windows 2003 服务器加固使用scw打造安全的铜墙铁壁

windows 2003 服务器加固使用scw打造安全的铜墙铁壁

为了加固服务器，尝试做安全策略，打补丁，防病毒等。 但它的安全性一直困扰着众多网管，如何在充分利用 Windows Server 2003 提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵。 Windows Server 2003 SP1 中文版补丁包的发布，恰好解决这个问题，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（ SCW ）功能。利用 SCW 功能的 “ 安全策略 ” 可以最大限度增强服务器的安全，并且配置过程非常简单。

首先，安装 scw

进入 “ 控制面板 ” 后，运行 “ 添加或删除程序 ” ，然后切换到 “ 添加 / 删除 Windows 组件 ” 页。下面在 “Windows 组件向导 ” 对话框中选中 “ 安全配置向导 ” 选项，最后点击 “ 下一步 ” 按钮后，就能轻松完成 “SCW” 组件的安装。

在 Windows Server 2003 服务器中，点击 “ 开始 → 运行 ” 后，在运行对话框中执行 “SCW.exe” 命令，就会弹出 “ 安全配置向导 ” 对话框，开始你的安全策略配置过程。当然你也可以进入 “ 控制面板 → 管理工具 ” 窗口后，执行 “ 安全配置向导 ” 快捷方式来启用 “SCW” 。

　　 1 ．新建第一个 “ 安全策略 ”

　　如果你是第一次使用 “SCW” 功能，首先要为 Windows Server 2003 服务器新建一个安全策略，安全策略信息是被保存在格式为 XML 的文件中的，并且它的默认存储位置是 “C:\WINDOWS\security\msscw\Policies” 。因此一个 Windows Server 2003 系统可以根据不同需要，创建多个 “ 安全策略 ” 文件，并且还可以对安全策略文件进行修改，但一次只能应用其中一个安全策略。

　　在 “ 欢迎使用安全配置向导 ” 对话框中点击 “ 下一步 ” 按钮，进入到 “ 配置操作 ” 对话框，因为是第一次使用 “SCW” ，这里要选择 “ 创建新的安全策略 ” 单选项，点击 “ 下一步 ” 按钮，就开始配置安全策略。

2 ．轻松配置 “ 角色 ”

下一步，选择需要的角色。

首先进入 “ 选择服务器 ” 对话框，在 “ 服务器 ” 栏中输入要进行安全配置的 Windows Server 2003 服务器的机器名或 IP 地址，点击 “ 下一步 ” 按钮后， “ 安全配置向导 ” 会处理安全配置数据库。

　　接着就进入到 “ 基于角色的服务配置 ” 对话框。在基于角色的服务配置中，可以对 Windows Server 2003 服务器角色、客户端角色、系统服务、应用程序，以及管理选项等内容进行配置。

　　所谓服务器 “ 角色 ” ，其实就是提供各种服务的 Windows Server 2003 服务器，如文件服务器、打印服务器、 DNS 服务器和 DHCP 服务器等 ， 一个 Windows Server 2003 服务器可以只提供一种服务器 “ 角色 ” ，也可以扮演多种服务器角色。点击 “ 下一步 ” 按钮后，就进入到 “ 选择服务器角色 ” 配置对话框，这时需要在 “ 服务器角色列表框 ” 中勾选你的 Windows Server 2003 服务器所扮演的角色。

注意：为了保证服务器的安全，只勾选你所需要的服务器角色即可，选择多余的服务器角色选项，会增加 Windows Server 2003 系统的安全隐患

3 ．配置网络安全

以上完成了基于角色的服务配置。但 Windows Server 2003 服务器包含的各种服务，都是通过某个或某些端口来提供服务内容的，为了保证服务器的安全， Windows 防火墙默认是不会开放这些服务端口的。下面就可以通过 “ 网络安全 ” 配置向导开放各项服务所需的端口，这种向导化配置过程与手工配置 Windows 防火墙相比，更加简单、方便和安全。

　　在 “ 网络安全 ” 对话框中，要开放选中的服务器角色

4 ．注册表设置

利用注册表设置向导，修改 Windows Server 2003 服务器注册表中某些特殊的键值，来严格限制用户的访问权限。用户只要根据设置向导提示，以及服务器的服务需要，分别对 “ 要求 SMB 安全签名 ” 、 “ 出站身份验证方法 ” 、 “ 入站身份验证方法 ” 进行严格设置，就能最大限度保证 Windows Server 2003 服务器的安全运行，并且免去手工修改注册表的麻烦。

5 ．启用 “ 审核策略 ”

在 “ 系统审核策略 ” 配置对话框中要合理选择审核目标，毕竟日志记录过多的事件会影响服务器的性能，因此建议用户选择 “ 审核成功的操作 ” 选项。当然如果有特殊需要，也可以选择其它选项。如 “ 不审核 ” 或 “ 审核成功或不成功的操作 ” 选项。

6 、 IIS 安全

在 “Internet 信息服务 ” 配置对话框中，通过配置向导，来选择你要启用的 Web 服务扩展、要保持的虚拟目录，以及设置匿名用户对内容文件的写权限。这样 IIS 服务器的安全性就大大增强。

　　小提示：如果你的 Windows Server 2003 服务器没有安装、运行 IIS 服务，则在 SCW 配置过程中不会出现 IIS 安全配置部分。

　　完成以上几步配置后，进入到保存安全策略对话框，首先在 “ 安全策略文件名 ” 对话框中为你配置的安全策略起个名字，最后在 “ 应用安全策略 ” 对话框中选择 “ 现在应用 ” 选项，使配置的安全策略立即生效。