替代；它是一个补充 Active Directory 及其策略结构的安全工具，增强常见 Active Directory 工具（例如，Active Directory 用户和计算机管理单元）对您的功用。Active Directory 最佳操作包括使用“Active Directory 用户和计算机”将计算机对象分为多个组织单位 (OU) 以便于管理。这

12、样有助于使用组策略对象 (GPO) 部署 SCW 策略。您可以通过使用 SCW 用户界面将服务器变为原型服务器来创建 SCW 安全策略，然后使用 scwcmd.exe 将其转换为 GPO，最后将 GPO 链接到 OU。如果 OU 中的所有服务器在功能上都相似，那么这些服务器都会接收 SCW 创建的安全策略。组策略对象编辑器组策略对象编辑器是随 Active Directory 一起提供的用户和计算机配置管理工具。组策略设置包括组策略对象编辑器中的安全设置，尽管这些安全设置在显示和处理上与多数其他组策略设置不同。例如，安全设置在注册表中持久有效，但是每当刷新策略时，都会重新写入组策略管理模板设置

13、。组策略对象编辑器用于编辑所有组策略对象，包括那些从 SCW 格式转换来的对象。因此，SCW 通过提供适合于服务器类型的 GPO，使得组策略对象编辑器更加有用。组策略管理控制台组策略管理控制台 (GPMC) 满足了在 Active Directory 环境中易于分析、规划和备份策略的需求，在这种环境中，经常将多个 GPO 应用到同一个系统，并且自定义的 OU 排列会影响继承。可以通过免费下载来获得 GPMC。它支持所有企业范围的组策略任务，但不支持编辑单个 GPO，该操作仍由组策略对象编辑器执行。GPMC 专门用于将 GPO 链接到 OU。链接是一种机制，GPO 通过这种机制应用到 OU 内的

14、用户和计算机。如果使用组策略对象编辑器编辑包含 SCW 安全策略的 GPO，则请注意在组策略对象编辑器中手动创建的安全设置优先于使用 SCW 应用的相同设置。 如果 SCW 创建的设置转换为 GPO，则按照一般 GPO 继承规则做出优先使用哪类设置的决策。安全模板和优先顺序除了使用 SCW 创建安全策略之外，您还可以使用安全模板来应用安全设置。安全模板是一些 .inf 文件，例如，默认位于 %systemroot%securitytemplates 中的 securedc.inf。您可以在以下位置查看组策略对象编辑器和 GPMC 中的安全模板设置： GPO 名称计算机配置Windows 设置安

15、全设置使用 SCW 用户界面（而不使用安全模板）执行的配置更改与单独使用安全模板执行的配置更改部分重叠。每个配置更改集都不能完全包含另一个配置更改集。例如，SCW 用户界面包括并未包括在任何安全模板中的 IIS 设置。相反，安全模板可以包括诸如软件限制策略之类的项目，这些项目不能通过 SCW 用户界面进行配置。有些配置更改 例如，IP 安全 (IPsec) 策略 可以使用以下三种方法设置：使用 SCW 用户界面；将安全模板附加到本地 SCW 策略文件（.xml 文件）；或同时使用上述两种方法。但是，如果同时使用这两种方法，便可使用本部分稍后说明的优先顺序规则来解决冲突的策略设置。此外，scwc

16、md.exe 命令行工具及其转换选项支持通过 SCW 策略创建新的、未链接的 GPO。这表示实际上有三种使用安全模板的方法： 如果您熟悉组策略，并且已使用过组策略对象编辑器和 GPMC，则也应当能够通过右键单击“安全设置”，单击“导入策略”，然后浏览到 .inf 文件将安全模板附加到 GPO。 第二种方法是通过单击“包括安全模板”，然后单击“添加”，在 SCW“安全策略文件名”页的 SCW 策略中包括一个安全模板。对于组策略方法，然后浏览到 .inf 文件。 第三种方法是将模板附加到 .xml 策略文件（如上所述），然后在命令行上键入 scwcmd transform /p:policyfil

17、e.xml /g:GPOdisplayname 来创建 GPO，再使用 GPMC 链接 GPO。在采用组策略、SCW 以及多个安全模板的环境中，使用下列指导准则来预测安全设置的优先顺序： 通过基于 Active Directory 的 GPO 应用的安全策略优先于通过 SCW 策略文件（.xml 文件）应用的安全策略。 每个 GPO 是否通过 scwcmd.exe 创建不会影响 GPO 中的优先顺序：只有标准的 Active Directory 继承规则（其中连续应用本地、站点、域以及组织单位 GPO）和链接顺序才能确定 GPO 的优先顺序。 SCW 用户界面中设置的安全策略优先于附加到 .x

18、ml 策略文件的 .inf 安全模板中设置的冲突策略。 如果将多个安全模板附加到 .xml 安全模板，则在“包括安全模板”对话框中较高位置上列出的模板优先于在列表中较低位置上出现的模板。回滚注意事项回滚 SCW 策略并非例程 SCW 部署的一部分，但是您可能会遇到需要回滚 SCW 安全策略的情况。在这些情况下，请记住下列回滚注意事项。 安全设置在注册表中持久有效。这种行为被称为“纹身处理”。如果通过组策略应用了 SCW 安全设置，便会对注册表进行纹身处理，并且无法回滚这一行为。促进 SCW 策略回滚的最佳操作是将服务器类型的策略设置仅放入一个而不是多个 SCW 策略文件。 可以通过 SCW 用

19、户界面，或使用 scwcmd rollback 命令通过命令行工具来执行回滚。键入 scwcmd rollback 查看如何使用回滚参数。支持回滚的 XML 文件默认在 %systemdir%securitymsscwRollbackFiles 中创建并存储。SCW 和 scwcmd.exe 会对上述位置进行搜索，这样，您通常无需亲自对这些文件执行任何操作。它只是用于提供信息。回滚安全策略之后，如果某些服务未按预期方式运行，请检查手动启动的服务是否已停止。如果在应用禁用手动启动服务的安全策略之后回滚该策略，那么这些服务可能需要手动重新启动。对于 Windows 防火墙和 Internet 信息

20、服务 (IIS) 设置，需要考虑一些特殊的回滚注意事项：Windows 防火墙请记住，SCW 策略会影响基于服务器角色、许可的应用程序以及端口行为的 Windows 防火墙和 IPsec 设置。如果对 SCW 以外的 Windows 防火墙和 IPsec 执行了更改，则系统在回滚 SCW 策略之后可能无法按预期方式运行。Internet 信息服务 (IIS)将 .XML 策略文件转换为 GPO 之后，SCW 策略内的 IIS 设置便会丢失。这表示 GPMC 既不支持 IIS 设置的应用，也不支持 IIS 设置的回滚。要应用或回滚 IIS 设置，需要使用 SCW 用户界面或在命令行上使用 scwcmd configure。如果已在 SCW 的“选择服务器角色”页上选择了 Web 服务器角色，将只显示 SCW 的 IIS 部分。【精品文档】