当前位置:文档之家 › Windows server 2003 安全配置向导部署

Windows server 2003 安全配置向导部署

  • 格式:doc
  • 大小:747.00 KB
  • 文档页数:13

下载文档原格式

  / 13

合集下载

关于Windows Server 2003安全配置再设置的探讨

关于Windows Server 2003安全配置再设置的探讨

【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u


三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一

Windows2003server Internet 信息服务 (IIS) 6.0使用教程

Windows2003server Internet 信息服务 (IIS) 6.0使用教程
Microsoft? Windows? Server 2003 家族中的 Internet 信息服务 (IIS) 提供了可用于 Intranet、Internet 或 Extranet 上的集成 Web 服务器能力,这种服务器具有可靠性、可伸缩性、安全性以及可管理性的特点。可以使用 IIS 6.0 为动态网络应用程序创建功能强大的通讯平台。IIS 6.0 提供了一些新功能来帮助组织、IT 专业人士和 Web 管理员为单个 IIS 服务器或多个服务器上可能存在的上千个网站实现高性能、可靠性、可伸缩性和安全性的目标。
单击“文档”选项卡。
选中“启用默认内容文档”复选框。
单击“添加”将新的默认文档添加到列表。
单击要从列表中删除的文档,然后单击“删除”。
单击列表中的文档,然后单击“上移”或“下移”以更改默认文档响应客户请求的次序。
单击“确定”。
三、建立FTP站点共享文件资源
(1)安装FTP服务
单击所需的用户隔离选项,然后单击“下一步”。
在“路径”框中,键入或浏览到包含或将要包含共享内容的目录,然后单击“下一步”。
选中与要指定给用户的 FTP 站点访问权限相对应的复选框,然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置,请右键单击 FTP 站点,然后打击“属性”。
在默认文档名称中不能使用逗号(例如 my,file.html)。逗号只用于在配置数据库中分隔多个默认文档。如果您在默认文档的名称中使用了逗号,IIS 会认为这表示有两个默认文档。
· 设置或更改默认文档的步骤
在 IIS 管理器中,展开本地计算机,展开“网站”目录,右键单击所需的网站,然后单击“属性”。
· 设置目录输出样式

windows 2003 server 配置大全

windows 2003 server 配置大全

1.开始—运行—键入“gpedit.msc”,然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开∶计算机配置-->Windows设置-->安全设置-->本地策略-->安全;点击“安全”选项后,在窗口的右框中找到“帐户∶重命名系统管理员帐户”,然后双击它,在出现的对话框中输入你用来取代Administrator的帐户名称,如∶Abc
1、在开始菜单中,依次执行“程序”-->“附件”-->“命令提示符”命令,将界面切换到DOS命令行状态下;
2、在DOS命令行状态下直接输入“CHKNTFS/T:0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
2、用鼠标右键单击桌面空白处,从快捷菜单中执行“属性”命令,再打开“外观”标签页面,在其中的“窗口和按钮”处,选中WindowsXP样式。
3.右键点击“我的电脑”-->“属性”-->高级-->性能-->视觉效果-->调整为最佳外观。至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。
十一、解决运行大型软件时系统反应缓慢
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级,把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”
十二、禁用错误报告
右键点击“我的电脑”-->属性-->高级-->点击“错误报告”按钮,在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”

第6章 Windows Server 2003操作系统安全

第6章 Windows Server 2003操作系统安全

RFC2408:密钥管理功能规范
12
6.2 Windows Server 2003的安全机制
IP安全体系结构
(3)安全联系
IP的认证机制和机密性机制中都包含一个关键的概念,即安全联盟 (Security Association,SA),安全联系是一个发送者和接收者之间的单向的 连接关系,该连接为其上传输的数据提供了安全服务。如果需要维护一 个对等关系,为了保证双向的安全交换,就需要建立两个安全联系。
8
6.2 Windows Server 2003的安全机制
Kerberos Kerberos V4
Kerberos 的V4版本中使用DES算法,在协议中提供了认证服务,通过安全认证来确 保Windows Server 2003的安全,具体协议内容如书中表6-1所示。
Kerberos域和多重Kerberos
– – – – Kerberos; IPSec; PKI; NT局域网管理器(NT LAN Manager,NTLM)。这是一个遗留协 议,Microsoft在Windows Server 2003中保留它是为了支持过去 的Windows客户端和服务器。
6
6.2 Windows Server 2003的安全机制
9
6.2 Windows Server 2003的安全机制
IPSec
IP安全概述
在现有的网络攻击方式中,最严重的攻击类型包括IP欺骗和各种形式 的报文窃听攻击。 (1)IPSec的应用 IPSec提供了跨保障局域网、跨私有/公共广域网以及跨Internet的安全通 信的能力,有很广泛的应用范围,如通过Internet 进行的企业部门之间 的安全连接、通过Internet进行安全的远程访问、合作伙伴之间外网和 内网的连接以及安全的电子商务等。 IPSec之所以能够应用于许多不同的应用领域,主要是因为IPSec可以 加密和/或认证IP层的所有数据流。因此,所有的分布式应用,包括远 程登录、客户/服务器系统、电子邮件、文件传输、Web访问等,都可 以通过应用IPSec机制来增强安全性。

Windows Server 2003服务器配置

Windows Server 2003服务器配置

Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。

2.完成DNS客户端的域名解析设置。

3.完成DNS服务的验证。

实训设备与环境一台Windows 2003 Server 域控制器,一台Windows xp Professional客户机。

两台机器按如图1所示,完成相关的设置。

图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时,已经选择安装DNS服务器,则不需要再进行二次安装,如果原来没有DNS服务器;也可以单独安装DNS。

主要包括以下步骤:(1)选择一台已经安装好Windows 2003的服务器(名称为),确认其已安装了TCP/IP协议,先设置服务器自己TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.1,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项,选择【添加/删除Windows组件】。

(4)选择【网络服务】复选框,并单击【详细信息】按钮。

(5)在【网络服务】对话框中,选择【域名系统(DNS)】,单击【确定】按钮,系统开始自动安装相应服务程序。

除组件添加方式也可以采用网络服务管理器.......实现添加DNS。

2.完成DNS客户端设置。

(1)选择一台装有Windows xp Professional的客户机(名称为work),确认其已安装了TCP/IP协议,设置TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.2,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。

Windows Server 2003 Service Pack 1 部署

Windows Server 2003 Service Pack 1 部署

Windows Server 2003 Service Pack 1 自述文件(Readmesp)Service Pack 1 (SP1) 简介本文档提供有关Microsoft® Windows Server™ Service Pack 1 (SP1) 的重要信息。

SP1 中包含的更新有助于提高操作系统的安全性、可靠性以及性能。

我们建议您安装SP1,因为其中包含的更新可以改善某些程序在Windows Server 2003 操作系统上的运行效率。

在安装SP1 之前,请务必阅读此文档。

文档中描述了如何安装SP1,并且提供了可能适用于您的安装的某些特定信息。

您可以安装SP1 来更新下列Windows Server 2003 操作系统版本:•Windows Server 2003, Standard Edition•Windows Server 2003, Enterprise Edition•Windows Server 2003, Datacenter Edition•Windows Server 2003, Web Edition•基于Itanium 的Windows Server 2003 版本注意如果您运行的是Windows Server 2003, Datacenter Edition,那么在安装SP1 之前,请与您的OEM 联系。

OEM 应负责对带有service pack(例如SP1)的Windows Server 2003, Datacenter Edition 进行测试。

如果您向OEM 订阅了更新,那么他们应该为您提供SP1,同时为您提供或指导您获取经过更新的适配器驱动程序和实用程序。

如果系统需要自定义的HAL,OEM 也应提供这样的额外项目。

您无法更新Windows Server 2003 的x64 版本。

有关此类产品的支持信息,请与OEM 联系,并查看Windows Server 2003 x64 网站。

Windows 2003安全配置向导(SCW)

易用性和安全性的平衡——Windows 2003安全配置向导(SCW)作者:“在试图发现并利用网络或计算机系统中的每一个开放的端口,每一个细小的漏洞的过程中,黑客们对各种复杂的技术进行了细致的解剖。

在做这些事情的时候,他们就像神经外科专家做手术时那么精确。

”——JoelScambray微软公司在设计和开发产品时是以最大限度的易用性为出发点的,正是因为这一点,它们才会如此地受到欢迎。

很多人都忽略了一个这样的事实:安全问题是一种“零和”游戏——越是容易使用的东西,对它进行安全防护所需花费的时间和努力也就越多。

如果把100%的安全性和100%易用性看做信息安全问题的两个极端,那么,100%的安全性就意味着0的易用性,而100%的易用性则相当于0安全性。

我相信微软不会一直玩着这个游戏,下面我们就用Windows 2003安全配置向导(SCW)来这一游戏规则吧。

剖析了解SCW近日微软终于发布Windows Server 2003中文补丁包SP1,除了对系统中存在的漏洞进行修补外,还新增了一些实用功能,特别是安全配置向导(Security Configuration Wizard,简称SCW)功能,它成为Windows 2003 SP1新增功能中的亮点。

安全配置向导(SCW)是一个新增的安全配置功能,它可以最大限度地缩小服务器的受攻击面。

其实做安全管理的人士都明白一个原则,已知的远程攻击手段都与系统中运行的服务有关,因此,只要阻断有关的访问通道或者禁用有关的服务,就不会给相关的攻击手段留下可乘之机。

利用SCW所提供的功能,网管能非常轻松地完成服务器角色的指定,禁用不需要的服务和端口,配置服务器的网络安全,配置审核策略、注册表和IIS服务器等工作,对巩固服务器的安全有极大的帮助。

同时,由于整个配置过程都是在向导对话框中完成的,无需繁琐的手工设置,非专业的安全管理人员一样可以顺利完成服务器加固工作。

开启SCW要使用SCW功能集成到Windows 2003系统的SP1补丁包,但做到这一步还暂时不能使用,我们要手动的开启SCW服务功能。

Windows20002003服务器配置

7.6 在进入右键菜单的属性条目时,也可以进行共享和权限等管理,但是只有在点击的对象是磁盘分区的时候才能应用配额功能,因为配额功能是针对磁盘卷来执行的,而且该卷必须是NTFS格式的最后,注意NTFS文件夹安全权限和共享权限的区别:安全权限对所有访问该文件夹的用户都起作用;共享权限只对从网络访问的用户起作用;安全权限 and 共享权限
3. 创建额外域控制器
目 的:为配置额外域控制器,同步AD
要 点:DNS,额外域控制器(额外域控制器,也有人叫辅助域,或者备份域)
--------------------------------------------------------------------------------------------------
4.6 出来一个界面,让填域名,上面是父域的名字(),中间填入son,下面自动完成,显示全名为
4.7 完成其他选项
4.8 完成后,在server3的 ad user and computer中的domain controller ou中可以找到server3的计算机帐号
5.4 在位置集区,新增排除范围192.168.10.100-192.168.10.200供保留区使用
5.5 保留区,为要指定Ip的电脑配置保留地址,如,mac地址为0c12312300,IP地址为192.168.10.101
5.6 在领域选项,路由器选项可以指定网关,DNS服务器指定DNS,名称服务器制定Wins服务器
4.9 在dns的这个zone中可以找到关于server3的srv记录
5. 安装DHCP服务
目 的: 在server1上安装DHCP服务
要 点: DHCP、领域、地址保留、AD授权、地址分配

Windows 2003 Server安全配置技术技巧

Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。

只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。

PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。

如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。

功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。

实验5-Windows-2003-WWW、FTP服务器的配置与管理

实验5-Windows-2003-WWW、FTP服务器的配置与管理实验目的本实验旨在让学生通过实现Windows 2003服务器上的WWW、FTP服务的配置和管理,掌握Windows Server的基本操作方法,提高对服务器基本概念的理解。

实验环境•虚拟机软件:VMware Workstation 14 Pro•操作系统:Windows Server 2003 Enterprise Edition实验步骤配置WWW服务1.打开“服务器管理器”,打开“管理控制台”选项卡,选择“添加或删除组件”。

2.在“组件向导”中,选择“Internet 信息服务(IIS)”选项,并确定。

3.在“Searching for Required Files”对话框中,如果需要,可以插入Windows 2003安装光盘。

4.点击“完成”后,IIS将被安装和配置为Windows 2003服务器上的WWW服务。

管理WWW服务1.进入IIS管理界面,在“目录树”中选择“默认网站”。

2.在右侧选择“属性”选项卡,可以设置该网站的基本属性和默认文档。

3.点击“主页”选项卡,可以设置网站的主页信息。

4.点击“虚拟目录”选项卡,可以管理和创建虚拟目录。

5.该网站在IIS中的WWW服务的默认端口为80,修改该端口可以在“WWW服务扩展”中设置。

配置FTP服务1.打开“服务器管理器”,选择“角色”选项卡,点击“添加角色”。

2.在“添加角色向导”中,选择“应用程序服务器”选项,并确定。

3.选择“Internet 信息服务(IIS)”和“FTP服务器”选项,并完成向导。

4.在“FTP站点向导”中,选择“新建FTP站点”,并完成创建。

5.可以在IIS管理界面的“FTP站点”中修改FTP服务的基本设置。

管理FTP服务1.进入IIS管理界面,在“目录树”中选择“默认FTP站点”。

2.在右侧选择“属性”选项卡,可以设置FTP站点的基本属性和连接信息。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Windows server 2003 安全配置向导部署安全配置向导 (SCW) 是一个工具,可减少Windows Server 2003 的计算机的攻击面。

它可确定服务器的一个或多个角色所需的最少功能,并且禁用不需要的功能。

特别是,SCW 有助于创建和部署具有如下功能的安全策略:∙禁用不需要的服务。

∙阻止不使用的端口。

∙允许保持打开状态的端口的其他地址或安全限制。

∙禁止不需要的 Internet 信息服务 (IIS) Web 扩展(如果适用)。

∙减少对于服务器消息块 (SMB)、LAN Manager 和轻型目录访问协议 (LDAP) 的协议暴露。

∙定义高信噪比审核策略。

SCW 会指导您完成基于选定的服务器角色创建、编辑、应用或回滚安全策略的过程。

本部署指南将指导您完成将 SCW 和 SCW 策略部署到运行带有 SP1 的 WindowsServer 2003 的计算机上的过程。

安装和运行 SCW 的要求SCW 随 Windows Server 2003 SP1 一起提供,但是仅用于运行带有 SP1 的 Windows Server 2003 的计算机。

它并非旨在用于 Microsoft Small Business Server 或Windows XP Professional 之类的客户端操作系统。

SCW 部署概述SCW即为Security Configuration Wizard,安全配置向导。

SCW主要功能:配置服务(Services)、网络安全(Network security)、审核(Auditing)、注册表(Registry)…. 使用全策略来完成这些目标。

SCW安装步骤:1.添加删除Windows组件2.添加“安全配置向导”SCW 部署打开- 开始- 所有程序管理工具–安全配置向导,启动SCW后,将会看到下图的这样一个欢迎界面:在这里,我们可以创建一个安全策略(Create);编辑一个安全策略(Edit);应用现有安全策略(Apply);回滚(Rollback)。

选择创建安全策略的话,安全策略将以XML格式文件保存,使用.xml扩展名,默认的安全模板存储位于C:\Windows\security\msscw\policies,最好是为每一个策略提供一个描述,这样对于拥有多策略的情况下是非常有用的。

在这里我们要创建一新的策略,选取第一选项然后点击Next,然后会便开始进行处理,(如果使用的系统是R2的服务器必须打上SP2补丁)首先它将生成一个安全配置数据库,在这里我们可以选择“查看配置数据库”,里面显示了所有的角色设置,包括已经安装和未安装以及启用与禁用的。

这个数据库就是一个参考,为我们后面的选择配置提供参照了简介。

继续下一步,再次出现一个Welcome界面,在这里,便开始进入到另一个阶段了,创建SCW 安全策略文件如何创建SCW 安全策略文件。

创建安全策略1.依次单击“开始”、“管理工具”,然后单击“安全配置向导”。

2.阅读“欢迎”页,然后单击“下一步”。

3.选择“创建新的安全策略”,然后单击“下一步”。

4.键入原型服务器的名称,然后单击“下一步”。

5.等待安全配置数据库处理完毕,然后单击“下一步”。

6.对于接下来的五个向导页的每一页,只需单击“下一步”即可:∙“基于角色的服务配置”页。

∙“选择服务器角色”页。

∙“选择客户端功能”页。

∙“选择管理和其他选项”页。

∙“选择其他服务”页。

7.在“处理未指定的服务”页上,单击“下一步”。

8.对于接下来的20 个向导页的每一页,只需单击“下一步”即可:∙“确认服务更改”页。

∙“网络安全”页。

∙“打开端口并确认应用程序”页。

∙“确认服务更改”页。

∙“确认端口配置”页。

∙“注册表设置”页。

∙“要求SMB 安全签名”页。

∙“要求LDAP 签名”页。

∙“出站身份验证方法”页。

∙“使用域帐户的出站身份验证方法”页。

∙“注册表设置摘要”页。

∙“审核策略”页。

∙“系统审核策略”页。

∙“审核策略摘要”页。

∙“Internet 信息服务”页。

∙“选择动态内容的Web 服务扩展”页。

∙“选择一个要保留的虚拟路径”页。

∙“阻止匿名用户访问内容文件”页。

∙“IIS 设置摘要”页。

∙“保存安全策略”页。

9.在“安全策略文件名”页上,键入原型策略的名称,然后单击“下一步”。

不要使用原型计算机的名称命名安全策略,因为scwcmd.exe 使用computername.xml保存分析结果,而您也不希望安全策略与分析结果具有相同的名称。

这样会造成混乱或覆盖的风险。

10.在“正在完成安全配置向导”页上,单击“完成”。

部署SCW 安全策略文件使用SCW 创建的安全策略文件将生成为 .XML 文件,这些文件默认保存到%systemdir%\security\msscw\Policies 中。

可以使用SCW 用户界面或SCW 中随附的scwcmd.exe 命令行工具部署这些文件。

使用SCW 用户界面此方法最适合于单个服务器。

要将SCW 安全策略应用到多个服务器,请改用命令行方法或组策略。

将SCW 安全策略应用到服务器1.依次单击“开始”、“管理工具”,然后单击“安全配置向导”。

2.阅读“欢迎页”,然后单击“下一步”。

3.在“配置操作”页上,选择“应用现有安全策略”,键入该策略的完整路径和文件名,然后单击“下一步”。

4.在“选择服务器”页上,键入要应用策略的服务器的名称,然后单击“下一步”。

5.在“应用安全策略”页上,单击“下一步”。

6.在“正在应用安全策略”页上,等待处理完成,然后单击“下一步”。

7.在“正在完成安全配置向导”页上,单击“完成”。

SCW 安全策略文件到组策略对象(GPO) 的转换SCW 安全策略文件转换为GPO。

SCW 将其安全策略保存为 .xml 文件,并且Scwcmd.exe 命令行工具允许使用scwcmd transform命令转换这些文件并将其保存为GPO。

SCW 用户界面本身不支持GPO。

Scwcmd transform。

创建新的GPO 并定义这些组策略扩展的设置:∙安全设置。

包含服务设置、注册表值、审核策略和已导入到SCW XML 策略的安全模板设置。

∙IP 安全策略。

包含SCW 策略中定义的IPsec 配置。

∙Windows 防火墙。

包含SCW 策略中定义的Windows 防火墙设置。

所有在SCW 策略中定义的Internet 信息服务(IIS) 设置都会在scwcmd transform操作期间丢失,因为组策略不支持配置IIS 设置。

创建GPO 之后,管理员必须使用“Active Directory 用户和计算机”或“组策略管理控制台(GPMC)”将GPO 手动链接到目标组织单位(OU)。

以本地组策略格式保存SCW 安全策略在命令提示符下,键入scwcmd transform /p:PathAndPolicyFileName /g:GPODisplayName其中,PathAndPolicyFileName是您先前使用SCW 创建的策略,包括它的 .xml 文件扩展名,而GPODisplayName是组策略对象(GPO) 在组策略对象编辑器或组策略管理控制台(GPMC) 中出现时所使用的名称。

将组策略和Active Directory 与SCW 一起使用SCW 并非组策略中可用安全设置的替代;它是一个补充Active Directory 及其策略结构的安全工具,增强常见Active Directory 工具(例如,Active Directory 用户和计算机管理单元)对您的功用。

Active Directory 最佳操作包括使用“Active Directory 用户和计算机”将计算机对象分为多个组织单位(OU) 以便于管理。

这样有助于使用组策略对象(GPO) 部署SCW 策略。

您可以通过使用SCW 用户界面将服务器变为原型服务器来创建SCW 安全策略,然后使用scwcmd.exe 将其转换为GPO,最后将GPO 链接到OU。

如果OU 中的所有服务器在功能上都相似,那么这些服务器都会接收SCW 创建的安全策略。

组策略对象编辑器组策略对象编辑器是随Active Directory 一起提供的用户和计算机配置管理工具。

组策略设置包括组策略对象编辑器中的安全设置,尽管这些安全设置在显示和处理上与多数其他组策略设置不同。

例如,安全设置在注册表中持久有效,但是每当刷新策略时,都会重新写入组策略管理模板设置。

组策略对象编辑器用于编辑所有组策略对象,包括那些从SCW 格式转换来的对象。

因此,SCW 通过提供适合于服务器类型的GPO,使得组策略对象编辑器更加有用。

组策略管理控制台组策略管理控制台(GPMC) 满足了在Active Directory 环境中易于分析、规划和备份策略的需求,在这种环境中,经常将多个GPO 应用到同一个系统,并且自定义的OU 排列会影响继承。

可以通过免费下载来获得GPMC。

它支持所有企业范围的组策略任务,但不支持编辑单个GPO,该操作仍由组策略对象编辑器执行。

GPMC 专门用于将GPO 链接到OU。

链接是一种机制,GPO 通过这种机制应用到OU 内的用户和计算机。

如果使用组策略对象编辑器编辑包含SCW 安全策略的GPO,则请注意在组策略对象编辑器中手动创建的安全设置优先于使用SCW 应用的相同设置。

如果SCW 创建的设置转换为GPO,则按照一般GPO 继承规则做出优先使用哪类设置的决策。

安全模板和优先顺序除了使用SCW 创建安全策略之外,您还可以使用安全模板来应用安全设置。

安全模板是一些 .inf 文件,例如,默认位于%systemroot%\security\templates\ 中的securedc.inf。

您可以在以下位置查看组策略对象编辑器和GPMC 中的安全模板设置:GPO 名称\计算机配置\Windows 设置\安全设置\使用SCW 用户界面(而不使用安全模板)执行的配置更改与单独使用安全模板执行的配置更改部分重叠。

每个配置更改集都不能完全包含另一个配置更改集。

例如,SCW 用户界面包括并未包括在任何安全模板中的IIS 设置。

相反,安全模板可以包括诸如软件限制策略之类的项目,这些项目不能通过SCW 用户界面进行配置。

有些配置更改[例如,IP 安全(IPsec) 策略] 可以使用以下三种方法设置:使用SCW 用户界面;将安全模板附加到本地SCW 策略文件(.xml 文件);或同时使用上述两种方法。

但是,如果同时使用这两种方法,便可使用本部分稍后说明的优先顺序规则来解决冲突的策略设置。

此外,scwcmd.exe 命令行工具及其转换选项支持通过SCW 策略创建新的、未链接的GPO。