用Windows 2003 SP1向導功能打造安全服務器

微軟發布Windows Server 2003中文補丁包SP1。它除了對系統中存在的漏洞進行修補外，還新增了一些實用功能，特別是安全配置向導（Security Configuration Wizard，簡稱SCW）功能，它成為Windows 2003 SP1新增功能中的亮點。

在Windows 2003 SP1系統中，安全配置向導（SCW）是一個新增的安全配置功能，它可以最大程度地縮小服務器的受攻擊面。

利用SCW所提供的功能，網管能非常輕松地完成服務器角色的指定，禁用不需要的服務和端口，配置服務器的網絡安全，配置審核策略、注冊表和IIS服務器等工作，對鞏固服務器的安全有極大的幫助。同時，由于整個配置過程都是在向導對話框中完成的，無需繁瑣的手工設置，網管的工作負擔會得到減輕。

現在，不妨讓我們在這位安全“向導”的指引下，去鞏固我們的服務器安全防護體系。

默認情況下，即使你的Windows 2003系統已安裝了SP1補丁包，但這時還是無法使用SCW功能的。這是因為該組件沒有被安裝，用戶需要通過“添加/刪除Windows組件”功能手工安裝SCW。

首先保證Windows 2003系統已經安裝了SP1補丁包，接著進入“添加/刪除Windows組件”頁面。在“Windows組件向導”對話框中選中“安全配置向導”選項，點擊“下一步”按鈕后，就能輕松完成SCW組件的安裝。

提示：完成該組件的安裝后，運行SCW也很簡單，主要有兩種方法。進入“控制面板”中的“管理工具”窗口，運行“安全配置向導”即可；點擊“開始→運行”，在運行對話框中運行“SCW.exe”命令。

“萬事俱備，只欠東風”，完成了“安全配置向導”組件的安裝后。大家可利用SCW安全配置向導，一步步的對Windows 2003服務器的角色服務、網絡安全、注冊表、審核策略，以及IIS服務器進行配置，實現增強服務器安全的目的。

運行SCW后，彈出“歡迎使用安全配置向導”對話框，點擊“下一步”按鈕，進入“配置操作”對話框。

由于是第一次運行SCW功能，因此在“配置操作”對話框中要選擇“創建新的安全策略”。

1.選擇服務器

俗話說“有的放矢”，在進行安全配置之前，首先要選擇目標，也就是選擇將要進行安全配置的Windows 2003服務器。

點擊“下一步”按鈕后，進入“選擇服務器”對話框。在這里選擇要進行安全配置的Windows 2003服務器（可以是本地服務器，也可是網絡中的其他服務器）。在“服務器”欄中輸入要進行安全配置的Windows 2003服務器的機器名或IP地址。接著點擊“下一步”按鈕，SCW就開始處理安全配置數據庫。完成后，進入“基于角色的服務配置”對話框，才真正開始SCW向導化的安全配置之旅。

2.我的“角色”，我做主

Windows 2003服務器提供了數量眾多的服務器角色，如文件服務器、DHCP服務器等，但并不是所有的角色都是需要的。使用不慎，反而會增加服務器的安全隱患。利用SCW的“選擇服務器角色”向導就能輕松完成角色的選擇。

在“基于角色的服務配置”向導中可以對Windows 2003服務器角色、客戶端功能、系統服務等內容進行配置。點擊“下一步”按鈕，進入“選擇服務器角色”對話框（圖1），在列表框中選擇Windows 2003服務器所執行的角色（如文件服務器、打印服務器等）。根據自己的需要，在角色列表框中勾選需要的服務器角色選項后，才能使用相應的Windows 2003服務器功能并開放相應的服務端口。

當然，一個Windows 2003服務器可以擔當一個或多個服務器角色，它可以是Web服務器，也可以是文件服務器。

點擊“下一步”后，選擇Windows 2003服務器的“客戶端功能”。設置Windows 2003系統作為客戶端所要扮演的角色（如Microsoft網絡客戶端、FTP客戶端等），在列表框中勾選所需要的客戶端功能即可。點擊 “下一步”后，進入“選擇管理和其它選項”對話框，選擇所需要的Windows 2003服務。

下面還要配置Windows 2003系統的額外服務，配置完成后進入“處理未指定的服務”對話框?！拔粗付ǖ姆⻊铡笔侵笡]有在安全配置數據庫中列出的服務（如殺毒軟件提供的服務）。建議大家選中“不更改此服務的啟用模式”選項，這樣該服務會按照以前的狀態運行。

最后進入“確認服務更改”對話框，對以上所做的配置進行最終確認后，這樣就完成了基于角色的服務配置。

3.開放端口，要注意網絡安全

完成基于角色的服務配置后，各種服務器要在網絡中為用戶提供服務，就必須開放相應的服務端口。默認情況下，Windows防火墻是不允許這些服務端口通信的。因此，我們可以在SCW向導中開放通信端口。

進入“網絡安全”對話框，在此可配置已經選中的服務器角色和其他Windows 2003服務所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應用程序”對話框中開放需要的端口（圖2）。如FTP服務器需要的“20和21”端口，IIS服務需要的“80”端口等。只要在列表框中選擇要開放的端口選項即可，最后確認端口配置。

4.修改注冊表，增強服務器安全

很多網管利用修改注冊表和組策略的方法增強服務器安全，但這種方法存在很大的風險性，錯誤修改了某個鍵值或安全策略，會導致服務器出現問題。利用SCW的注冊表設置向導進行修改，既省事，又安全。

完成以上網絡安全設置后，就進入到注冊表設置向導對話框，利用設置向導來修改某些特殊的注冊表鍵值，增強服務器安全。根據注冊表設置向導的提示，分別完成對“出站身份驗證方法”、“入站身份驗證方法”等項目的設置即可。

5.配置審核策略，用好日志

Windows 2003服務器的日志就像一個“黑匣子”，可以記錄系統中發生的一切，為服務器的穩定運行提供幫助。但記錄太多的事件會浪費服務器資源，因此網管可以合理地選擇審核目標，記錄一些重要事件。

SCW提供了系統審核策略配置功能，免去了手工指定審核目標的麻煩。

進入“系統審核策略”配置對話框后，合理選擇審核目標即可。建議大家選擇“審核成功的操作”選項，這樣一來，日志只記錄成功的事件操作，而其他則會被忽略，節省了服務器資源。

當然，如果有特殊需要，也可以選擇其他選項。如“不審核”或“審核成功或不成功的操作”選項。

6.IIS安全，要慎重

IIS服務器的脆弱性大家都知道，這次微軟對IIS非常重視，在SCW中提供了“Internet信息服務”配置功能。

如果你的系統中已安裝、運行了IIS服務器，完成了系統審核策略配置后，SCW就會對IIS服務進行安全配置，保證它能穩定運行。

進入“Internet信息服務”配置向導對話框后，按照提示和服務器的需要，分別設置IIS要啟用的Web服務擴展、要保留的虛擬目錄，以及設置匿名用戶是否有寫權限。以上設置過程比較簡單，根據實際需要，啟用所要的IIS項目即可。

完成以上配置后，還要保存配置的安全策略。在“安全策略文件名”對話框中，為配置的安全策略取名，最后在“應用安全策略”對話框中選擇“現在應用”選項，使配置的安全策略生效。

現在，經過上述設置之后，Windows 2003服務器會變得更加安全、可靠，能夠最大限度地抵御病毒和黑客的攻擊。同時，使用SCW功能對Windows 2003系統進行安全方面的配置，非常簡單，易于上手，極大地降低了網管的安全維護工作量。如果SP1補丁包已在你的Windows 2003系統中安家落戶，不妨立刻試試SCW的神奇功效。