win 2003下提升安全配置向?qū)У姆椒?/h1>

時(shí)間：2012-11-14 10:39:12 作者：木木 來(lái)源：系統(tǒng)之家 1. 掃描二維碼隨時(shí)看資訊 2. 請(qǐng)使用手機(jī)瀏覽器訪問(wèn)： https://m.xitongzhijia.net/xtjc/20121114/18389.html 手機(jī)查看 評(píng)論  反饋

　　安全配置向?qū)�提供了根�?jù)角色創(chuàng)建或修改服務(wù)器的安全策略的便捷方法,可以使用組策略將該安全策略應(yīng)用于執(zhí)行相同角色的多個(gè)目標(biāo)服務(wù)器。還可以針對(duì)恢復(fù)目的，使用 SCW 將某個(gè)策略回滾到其以前配置。使用 SCW，可以將服務(wù)器的安全設(shè)置與所需的安全策略進(jìn)行比較，以檢查系統(tǒng)中有漏洞的配置。 而安全配置向?qū)в兄�于確定windows 2003 服務(wù)器上發(fā)生的事件并且實(shí)施保護(hù),今天就給大家介紹下如何使用此向?qū)?

　　安裝SP1或R2 時(shí)，安全配置向?qū)Р粫?huì)自動(dòng)安裝。需要采用下面的步驟進(jìn)行另外安裝：

　　點(diǎn)擊“開(kāi)始”|“設(shè)置”|“控制面板”

　　選擇“添加或刪除程序”

　　選擇“添加/刪除Windows組件”

　　選中“安全配置向?qū)?rdquo;復(fù)選框，點(diǎn)擊“下一步”。確保得到源媒體。

　　安裝完成后，在“開(kāi)始”中“所有程序”|“管理工具”|“安全配置向?qū)?rdquo;啟動(dòng)工具。

　　如果是初次運(yùn)行此工具，則需要提供一個(gè)服務(wù)器(在群組中每個(gè)服務(wù)器由于角色不同有不同安全策略)。在向?qū)е校�可以看到服�?wù)器角色的列表：包括服務(wù)器和客戶端。例如：可能有一臺(tái)服務(wù)器運(yùn)行SMS 2003 server，而另一臺(tái)機(jī)器安裝的是SMS 2003 client。為服務(wù)器選定一個(gè)角色�？梢赃x擇是否允許管理服務(wù)，例如BITS(后臺(tái)信息傳輸服務(wù))、瀏覽器、瀏覽器管理、遠(yuǎn)程桌面、AQL Server 代理等等。微軟不能在服務(wù)器上提供每個(gè)可能的服務(wù)，所以向?qū)б蔡峁┝?ldquo;忽略或限制”列表上沒(méi)有的服務(wù)選項(xiàng)。

　　除了服務(wù)，向?qū)н�允許啟用或停用TCP/IP端口。而且可以使用這個(gè)工具限制一臺(tái)計(jì)算機(jī)或一組IP地址登錄到指定的TCP/IP端口。例如，如果僅僅允許管理網(wǎng)絡(luò)許可的人員使用遠(yuǎn)程桌面創(chuàng)建連接，可以為子網(wǎng)限定端口為3389。

　　可以改變策略影響SMB文件處理和打印。例如，如果服務(wù)器有足夠的容量，則可以標(biāo)記所有的SMB通訊量，防止客戶端的兩面夾擊型的攻擊。同樣的方法也可以用于標(biāo)記LDAP通訊量。在此策略中，指示所有運(yùn)行windows 2000 SP3版本及以上版本的客戶端幫助保護(hù)網(wǎng)絡(luò)中的LDAP信息。

　　其它領(lǐng)域：

　　審計(jì)設(shè)置：確定是否能夠進(jìn)行審計(jì)并且審計(jì)成功登錄或者成功和不成功的活動(dòng)。

　　IIS：需要激活哪個(gè)IIS擴(kuò)展?例如ASP.NET 1.1、ASP.NET 2.0、Server Side Includes和WebDAV等等。需要激活哪個(gè)虛擬目錄?例如，可能想封鎖IISAdmin文件登錄目錄。

　　總之，安全配置向?qū)в行�極端的傾向，需要花很多時(shí)間調(diào)整到“恰如其分”的狀態(tài)，但是對(duì)于安全效果是很有裨益的�！≡赪indows Server 2003 SP1 和 R2中，微軟配置了一個(gè)新工具，它能夠幫助確定Windows Server 2003系統(tǒng)上運(yùn)行的程序，減少受攻擊的可能性。簡(jiǎn)言之，通過(guò)使用安全配置向?qū)�，能夠觀察到整個(gè)系統(tǒng)并停止不需要的功能。