萬盛學電腦網

 萬盛學電腦網 >> windows 2003教程 >> win 2003下提升安全配置向導的方法

win 2003下提升安全配置向導的方法

  安全配置向導提供了根據角色創建或修改服務器的安全策略的便捷方法,可以使用組策略將該安全策略應用於執行相同角色的多個目標服務器。還可以針對恢復目的,使用 SCW 將某個策略回滾到其以前配置。使用 SCW,可以將服務器的安全設置與所需的安全策略進行比較,以檢查系統中有漏洞的配置。 而安全配置向導有助於確定windows 2003 服務器上發生的事件並且實施保護,今天就給大家介紹下如何使用此向導.

  安裝SP1或R2 時,安全配置向導不會自動安裝。需要采用下面的步驟進行另外安裝:

  點擊“開始”|“設置”|“控制面板”

  選擇“添加或刪除程序”

  選擇“添加/刪除Windows組件”

  選中“安全配置向導”復選框,點擊“下一步”。確保得到源媒體。

  安裝完成後,在“開始”中“所有程序”|“管理工具”|“安全配置向導”啟動工具。

  如果是初次運行此工具,則需要提供一個服務器(在群組中每個服務器由於角色不同有不同安全策略)。在向導中,可以看到服務器角色的列表:包括服務器和客戶端。例如:可能有一台服務器運行SMS 2003 server,而另一台機器安裝的是SMS 2003 client。為服務器選定一個角色。可以選擇是否允許管理服務,例如BITS(後台信息傳輸服務)、浏覽器、浏覽器管理、遠程桌面、AQL Server 代理等等。微軟不能在服務器上提供每個可能的服務,所以向導也提供了“忽略或限制”列表上沒有的服務選項。

  除了服務,向導還允許啟用或停用TCP/IP端口。而且可以使用這個工具限制一台計算機或一組IP地址登錄到指定的TCP/IP端口。例如,如果僅僅允許管理網絡許可的人員使用遠程桌面創建連接,可以為子網限定端口為3389。

  可以改變策略影響SMB文件處理和打印。例如,如果服務器有足夠的容量,則可以標記所有的SMB通訊量,防止客戶端的兩面夾擊型的攻擊。同樣的方法也可以用於標記LDAP通訊量。在此策略中,指示所有運行windows 2000 SP3版本及以上版本的客戶端幫助保護網絡中的LDAP信息。

  其它領域:

  審計設置:確定是否能夠進行審計並且審計成功登錄或者成功和不成功的活動。

  IIS:需要激活哪個IIS擴展?例如ASP.NET 1.1、ASP.NET 2.0、Server Side Includes和WebDAV等等。需要激活哪個虛擬目錄?例如,可能想封鎖IISAdmin文件登錄目錄。

  總之,安全配置向導有些極端的傾向,需要花很多時間調整到“恰如其分”的狀態,但是對於安全效果是很有裨益的。 在Windows Server 2003 SP1 和 R2中,微軟配置了一個新工具,它能夠幫助確定Windows Server 2003系統上運行的程序,減少受攻擊的可能性。簡言之,通過使用安全配置向導,能夠觀察到整個系統並停止不需要的功能。

copyright © 萬盛學電腦網 all rights reserved