安全配置向?qū)�提供了根�?jù)角色創(chuàng)建或修改服務(wù)器的安全策略的便捷方法,可以使用組策略將該安全策略應(yīng)用于執(zhí)行相同角色的多個目標服務(wù)器。還可以針對恢復(fù)目的，使用 SCW 將某個策略回滾到其以前配置。使用 SCW，可以將服務(wù)器的安全設(shè)置與所需的安全策略進行比較，以檢查系統(tǒng)中有漏洞的配置。 而安全配置向?qū)в兄�于確定windows 2003 服務(wù)器上發(fā)生的事件并且實施保護,今天就給大家介紹下如何使用此向?qū)?

　　安裝SP1或R2 時，安全配置向?qū)Р粫�自動安裝。需要采用下面的步驟進行另外安裝：

　　點擊“開始”|“設(shè)置”|“控制面板”

　　選擇“添加或刪除程序”

　　選擇“添加/刪除Windows組件”

　　選中“安全配置向?qū)?rdquo;復(fù)選框，點擊“下一步”。確保得到源媒體。

　　安裝完成后，在“開始”中“所有程序”|“管理工具”|“安全配置向?qū)?rdquo;啟動工具。

　　如果是初次運行此工具，則需要提供一個服務(wù)器(在群組中每個服務(wù)器由于角色不同有不同安全策略)。在向?qū)е校�可以看到服�?wù)器角色的列表：包括服務(wù)器和客戶端。例如：可能有一臺服務(wù)器運行SMS 2003 server，而另一臺機器安裝的是SMS 2003 client。為服務(wù)器選定一個角色。可以選擇是否允許管理服務(wù)，例如BITS(后臺信息傳輸服務(wù))、瀏覽器、瀏覽器管理、遠程桌面、AQL Server 代理等等。微軟不能在服務(wù)器上提供每個可能的服務(wù)，所以向?qū)б蔡峁┝?ldquo;忽略或限制”列表上沒有的服務(wù)選項。

　　除了服務(wù)，向?qū)н�允許啟用或停用TCP/IP端口。而且可以使用這個工具限制一臺計算機或一組IP地址登錄到指定的TCP/IP端口。例如，如果僅僅允許管理網(wǎng)絡(luò)許可的人員使用遠程桌面創(chuàng)建連接，可以為子網(wǎng)限定端口為3389。

　　可以改變策略影響SMB文件處理和打印。例如，如果服務(wù)器有足夠的容量，則可以標記所有的SMB通訊量，防止客戶端的兩面夾擊型的攻擊。同樣的方法也可以用于標記LDAP通訊量。在此策略中，指示所有運行windows 2000 SP3版本及以上版本的客戶端幫助保護網(wǎng)絡(luò)中的LDAP信息。

　　其它領(lǐng)域：

　　審計設(shè)置：確定是否能夠進行審計并且審計成功登錄或者成功和不成功的活動。

　　IIS：需要激活哪個IIS擴展?例如ASP.NET 1.1、ASP.NET 2.0、Server Side Includes和WebDAV等等。需要激活哪個虛擬目錄?例如，可能想封鎖IISAdmin文件登錄目錄。

　　總之，安全配置向?qū)в行�極端的傾向，需要花很多時間調(diào)整到“恰如其分”的狀態(tài)，但是對于安全效果是很有裨益的。　在Windows Server 2003 SP1 和 R2中，微軟配置了一個新工具，它能夠幫助確定Windows Server 2003系統(tǒng)上運行的程序，減少受攻擊的可能性。簡言之，通過使用安全配置向?qū)В�能夠觀察到整個系統(tǒng)并停止不需要的功能。