Windows;Server;2003是大家最常用的服務(wù)器操作系統(tǒng)之一。雖然它提供了強(qiáng)大的網(wǎng)絡(luò)服務(wù)功能，并且簡單易用，但它的安全性一直困擾著眾多網(wǎng)管，如何在充分利用Windows;Server;2003提供的各種服務(wù)的同時，保證服務(wù)器的安全穩(wěn)定運(yùn)行，最大限度地抵御病毒和安全的入侵。Windows;Server;2003;SP1中文版補(bǔ)丁包的發(fā)布，恰好解決這個問題，它不但提供了對系統(tǒng)漏洞的修復(fù)，還新增了很多易用的安全功能，如安全配置向?qū)В⊿CW）功能。利用SCW功能的“安全策略”可以最大限度增強(qiáng)服務(wù)器的安全，并且配置過程非常簡單，下面就一起來看吧！; 厲兵秣馬;先裝“SCW”; 大家都很清楚，Windows;Server;2003系統(tǒng)為增強(qiáng)其安全性，默認(rèn)情況下，很多服務(wù)組件是不被安裝的，要想使用，必須手工安裝。“SCW”功能也是一樣，雖然你已經(jīng)成功安裝了補(bǔ)丁包SP1，但也需要手工安裝“安全配置向?qū)В⊿CW）”組件。; 進(jìn)入“控制面板”后，運(yùn)行“添加或刪除程序”，然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向?qū)А睂υ捒蛑羞x中“安全配置向?qū)А边x項，最后點擊“下一步”按鈕后，就能輕松完成“SCW”組件的安裝。; 安裝過程就這么簡單，接下來就能根據(jù)自身需要，利用“SCW”配置安全策略，增強(qiáng)Windows;Server;2003服務(wù)器安全。; 配置“安全策略”;原來如此“簡單”; 在Windows;Server;2003服務(wù)器中，點擊“開始→運(yùn)行”后，在運(yùn)行對話框中執(zhí)行“SCW.exe”命令，就會彈出“安全配置向?qū)А睂υ捒颍_始你的安全策略配置過程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后，執(zhí)行“安全配置向?qū)А笨旖莘绞絹韱⒂谩癝CW”。; 1．新建第一個“安全策略”; 如果你是第一次使用“SCW”功能，首先要為Windows;Server;2003服務(wù)器新建一個安全策略，安全策略信息是被保存在格式為XML;的文件中的，并且它的默認(rèn)存儲位置是“C:/WINDOWS/security/msscw/Policies”。因此一個Windows;Server;2003系統(tǒng)可以根據(jù)不同需要，創(chuàng)建多個“安全策略”文件，并且還可以對安全策略文件進(jìn)行修改，但一次只能應(yīng)用其中一個安全策略。; 在“歡迎使用安全配置向?qū)А睂υ捒蛑悬c擊“下一步”按鈕，進(jìn)入到“配置操作”對話框，因為是第一次使用“SCW”，這里要選擇“創(chuàng)建新的安全策略”單選項，點擊“下一步”按鈕，就開始配置安全策略。; 2．輕松配置“角色”; 首先進(jìn)入“選擇服務(wù)器”對話框，在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows;Server;2003服務(wù)器的機(jī)器名或IP地址，點擊“下一步”按鈕后，“安全配置向?qū)А睍幚戆踩渲脭?shù)據(jù)庫。; 接著就進(jìn)入到“基于角色的服務(wù)配置”對話框。在基于角色的服務(wù)配置中，可以對Windows;Server;2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序，以及管理選項等內(nèi)容進(jìn)行配置。; 所謂服務(wù)器“角色”，其實就是提供各種服務(wù)的Windows;Server;2003服務(wù)器，如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等;，;一個Windows;Server;2003服務(wù)器可以只提供一種服務(wù)器“角色”，也可以扮演多種服務(wù)器角色。點擊“下一步”按鈕后，就進(jìn)入到“選擇服務(wù)器角色”配置對話框，這時需要在“服務(wù)器角色列表框”中勾選你的Windows;Server;2003服務(wù)器所扮演的角色。; 注意：為了保證服務(wù)器的安全，只勾選你所需要的服務(wù)器角色即可，選擇多余的服務(wù)器角色選項，會增加Windows;Server;2003系統(tǒng)的安全隱患。如筆者的Windows;Server;2003服務(wù)器只是作為文件服務(wù)器使用，這時只要選擇“文件服務(wù)器”選項即可。; 進(jìn)入“選擇客戶端功能”標(biāo)簽頁，來配置Windows;Server;2003服務(wù)器支持的“客戶端功能”，其實Windows;Server;2003服務(wù)器的客戶端功能也很好理解，服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時，也需要一些客戶端功能的支持才行，如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要，在列表框中勾選你所需的客戶端功能即可，同樣，對于不需要的客戶端功能選項，建議你一定要取消對它的選擇。; 接下來進(jìn)入到“選擇管理和其它選項”對話框，在這里選擇你需要的一些Windows;Server;2003系統(tǒng)提供的管理和服務(wù)功能，操作方法是一樣的，只要在列表框中勾選你需要的管理選項即可。點擊“下一步”后，還要配置一些Windows;Server;2003系統(tǒng)的額外服務(wù)，這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。; 然后進(jìn)入到“處理未指定的服務(wù)”對話框，這里“未指定服務(wù)”是指，如果此安全策略文件被應(yīng)用到其它Windows;Server;2003服務(wù)器中，而這個服務(wù)器中提供的一些服務(wù)沒有在安全配置數(shù)據(jù)庫中列出，那么這些沒被列出的服務(wù)該在什么狀態(tài)下運(yùn)行呢？在這里就可以指定它們的運(yùn)行狀態(tài)，建議大家選中“不更改此服務(wù)的啟用模式”單選項。最后進(jìn)入到“確認(rèn)服務(wù)更改”對話框，對你的配置進(jìn)行最終確認(rèn)后，就完成了基于角色的服務(wù)配置。; 3．配置網(wǎng)絡(luò)安全; 以上完成了基于角色的服務(wù)配置。但Windows;Server;2003服務(wù)器包含的各種服務(wù)，都是通過某個或某些端口來提供服務(wù)內(nèi)容的，為了保證服務(wù)器的安全，Windows防火墻默認(rèn)是不會開放這些服務(wù)端口的。下面就可以通過“網(wǎng)絡(luò)安全”配置向?qū)ч_放各項服務(wù)所需的端口，這種向?qū)Щ渲眠^程與手工配置Windows防火墻相比，更加簡單、方便和安全。; 在“網(wǎng)絡(luò)安全”對話框中，要開放選中的服務(wù)器角色，Windows;Server;2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應(yīng)用程序”對話框中開放所需的端口，如FTP服務(wù)器所需的“20和21”端口，IIS服務(wù)所需的“80”端口等，這里要切記“最小化”原則，只要在列表框中選擇要必須開放的端口選項即可，最后確認(rèn)端口配置，這里要注意：其它不需要使用的端口，建議大家不要開放，以免給Windows;Server;2003服務(wù)器造成安全隱患。; 4．注冊表設(shè)置; Windows;Server;2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù)，但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問，如安全和病毒攻擊。如何保證服務(wù)器的安全，最大限度地限制非法用戶訪問，通過“注冊表設(shè)置”向?qū)Ь湍茌p松實現(xiàn)。; 利用注冊表設(shè)置向?qū)В薷腤indows;Server;2003服務(wù)器注冊表中某些特殊的鍵值，來嚴(yán)格限制用戶的訪問權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾荆约胺?wù)器的服務(wù)需要，分別對“要求SMB安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”進(jìn)行嚴(yán)格設(shè)置，就能最大限度保證Windows;Server;2003服務(wù)器的安全運(yùn)行，并且免去手工修改注冊表的麻煩。; 5．啟用“審核策略”; 聰明的網(wǎng)管會利用日志功能來分析服務(wù)器的運(yùn)行狀況，因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅Ｖ匾摹CW功能也充分的考慮到這些，利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。; 在“系統(tǒng)審核策略”配置對話框中要合理選擇審核目標(biāo)，畢竟日志記錄過多的事件會影響服務(wù)器的性能，因此建議用戶選擇“審核成功的操作”選項。當(dāng)然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。; 6．增強(qiáng)IIS安全; IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù)，也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來保證IIS服務(wù)器的安全運(yùn)行，最大限度免受安全和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“安全配置向?qū)А笨梢暂p松的增強(qiáng)IIS服務(wù)器的安全，保證其穩(wěn)定、安全運(yùn)行。; 在“Internet信息服務(wù)”配置對話框中，通過配置向?qū)В瑏磉x擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄，以及設(shè)置匿名用戶對內(nèi)容文件的寫權(quán)限。這樣IIS服務(wù)器的安全性就大大增強(qiáng)。; 小提示：如果你的Windows;Server;2003服務(wù)器沒有安裝、運(yùn)行IIS服務(wù)，則在SCW配置過程中不會出現(xiàn)IIS安全配置部分。; 完成以上幾步配置后，進(jìn)入到保存安全策略對話框，首先在“安全策略文件名”對話框中為你配置的安全策略起個名字，最后在“應(yīng)用安全策略”對話框中選擇“現(xiàn)在應(yīng)用”選項，使配置的安全策略立即生效。; 利用SCW增強(qiáng)Windows;Server;2003服務(wù)器的安全性能就這么簡單，所有的參數(shù)配置都是通過向?qū)Щ瘜υ捒蛲瓿傻模馊チ耸止し爆嵉呐渲眠^程，SCW功能的確是安全性和易用性有效的結(jié)合點。如果你的Windows;Server;2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包，不妨試試SCW吧！