为Windows 2003服务器打造铜墙铁壁

Windows;Server;2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows;Server;2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和安全的入侵。Windows;Server;2003;SP1中文版补丁包的发布，恰好解决这个问题，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单，下面就一起来看吧！;

厉兵秣马;先装“SCW”;

大家都很清楚， Windows;Server;2003系统为增强其安全性，默认情况下，很多服务组件是不被安装的，要想使用，必须手工安装。“SCW”功能也是一样，虽然你已经成功安装了补丁包SP1 ，但也需要手工安装“安全配置向导（SCW）”组件。;

进入“控制面板”后，运行“添加或删除程序” ，然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项，最后点击“下一步”按钮后，就能轻松完成“SCW”组件的安装。;

安装过程就这么简单，接下来就能根据自身需要，利用“SCW”配置安全策略，增强Windows;Server;2003服务器安全。;

配置“安全策略”;原来如此“简单”;

在Windows;Server;2003服务器中，点击“开始→运行”后，在运行对话框中执行“SCW.exe”命令，就会弹出“安全配置向导”对话框，开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后，执行“安全配置向导”快捷方式来启用“SCW” 。;

1．新建第一个“安全策略”;

如果你是第一次使用“SCW”功能，首先要为Windows;Server;2003服务器新建一个安全策略，安全策略信息是被保存在格式为XML;的文件中的，并且它的默认存储位置是“C:/WINDOWS/security/msscw/Policies” 。因此一个Windows;Server;2003系统可以根据不同需要，创建多个“安全策略”文件，并且还可以对安全策略文件进行修改，但一次只能应用其中一个安全策略。;

在“欢迎使用安全配置向导”对话框中点击“下一步”按钮，进入到“配置操作”对话框，因为是第一次使用“SCW” ，这里要选择“创建新的安全策略”单选项，点击“下一步”按钮，就开始配置安全策略。;

2．轻松配置“角色”;

首先进入“选择服务器”对话框，在“服务器”栏中输入要进行安全配置的Windows;Server;2003服务器的机器名或IP地址，点击“下一步”按钮后， “安全配置向导”会处理安全配置数据库。;

接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中，可以对Windows;Server;2003服务器角色、客户端角色、系统服务、应用程序，以及管理选项等内容进行配置。;

所谓服务器“角色” ，其实就是提供各种服务的Windows;Server;2003服务器，如文件服务器、打印服务器、DNS服务器和DHCP服务器等; ， ;一个Windows;Server;2003服务器可以只提供一种服务器“角色” ，也可以扮演多种服务器角色。点击“下一步”按钮后，就进入到“选择服务器角色”配置对话框，这时需要在“服务器角色列表框”中勾选你的Windows;Server;2003服务器所扮演的角色。;

注意：为了保证服务器的安全，只勾选你所需要的服务器角色即可，选择多余的服务器角色选项，会增加Windows;Server;2003系统的安全隐患。如笔者的Windows;Server;2003服务器只是作为文件服务器使用，这时只要选择“文件服务器”选项即可。;

进入“选择客户端功能”标签页，来配置Windows;Server;2003服务器支持的“客户端功能” ，其实Windows;Server;2003服务器的客户端功能也很好理解，服务器在提供各种网络服务的同时，也需要一些客户端功能的支持才行，如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要，在列表框中勾选你所需的客户端功能即可，同样，对于不需要的客户端功能选项，建议你一定要取消对它的选择。;

接下来进入到“选择管理和其它选项”对话框，在这里选择你需要的一些Windows;Server;2003系统提供的管理和服务功能，操作方法是一样的，只要在列表框中勾选你需要的管理选项即可。点击“下一步”后，还要配置一些Windows;Server;2003系统的额外服务，这些额外服务一般都是第三方软件提供的服务。;

然后进入到“处理未指定的服务”对话框，这里“未指定服务”是指，如果此安全策略文件被应用到其它Windows;Server;2003服务器中，而这个服务器中提供的一些服务没有在安全配置数据库中列出，那么这些没被列出的服务该在什么状态下运行呢？在这里就可以指定它们的运行状态，建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框，对你的配置进行最终确认后，就完成了基于角色的服务配置。;

3．配置网络安全;

以上完成了基于角色的服务配置。但Windows;Server;2003服务器包含的各种服务，都是通过某个或某些端口来提供服务内容的，为了保证服务器的安全， Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口，这种向导化配置过程与手工配置Windows防火墙相比，更加简单、方便和安全。;

在“网络安全”对话框中，要开放选中的服务器角色， Windows;Server;2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后，在“打开端口并允许应用程序”对话框中开放所需的端口，如FTP服务器所需的“20和21”端口， IIS服务所需的“80”端口等，这里要切记“最小化”原则，只要在列表框中选择要必须开放的端口选项即可，最后确认端口配置，这里要注意：其它不需要使用的端口，建议大家不要开放，以免给Windows;Server;2003服务器造成安全隐患。;

4．注册表设置;

Windows;Server;2003服务器在网络中为用户提供各种服务，但用户与服务器的通信中很有可能包含“不怀好意”的访问，如安全和病毒攻击。如何保证服务器的安全，最大限度地限制非法用户访问，通过“注册表设置”向导就能轻松实现。;

利用注册表设置向导，修改Windows;Server;2003服务器注册表中某些特殊的键值，来严格限制用户的访问权限。用户只要根据设置向导提示，以及服务器的服务需要，分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置，就能最大限度保证Windows;Server;2003服务器的安全运行，并且免去手工修改注册表的麻烦。;

5．启用“审核策略”;

聪明的网管会利用日志功能来分析服务器的运行状况，因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些，利用向导化的操作就能轻松启用审核策略。;

在“系统审核策略”配置对话框中要合理选择审核目标，毕竟日志记录过多的事件会影响服务器的性能，因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要，也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。;

6．增强IIS安全;

IIS服务器是网络中最为广泛应用的一种服务，也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行，最大限度免受安全和病毒的攻击，这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全，保证其稳定、安全运行。;

在“Internet信息服务”配置对话框中，通过配置向导，来选择你要启用的Web服务扩展、要保持的虚拟目录，以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。;

小提示：如果你的Windows;Server;2003服务器没有安装、运行IIS服务，则在SCW配置过程中不会出现IIS安全配置部分。;

完成以上几步配置后，进入到保存安全策略对话框，首先在“安全策略文件名”对话框中为你配置的安全策略起个名字，最后在“应用安全策略”对话框中选择“现在应用”选项，使配置的安全策略立即生效。;

利用SCW增强Windows;Server;2003服务器的安全性能就这么简单，所有的参数配置都是通过向导化对话框完成的，免去了手工繁琐的配置过程， SCW功能的确是安全性和易用性有效的结合点。如果你的Windows;Server;2003系统已经安装了SP1补丁包，不妨试试SCW吧！