应用SCW定制服务器安全设置

日期: 2016-06-27 作者:Brien Posey翻译:朱文浩 来源:TechTarget中国 英文

数年前,微软在其操作系统中采用了名为“Secure by Default”的(安全设置)方法。尽管相对于之前的安全设置已经有了长足的进步,但Windows Server默认应用的安全设置在某种程度上还是缺少针对性。默认安全设置是设定一个普遍适用于所有的组织的,最低限度的安全水平标准的最佳尝试。坚持自身独特的安全需求,是公司在发展安全策略方面的最大利益所在。

Windows Server的安全设置可以手动进行配置。同时,微软也提供了一种名为安全配置向导(Security Configuration Wizard,SCW)的工具帮助公司用一种适当的方式调整Windows Server安全设置。如图……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数年前,微软在其操作系统中采用了名为“Secure by Default”的(安全设置)方法。尽管相对于之前的安全设置已经有了长足的进步,但Windows Server默认应用的安全设置在某种程度上还是缺少针对性。默认安全设置是设定一个普遍适用于所有的组织的,最低限度的安全水平标准的最佳尝试。坚持自身独特的安全需求,是公司在发展安全策略方面的最大利益所在。

Windows Server的安全设置可以手动进行配置。同时,微软也提供了一种名为安全配置向导(Security Configuration Wizard,SCW)的工具帮助公司用一种适当的方式调整Windows Server安全设置。如图1所示,可在Server Manager Tools的工具菜单中选择运行Security Configuration Wizard。

图1. 可在Server Manager Tools的工具菜单中选择运行Security Configuration Wizard

图1. 可在Server Manager Tools的工具菜单中选择运行Security Configuration Wizard

SCW使用起来相对简单。向导会在一开始询问你是否愿意创建一套新的安全策略,还是编辑一套已存在的安全策略,亦或是应用一套已存在的安全策略或回滚之前曾经使用过的安全策略的(图2)。

图2. 是创建安全策略还是应用安全策略?Security Configuration Wizard会提供给用户几种选择

图2. 是创建安全策略还是应用安全策略?Security Configuration Wizard会提供给用户几种选择

首次运行SCW时,你需要创建一套全新的安全策略。在进行这一步时,用户可能会被问到一系列关于服务器的问题。例如,向导会问服务承担的是何种角色,以便于了解应该开放和关闭哪些防火墙端口。

随着问题回答完毕,SCW会创建用于配置服务器安全的XML文件。如果回到上文去仔细观察截图,不难发现向导中有一块区域是用来命名已存在的特定的策略文件的。创建文件完成后,便可以将其应用到服务器,或对文件内容进行编辑。

即使借助SCW能够将XML文件应用到服务器,这样做的效率也是不高的,因为这意味着你要单独为每个服务器进行安全策略的配置。更好的方法是将XML文件转换成群组策略的文件,批量处理。

要将基于XML的安全策略问价逆转为群组策略的文件,你需要打开高级Command Prompt窗口。紧接着,你可以用SCW的命令行接口(SCWCMD.EXE)来执行转换过程。你需要知道XML的文件路径和文件名,并且需要为转换后所生成的群组策略文件起一个名字。命令函数构成如下:

SCWCMD.EXE Transform /P:"<path and filename for the .XML file>" /G:"<group policy object name>"

相关的命令长这样:

SCWCMD.EXE Transform /P:"C:DataWindowsSecurityMSSCWPolicy.XML" /G:"My GPO"

虽然这命令相对简单,还是有两件事需要留心。其一,这一命令会在活动目录(Active Directory)内创建一个新的群组策略对象(Group Policy Object,GPO),但它不会将新的GPO与任何内容进行关联,需要你借助组策略管理工具(Group Policy Management Tool)手动关联这一新的群组策略对象。

其二,也是比较重要的一点,是基于SCW生成的安全策略都是围绕着服务器所承担的角色而创建的。例如,向导给网页服务器和文件服务器分别配置的策略很可能是有差异的。如果你想将其中一种安全策略转换为GPO,你必须考虑到将来如何应用他们。你无法为所有服务器应用群组安全策略,因为这样做意味着群组安全策略会凌驾于承担不同角色的服务器之上,而无法实现其最初的角色目的。因此依照服务器功能角色将他们分为不同级别的组织单元(organization unit,OU),也许需要将每个GPO与单独的OU进行关联。

必须承认的是,SCW的管理精度并不高。向导主要聚焦于服务器承担的角色、功能特性以及服务之上。因为是这样,许多公司将SCW作为服务器安全配置的一种入门工具来使用,而不认为由它配置的策略已经可以最大限度地加固公司的服务器。