Windows Server 2008 中的服务器安全策略管理

在 Windows Server 2008 中，您可以使用许多工具来确保计算机的安全。本文将着重介绍三种工具，您可以单独或配合使用这些工具来管理服务器上的安全策略：

• 安全配置向导 (SCW) 和 Scwcmd 命令行工具
  
  
• “安全模板”管理单元
  
  
• “安全配置和分析”管理单元
  
  

虽然这些工具不是全新的工具，但使用这些工具的方法是全新的。

备注本概述未包含保护网络和计算机安全的其他技术和工具，例如网络访问保护 (NAP)、Active Directory 域服务 (AD DS) 和组策略。

服务器安全策略管理能够确保在各种服务器配置随着时间发生变化时其安全设置仍为最新的设置。可通过以下策略管理操作来保护服务器的安全：

• 分析服务器的安全设置，以确保应用到服务器的策略适用于服务器角色。
  
  
• 在修改服务器配置时更新服务器策略。
  
  
• 为不包含在服务器管理器中的新应用程序角色或服务器角色创建策略。
  
  
• 使用安全策略管理工具来应用针对您所在环境的服务器安全策略设置。
  
  

在 Windows Server 2008 中，所设计的服务器在默认情况下是安全的。也就是说，在您通过服务器管理器安装角色、角色服务和功能时，将会自动配置特定服务器配置的安全设置。但是，您无法使用服务器管理器自定义更改安全设置。却可以使用安全策略管理工具进行这些更改。例如，如果需要修改特定服务器角色的设置，可以使用 SCW 轻松地编辑所提供的防火墙规则，以设置更具限制性的控制或访问权限。您可能需要安装服务器管理器中未提供的角色或功能，也可能需要轻松地为许多计算机部署策略更改。这都可以使用这些工具来完成上述以及其他的安全策略管理任务。

将根据所在组织的规模、安全要求以及修改服务器配置的频率来确定要使用哪些工具来保护服务器的安全。

使用 SCW 保护服务器

Windows Server 2008 中的 SCW 功能与 Windows Server 2003 Service Pack 1 (SP1) 中包含的此向导版本非常相似。您仍可以使用 SCW 创建和应用服务器安全策略，但是在大多数情况下，不需要使用 SCW 就可以在安装时保护服务器的安全。

在最初的服务器角色安装后，可以使用 SCW 检查服务器配置是否随着时间的变化产生了漏洞，并按要求对策略设置进行更新来保护服务器的安全。您可以在以下情形下使用 SCW 创建并应用服务器的安全策略：

• 在 Windows Server 2008 计算机上修改默认组件的配置。
  
  在更改未通过服务器管理器安装的组件配置时，需要使用 SCW 更新服务器的安全策略。
  
  
• 为未通过服务器管理器安装的服务器角色（例如 SQL Server 或 Exchange Server）创建并应用策略。
  
  SCW 包含许多无法使用服务器管理器安装的服务器角色和功能。
  
  
• 为非 Microsoft 应用程序定义新的角色，并为这些角色创建和应用策略。
  
  SCW 具有一个组织可用来创建新角色的公共架构。在添加或删除非 Microsoft 应用程序时运行 SCW。 
  
  

在中小型组织中，可以使用 SCW 中的默认设置快捷地创建一个策略，以帮助基于其角色保护服务器的安全并确保安全设置为最新状态。还可以将使用“安全模板”管理单元创建的自定义安全模板并入到 SCW 策略中。这样便允许包含除 SCW 设置之外的其他设置。然后使用该向导将 SCW 策略应用到本地计算机中，也可使用组策略将其应用到许多计算机中。

有关使用 SCW 的信息，请参阅安全配置向导。

使用安全模板创建自定义策略

在配置 Windows Server 2008 时，将自动应用符合大多数组织安全要求的策略。但是，在某些组织中可能需要对您网络的某些权限和本地策略作出更多的限制。在这种情况下，可以使用“安全模板”管理单元来创建自定义的安全策略。

备注在 Windows Server 2008 中，没有预定义的安全模板。

您可以使用“安全模板”管理单元，为计算机或网络创建安全策略。可以使用安全模板来定义以下安全领域的策略设置：

• 帐户策略：密码策略、帐户锁定策略、Kerberos 策略
  
  
• 本地策略：审核策略、用户权限分配和安全选项
  
  
• 事件日志：应用程序、系统和安全事件日志设置
  
  
• 受限组：安全敏感组的成员
  
  
• 系统服务：系统服务的启动和权限
  
  
• 注册表：注册表项的权限
  
  
• 文件系统：文件夹和文件的权限
  
  

使用模板格式创建自定义策略后，可以将其应用到不同的领域，其中包括：

• 将模板导入到基于角色的 SCW 策略中，并将其应用到一台或多台计算机中。
  
  
• 将模板导入到组策略对象 (GPO) 中，并通过组策略将其应用到多台计算机中。
  
  
• 使用“安全配置和分析”管理单元将模板应用到本地计算机中。
  
  

有关使用“安全模板”管理单元的信息，请参阅分析和配置安全性。

若要了解如何减少针对服务器计算机和客户端计算机的威胁，请参阅威胁和对策指南 (http://go.microsoft.com/fwlink/?LinkId=106667)（可能为英文网页）。此指南将包含所有安全设置，这些设置将为 Windows 操作系统所遭受的特定威胁提供对策。

使用组策略对象应用安全策略

此服务器版本与 Windows Server 2003 一样，您可以通过将模板或策略导入到 GPO 中，将“安全模板”管理单元创建的安全模板或 SCW 创建的策略应用到多台计算机中。创建 GPO 后，可以使用组策略管理控制台 (GPMC) 将 GPO 链接到目标组织单位 (OU)。有关使用 GPMC 的信息，请参阅组策略管理控制台 (http://go.microsoft.com/fwlink/?LinkId=105933)（可能为英文网页）。

有关使用 Windows Server 2008 中的 GPO 来应用安全策略的信息，请参阅 Windows Server 2008 安全指南 (http://go.microsoft.com/fwlink/?LinkId=105788)（可能为英文网页）。

分析服务器安全

还可以使用服务器安全策略管理工具，分析本地或远程计算机中的安全设置。通过常规分析可确保每台计算机都具有其相应的安全级别，以作为企业风险管理计划的一部分。您可以修改安全级别，尤为重要的是，可以检测系统随着时间的变化所出现的任何安全缺陷。

可以使用“安全配置和分析”管理单元或 SCW 来分析安全策略设置。

安全配置和分析

Windows Server 2008 未对如何使用“安全配置和分析”管理单元进行任何更改。您仍然可以使用此管理单元分析和配置本地计算机的安全。您可以使用此管理单元将本地计算机策略与分析数据库进行比较，以确定数据库中的所需设置是否与本地策略之间存在任何差异。还可以使用现有的数据库，或导入使用“安全模板”管理单元创建的一个或多个模板，以使用更新的设置创建新数据库。此分析提供了针对当前系统设置的一些建议，并使用可视标志或备注来突出显示当前设置与建议的安全级别不一致的任何部分。您可以解决分析暴露出来的任何差异，并使用导入的模板直接配置本地系统的安全。

有关使用“安全和配置分析”管理单元的信息，请参阅分析并配置安全性。

若要分析多台远程计算机，可以使用 SCW。

安全配置向导

可以使用 Scwcmd 命令行工具，分析本地计算机或多台远程计算机的安全策略设置。可以将服务器的当前安全设置与服务器配置的最新设置进行比较。使用 scwcmd analyze 以确定计算机是否符合使用该向导创建的指定策略。若要分析多台计算机，请指定要在分析中使用的策略文件以及要分析的计算机列表。然后，使用 scwcmd view 命令查看分析结果。