用Windows 2003 SP1向?qū)Чδ艽蛟彀踩�服�?wù)器

微軟發(fā)布Windows Server 2003中文補(bǔ)丁包SP1。它除了對(duì)系統(tǒng)中存在的漏洞進(jìn)行修補(bǔ)外，還新增了一些實(shí)用功能，特別是安全配置向?qū)В⊿ecurity Configuration Wizard，簡(jiǎn)稱(chēng)SCW）功能，它成為Windows 2003 SP1新增功能中的亮點(diǎn)。

在Windows 2003 SP1系統(tǒng)中，安全配置向?qū)В⊿CW）是一個(gè)新增的安全配置功能，它可以最大程度地縮小服務(wù)器的受攻擊面。

利用SCW所提供的功能，網(wǎng)管能非常輕松地完成服務(wù)器角色的指定，禁用不需要的服務(wù)和端口，配置服務(wù)器的網(wǎng)絡(luò)安全，配置審核策略、注冊(cè)表和IIS服務(wù)器等工作，對(duì)鞏固服務(wù)器的安全有極大的幫助。同時(shí)，由于整個(gè)配置過(guò)程都是在向?qū)��?duì)話框中完成的，無(wú)需繁瑣的手工設(shè)置，網(wǎng)管的工作負(fù)擔(dān)會(huì)得到減輕。

現(xiàn)在，不妨讓我們?cè)谶@位安全“向?qū)А钡闹敢�下，去鞏固我們的服�?wù)器安全防護(hù)體系。

默認(rèn)情況下，即使你的Windows 2003系統(tǒng)已安裝了SP1補(bǔ)丁包，但這時(shí)還是無(wú)法使用SCW功能的。這是因?yàn)樵摻M件沒(méi)有被安裝，用戶需要通過(guò)“添加/刪除Windows組件”功能手工安裝SCW。

首先保證Windows 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包，接著進(jìn)入“添加/刪除Windows組件”頁(yè)面。在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng)，點(diǎn)擊“下一步”按鈕后，就能輕松完成SCW組件的安裝。

提示：完成該組件的安裝后，運(yùn)行SCW也很簡(jiǎn)單，主要有兩種方法。進(jìn)入“控制面板”中的“管理工具”窗口，運(yùn)行“安全配置向?qū)А奔纯桑稽c(diǎn)擊“開(kāi)始→運(yùn)行”，在運(yùn)行對(duì)話框中運(yùn)行“SCW.exe”命令。

“萬(wàn)事俱備，只欠東風(fēng)”，完成了“安全配置向?qū)А苯M件的安裝后。大家可利用SCW安全配置向?qū)�，一步步的�?duì)Windows 2003服務(wù)器的角色服務(wù)、網(wǎng)絡(luò)安全、注冊(cè)表、審核策略，以及IIS服務(wù)器進(jìn)行配置，實(shí)現(xiàn)增強(qiáng)服務(wù)器安全的目的。

運(yùn)行SCW后，彈出“歡迎使用安全配置向?qū)А睂?duì)話框，點(diǎn)擊“下一步”按鈕，進(jìn)入“配置操作”對(duì)話框。

由于是第一次運(yùn)行SCW功能，因此在“配置操作”對(duì)話框中要選擇“創(chuàng)建新的安全策略”。

1.選擇服務(wù)器

俗話說(shuō)“有的放矢”，在進(jìn)行安全配置之前，首先要選擇目標(biāo)，也就是選擇將要進(jìn)行安全配置的Windows 2003服務(wù)器。

點(diǎn)擊“下一步”按鈕后，進(jìn)入“選擇服務(wù)器”對(duì)話框。在這里選擇要進(jìn)行安全配置的Windows 2003服務(wù)器（可以是本地服務(wù)器，也可是網(wǎng)絡(luò)中的其他服務(wù)器）。在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows 2003服務(wù)器的機(jī)器名或IP地址。接著點(diǎn)擊“下一步”按鈕，SCW就開(kāi)始處理安全配置數(shù)據(jù)庫(kù)。完成后，進(jìn)入“基于角色的服務(wù)配置”對(duì)話框，才真正開(kāi)始SCW向?qū)Щ�的安全配置之旅�?/P>

2.我的“角色”，我做主

Windows 2003服務(wù)器提供了數(shù)量眾多的服務(wù)器角色，如文件服務(wù)器、DHCP服務(wù)器等，但并不是所有的角色都是需要的。使用不慎，反而會(huì)增加服務(wù)器的安全隱患。利用SCW的“選擇服務(wù)器角色”向?qū)Ь湍茌p松完成角色的選擇。

在“基于角色的服務(wù)配置”向?qū)е锌梢詫?duì)Windows 2003服務(wù)器角色、客戶端功能、系統(tǒng)服務(wù)等內(nèi)容進(jìn)行配置。點(diǎn)擊“下一步”按鈕，進(jìn)入“選擇服務(wù)器角色”對(duì)話框（圖1），在列表框中選擇Windows 2003服務(wù)器所執(zhí)行的角色（如文件服務(wù)器、打印服務(wù)器等）。根據(jù)自己的需要，在角色列表框中勾選需要的服務(wù)器角色選項(xiàng)后，才能使用相應(yīng)的Windows 2003服務(wù)器功能并開(kāi)放相應(yīng)的服務(wù)端口。

當(dāng)然，一個(gè)Windows 2003服務(wù)器可以擔(dān)當(dāng)一個(gè)或多個(gè)服務(wù)器角色，它可以是Web服務(wù)器，也可以是文件服務(wù)器。

點(diǎn)擊“下一步”后，選擇Windows 2003服務(wù)器的“客戶端功能”。設(shè)置Windows 2003系統(tǒng)作為客戶端所要扮演的角色（如Microsoft網(wǎng)絡(luò)客戶端、FTP客戶端等），在列表框中勾選所需要的客戶端功能即可。點(diǎn)擊 “下一步”后，進(jìn)入“選擇管理和其它選項(xiàng)”對(duì)話框，選擇所需要的Windows 2003服務(wù)。

下面還要配置Windows 2003系統(tǒng)的額外服務(wù)，配置完成后進(jìn)入“處理未指定的服務(wù)”對(duì)話框�！拔粗付ǖ姆�務(wù)”是指沒(méi)有在安全配置數(shù)據(jù)庫(kù)中列出的服務(wù)（如殺毒軟件提供的服務(wù)）。建議大家選中“不更改此服務(wù)的啟用模式”選項(xiàng)，這樣該服務(wù)會(huì)按照以前的狀態(tài)運(yùn)行。

最后進(jìn)入“確認(rèn)服務(wù)更改”對(duì)話框，對(duì)以上所做的配置進(jìn)行最終確認(rèn)后，這樣就完成了基于角色的服務(wù)配置。

3.開(kāi)放端口，要注意網(wǎng)絡(luò)安全

完成基于角色的服務(wù)配置后，各種服務(wù)器要在網(wǎng)絡(luò)中為用戶提供服務(wù)，就必須開(kāi)放相應(yīng)的服務(wù)端口。默認(rèn)情況下，Windows防火墻是不允許這些服務(wù)端口通信的。因此，我們可以在SCW向?qū)е虚_(kāi)放通信端口。

進(jìn)入“網(wǎng)絡(luò)安全”對(duì)話框，在此可配置已經(jīng)選中的服務(wù)器角色和其他Windows 2003服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后，在“打開(kāi)端口并允許應(yīng)用程序”對(duì)話框中開(kāi)放需要的端口（圖2）。如FTP服務(wù)器需要的“20和21”端口，IIS服務(wù)需要的“80”端口等。只要在列表框中選擇要開(kāi)放的端口選項(xiàng)即可，最后確認(rèn)端口配置。