用Win 2003 SP1向导功能打造安全服务器

千呼万唤始出来，近日微软终于发布Windows Server 2003中文补丁包SP1。它除了对系统中存在的漏洞进行修补外，还新增了一些实用功能，特别是安全配置向导（Security Configuration Wizard，简称SCW）功能，它成为Windows 2003 SP1新增功能中的亮点。

在Windows 2003 SP1系统中，安全配置向导（SCW）是一个新增的安全配置功能，它可以最大程度地缩小服务器的受攻击面。

利用SCW所提供的功能，网管能非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对巩固服务器的安全有极大的帮助。同时，由于整个配置过程都是在向导对话框中完成的，无需繁琐的手工设置，网管的工作负担会得到减轻。

现在，不妨让我们在这位安全“向导”的指引下，去巩固我们的服务器安全防护体系。

默认情况下，即使你的Windows 2003系统已安装了SP1补丁包，但这时还是无法使用SCW功能的。这是因为该组件没有被安装，用户需要通过“添加/删除Windows组件”功能手工安装SCW。

首先保证Windows 2003系统已经安装了SP1补丁包，接着进入“添加/删除Windows组件”页面。在“Windows组件向导”对话框中选中“安全配置向导”选项，点击“下一步”按钮后，就能轻松完成SCW组件的安装。

提示：完成该组件的安装后，运行SCW也很简单，主要有两种方法。进入“控制面板”中的“管理工具”窗口，运行“安全配置向导”即可；点击“开始→运行”，在运行对话框中运行“SCW.exe”命令。

  “万事俱备，只欠东风”，完成了“安全配置向导”组件的安装后。大家可利用SCW安全配置向导，一步步的对Windows 2003服务器的角色服务、网络安全、注册表、审核策略，以及IIS服务器进行配置，实现增强服务器安全的目的。

运行SCW后，弹出“欢迎使用安全配置向导”对话框，点击“下一步”按钮，进入“配置操作”对话框。

由于是第一次运行SCW功能，因此在“配置操作”对话框中要选择“创建新的安全策略”。

1.选择服务器

俗话说“有的放矢”，在进行安全配置之前，首先要选择目标，也就是选择将要进行安全配置的Windows 2003服务器。

点击“下一步”按钮后，进入“选择服务器”对话框。在这里选择要进行安全配置的Windows 2003服务器（可以是本地服务器，也可是网络中的其他服务器）。在“服务器”栏中输入要进行安全配置的Windows 2003服务器的机器名或ip地址。接着点击“下一步”按钮，SCW就开始处理安全配置数据库。完成后，进入“基于角色的服务配置”对话框，才真正开始SCW向导化的安全配置之旅。

2.我的“角色”，我做主

Windows 2003服务器提供了数量众多的服务器角色，如文件服务器、DHCP服务器等，但并不是所有的角色都是需要的。使用不慎，反而会增加服务器的安全隐患。利用SCW的“选择服务器角色”向导就能轻松完成角色的选择。

在“基于角色的服务配置”向导中可以对Windows 2003服务器角色、客户端功能、系统服务等内容进行配置。点击“下一步”按钮，进入“选择服务器角色”对话框（图1），在列表框中选择Windows 2003服务器所执行的角色（如文件服务器、打印服务器等）。根据自己的需要，在角色列表框中勾选需要的服务器角色选项后，才能使用相应的Windows 2003服务器功能并开放相应的服务端口。

当然，一个Windows 2003服务器可以担当一个或多个服务器角色，它可以是Web服务器，也可以是文件服务器。

点击“下一步”后，选择Windows 2003服务器的“客户端功能”。设置Windows 2003系统作为客户端所要扮演的角色（如Microsoft网络客户端、FTP客户端等），在列表框中勾选所需要的客户端功能即可。点击 “下一步”后，进入“选择管理和其它选项”对话框，选择所需要的Windows 2003服务。

下面还要配置Windows 2003系统的额外服务，配置完成后进入“处理未指定的服务”对话框。“未指定的服务”是指没有在安全配置数据库中列出的服务（如杀毒软件提供的服务）。建议大家选中“不更改此服务的启用模式”选项，这样该服务会按照以前的状态运行。

最后进入“确认服务更改”对话框，对以上所做的配置进行最终确认后，这样就完成了基于角色的服务配置。

3.开放端口，要注意网络安全

完成基于角色的服务配置后，各种服务器要在网络中为用户提供服务，就必须开放相应的服务端口。默认情况下，Windows防火墙是不允许这些服务端口通信的。因此，我们可以在SCW向导中开放通信端口。

进入“网络安全”对话框，在此可配置已经选中的服务器角色和其他Windows 2003服务所使用的端口。点击“下一步”按钮后，在“打开端口并允许应用程序”对话框中开放需要的端口（图2）。如FTP服务器需要的“20和21”端口，IIS服务需要的“80”端口等。只要在列表框中选择要开放的端口选项即可，最后确认端口配置。

4.修改注册表，增强服务器安全

很多网管利用修改注册表和组策略的方法增强服务器安全，但这种方法存在很大的风险性，错误修改了某个键值或安全策略，会导致服务器出现问题。利用SCW的注册表设置向导进行修改，既省事，又安全。

完成以上网络安全设置后，就进入到注册表设置向导对话框，利用设置向导来修改某些特殊的注册表键值，增强服务器安全。根据注册表设置向导的提示，分别完成对“出站身份验证方法”、“入站身份验证方法”等项目的设置即可。

5.配置审核策略，用好日志

Windows 2003服务器的日志就像一个“黑匣子”，可以记录系统中发生的一切，为服务器的稳定运行提供帮助。但记录太多的事件会浪费服务器资源，因此网管可以合理地选择审核目标，记录一些重要事件。

SCW提供了系统审核策略配置功能，免去了手工指定审核目标的麻烦。

进入“系统审核策略”配置对话框后，合理选择审核目标即可。建议大家选择“审核成功的操作”选项，这样一来，日志只记录成功的事件操作，而其他则会被忽略，节省了服务器资源。

当然，如果有特殊需要，也可以选择其他选项。如“不审核”或“审核成功或不成功的操作”选项。

6.IIS安全，要慎重

IIS服务器的脆弱性大家都知道，这次微软对IIS非常重视，在SCW中提供了“Internet信息服务”配置功能。

如果你的系统中已安装、运行了IIS服务器，完成了系统审核策略配置后，SCW就会对IIS服务进行安全配置，保证它能稳定运行。

进入“Internet信息服务”配置向导对话框后，按照提示和服务器的需要，分别设置IIS要启用的Web服务扩展、要保留的虚拟目录，以及设置匿名用户是否有写权限。以上设置过程比较简单，根据实际需要，启用所要的IIS项目即可。

完成以上配置后，还要保存配置的安全策略。在“安全策略文件名”对话框中，为配置的安全策略取名，最后在“应用安全策略”对话框中选择“现在应用”选项，使配置的安全策略生效。

现在，经过上述设置之后，Windows 2003服务器会变得更加安全、可靠，能够最大限度地抵御病毒和黑客的攻击。同时，使用SCW功能对Windows 2003系统进行安全方面的配置，非常简单，易于上手，极大地降低了网管的安全维护工作量。如果SP1补丁包已在你的Windows 2003系统中安家落户，不妨立刻试试SCW的神奇功效。