【正文】 導(dǎo) ”( (Windows Server 2020)（可能為英文網(wǎng)頁(yè)） ? 第 13 頁(yè) 共 53 頁(yè) windows server 2020 WEB 服務(wù)器安全初級(jí)設(shè)置篇 以下配置僅供參考，如有問(wèn)題，歡迎大家指正。 完成 scwcmd transform 命令后，便已經(jīng)在 AD DS 中創(chuàng)建了 GPO，但不會(huì)應(yīng)用它包含的策略，直到將 GPO 鏈接到某個(gè)站點(diǎn)、域或 OU。 采用 GPO 格式保存 SCW 安全策略的步驟 在命令提示符下，鍵入： scwcmd transform /p: /g: GPOName 第 12 頁(yè) 共 53 頁(yè) 是您早期使用 SCW 創(chuàng)建的策略。此步驟采用 GPO 格式保存策略。這兩個(gè)文件必須位于同一目錄中。 完成分析后，鍵入： scwcmd view /x: /s: 使用在上一步中創(chuàng)建的分析結(jié)果文件替換 。為此，需要首先分析服務(wù)器設(shè)置。 您可以在命令提示符下鍵入 scwcmd configure 了解這些參數(shù)。 使用 Scwcmd 命令行工具將安全策略應(yīng)用于多臺(tái)計(jì)算機(jī)的步驟 在命令提示符下，鍵入： 第 11 頁(yè) 共 53 頁(yè) scwcmd configure i: 包 含 計(jì) 算 機(jī) 和 要 應(yīng) 用 的 相 應(yīng) 策 略 列 表 。 在 “應(yīng)用安全策略 ”頁(yè)上，等待處理完成，然后單擊 “下一步 ”。 在 “應(yīng) 用安全策略 ”頁(yè)上，單擊 “下一步 ”。 如果已經(jīng)創(chuàng)建了多個(gè)策略，則單擊 “瀏覽 ”，然后雙擊策略的名稱。 在 “歡迎使用 ”頁(yè)上，單擊 “下一步 ”。在此步驟的第二部分中，使用 Scwcmd 將策略應(yīng)用于一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī)。 此時(shí)，您便創(chuàng)建并保存了該策略，但該策略尚未應(yīng)用于計(jì)算機(jī) 。 在 “應(yīng)用安全策略 ”頁(yè)上，單擊 “稍后應(yīng)用 ”，然后單擊 “下一步 ”。 備注 默認(rèn)情況下，基于 XML 的策略文件保存在服務(wù)器的安裝文件夾（通常位于 C:\Windows）下的 Security\msscw\policies 文件夾中。 在 “安全策略文件名 ”頁(yè)上，鍵入原型策略的名稱，然后單擊 “下一步 ”。 備注 注冊(cè)表設(shè)置和審核 策略是可選的選項(xiàng)，在此方案中將不對(duì)其進(jìn)行配置。 在 “注冊(cè)表設(shè)置 ”頁(yè)上，選中 “跳過(guò)這一部分 ”復(fù)選框，然后單擊 “下一步 ”。 在 “網(wǎng)絡(luò)安全 ”頁(yè)上，單擊 “下一步 ”。任何未知的服務(wù)將出現(xiàn)在 “未指定的服務(wù) ”頁(yè)的 SCW 中。 備注 未指定的服務(wù)是未出現(xiàn)在 “安全配置數(shù)據(jù)庫(kù) ”中的服務(wù)，這些服務(wù)當(dāng)前未安裝在所選服務(wù)器上，但是可能已安裝在要應(yīng)用安全策略的其他服務(wù)器上。 備注 第 9 頁(yè) 共 53 頁(yè) 如果您將原型服務(wù)器配置為具有所有所需的角色并且安裝了任何其他所需的軟件（如備份代理或防病毒軟件），則應(yīng)該不需要修改任何以前的 “基于角色的服務(wù)配置 ”頁(yè)。 在 “選擇管理和其他選項(xiàng) ”頁(yè)上，確保向?qū)z測(cè)到并 選擇原型服務(wù)器上安裝的所有選項(xiàng)，然后單擊 “下一步 ”。 在 “選擇服務(wù)器角色 ”頁(yè)上，確保向?qū)z測(cè)到并選擇原型服務(wù)器上安裝的所有服務(wù)器角色，然后單擊 “下一步 ”。 此時(shí)，根據(jù)服務(wù)器角色配置 “安全配置數(shù)據(jù)庫(kù) ”。 備注 默認(rèn)情況下，選擇本地計(jì)算機(jī)。 在 “配置操作 ”頁(yè)上，單擊 “新建安全策略 ”，然后單擊 “下一步 ”。 根據(jù)原型服務(wù)器創(chuàng)建和應(yīng)用安全策略的步驟 單擊 「開(kāi)始」 ，指向 “管理工具 ”，然后單擊 “安全配置向?qū)?”。 第 8 頁(yè) 共 53 頁(yè) 在此方案中，將根據(jù)代表生產(chǎn)環(huán)境 中服務(wù)器的原型服務(wù)器的現(xiàn)有配置創(chuàng)建安全策略。 ? 一個(gè) Active Directory 服務(wù)器 OU 結(jié)構(gòu)，其中一個(gè) OU 中的服務(wù)器具有相同配置，包括代表您的生產(chǎn)環(huán)境的操作系統(tǒng)、角色和功能以及應(yīng)用程序。在基于 Windows Server 2020 的計(jì)算機(jī)上創(chuàng) 建的 SCW 策略與在基于 Windows Server 2020 的計(jì)算機(jī)上創(chuàng)建的 SCW 策略不兼容。 ? 配置將應(yīng)用安全策略的服務(wù)器的方法與配置原型服務(wù)器的方法相同。 重要事項(xiàng) 將禁用不需要的服務(wù)，如果在 SCW 的 “網(wǎng)絡(luò)安全 ”部分配置了設(shè)置，將刪除不需要的防火墻規(guī)則。可以通過(guò)服務(wù)器管理器安裝角色特定的組件。 ? ? 可以使用組策略來(lái)部署使用 SCW 創(chuàng) 建的安全策略。安全模板包含的安全設(shè)置要多于可以使用 SCW 設(shè)置的安全設(shè)置。 使用 SCW 時(shí)應(yīng)注意下列事項(xiàng)： ? SCW 禁用不需要的服務(wù)并提供對(duì) “高級(jí)安全 Windows 防火墻 ”的支持。將應(yīng)用原型安全策略的服務(wù)器還必須運(yùn)行 Windows Server 2020。因此，在將新的安全策略應(yīng)用于生產(chǎn)服務(wù)器之前，應(yīng)仔細(xì)測(cè)試這些策略。 ? ? 部署之前脫機(jī)測(cè)試新的安全策略。對(duì)于特定于 64 位版本軟件的服務(wù)或端口，在 64 位計(jì)算機(jī)上創(chuàng)建策略。一個(gè)包含特定類型服務(wù)器所需的所有安全設(shè)置的安全策略也可以簡(jiǎn)化配置、回滾和分析。可以用相同的安全策略配置執(zhí)行相同或非常相似的功能的其他服務(wù)器。 ? 第 6 頁(yè) 共 53 頁(yè) ? 為一組服務(wù)器創(chuàng)建一個(gè)策略 。為了簡(jiǎn)化策略分發(fā)，將執(zhí)行相同功能且具有相同配置的服務(wù)器分組在一個(gè) OU 中。將安全策略應(yīng)用于其他服務(wù)器時(shí)， DCOM Server Process Launcher 服務(wù)將在其他服務(wù)器上被禁用。安全策略禁用服務(wù)器上包含在 “安全配置數(shù)據(jù)庫(kù) ”中，但創(chuàng)建策略時(shí)不在原型服務(wù)器上的任何服務(wù)。 ? 在服務(wù)級(jí)別配置目標(biāo)服務(wù)器之后，建立原型服務(wù)器的模型。管理員可以通過(guò)在創(chuàng)建安全策略之前確定執(zhí)行相同或相似任務(wù)的服務(wù)器組來(lái)簡(jiǎn)化策略創(chuàng)建和分發(fā)。 重要事項(xiàng) 如果在 SCW 的 “網(wǎng)絡(luò)安全 ”部分配置了設(shè)置，將刪除不需要的防火墻規(guī)則。這種功能簡(jiǎn)化了網(wǎng)絡(luò)強(qiáng)化的管理。 SCW 將 “高級(jí)安全 Windows 防火墻 ”配置為允許到操作系統(tǒng)要求的重要端口以及偵聽(tīng)?wèi)?yīng)用程序的入站網(wǎng)絡(luò)流量。 SCW 能夠更詳細(xì)的控制服務(wù)器的受攻擊面，并且可以幫助您根據(jù)組織 的安全需要保護(hù)服務(wù)器的安全，防止攻擊。 服務(wù)器管理器和 SCW 是兩個(gè)互補(bǔ)的工具。同樣，當(dāng)使用服務(wù)器管理器刪除任何特定 第 5 頁(yè) 共 53 頁(yè) 角色時(shí)，會(huì)修改服務(wù)器的服務(wù)和防火墻配置，以幫助確保服務(wù)器的配置仍然安全并且其他服務(wù)器角色的操作不會(huì)受到影響。 ? 服務(wù)器管理器 對(duì)于 Windows Server 2020，默認(rèn)情況下使用建議的安全設(shè)置配置服務(wù) 器角色，并且只要安裝該角色就應(yīng)用這些設(shè)置。 ? ? 與在附加到 .xml 策略文件的 .inf 安全模板中設(shè)置的沖突策略相比，在 SCW 中設(shè)置的安全策略具有較高的優(yōu)先級(jí)。 ? ? 創(chuàng)建每個(gè) GPO 的方式（是否使用 Scwcmd）不會(huì)影響 GPO 之間的優(yōu)先級(jí)。但是，如果您同時(shí)使用這兩種方法，則使用優(yōu)先規(guī)則來(lái)解決沖突的策略設(shè)置。相反，安全模板可以包含不能使用 SCW 進(jìn)行配置的軟件限制策略之類的項(xiàng)目。 某些安全設(shè)置可以使用 SCW 或 “安全模板 ”管理單元進(jìn)行更改，某些安全設(shè)置只能使用 SCW 進(jìn)行更改，而其他安全設(shè)置只能使用 “安全模板 ”管理單元進(jìn)行更改。安全模板是一些 .inf 文件，其默認(rèn)位置為 %Systemroot%\security\templates。鏈接是將 GPO 應(yīng)用于 OU 中的用戶和計(jì)算機(jī)的機(jī)制。 組策略管理控制臺(tái) 組策略管理控制臺(tái) (GPMC) 已集成到 Windows Server 2020 操作系統(tǒng)中。 域服務(wù) (AD DS) 組織單位 (OU) 通過(guò) GPO 將 SCW 策略輕松應(yīng)用于服務(wù)器。此部分回顧了這些選項(xiàng)以及它們?nèi)绾斡绊憫?yīng)用于安全設(shè)置的優(yōu)先規(guī)則。 技術(shù)回顧 此部分簡(jiǎn)要介紹與使用 SCW 創(chuàng)建和應(yīng)用安全策略有關(guān)的其他技術(shù)。 可以通過(guò)為非 Microsoft 應(yīng)用程序創(chuàng)建自定義角色定義擴(kuò)展安全配置數(shù)據(jù)庫(kù)。選擇了 服務(wù)器之后，將掃描該服務(wù)器，以確定下列事項(xiàng)： ? 服務(wù)器上已安裝的角色 ? ? 服務(wù)器可能正在執(zhí)行的角色 ? ? 已安裝但是未在安全配置數(shù)據(jù)庫(kù)中的服務(wù) ? ? 為服務(wù)器配置的 IP 地址和子網(wǎng) ? SCW 將此服務(wù)器特定的信息合并到一個(gè)名為 的 XML 文件中。 ? 安全配置數(shù)據(jù)庫(kù) 安全配置數(shù)據(jù)庫(kù)由一組 XML 文檔組成，這些文檔列出 SCW 支持的每個(gè)服務(wù)器角色所需的服務(wù)和端口。 ? ? 分析并查看服務(wù)器的安全策略。 ? 可以使用 Scwcmd 在運(yùn)行 Windows Server 2020 的遠(yuǎn)程服務(wù)器上配置、分析或回滾策略。 ? ? 將 SCW 生成的策略轉(zhuǎn)換為組策略支持的文件。 ? ? 查看采用 HTML 格式的分析結(jié)果。可以使用 Scwcmd 來(lái)執(zhí)行以下任務(wù)： ? 使用 SCW 生成的策略配置一臺(tái)或多臺(tái)服務(wù)器。 在此方案中，您將使用 SCW 來(lái)創(chuàng)建策略并將其應(yīng)用于原型服務(wù)器。 組件 可以使用三個(gè)主要的組件來(lái)創(chuàng)建和應(yīng)用安全策略： ? SCW 第 2 頁(yè) 共 53 頁(yè) ? ? Scwcmd 命令行工具 ? ? 安全配置數(shù)據(jù)庫(kù) ? SCW SCW 將指導(dǎo)您完成根據(jù)使用服務(wù)器管理器配置的服務(wù)器角色創(chuàng)建、編輯、應(yīng)用或回滾安全策略的過(guò) 程。 ? 建立策略原型 在 SCW 上下文中， “建立策略原型 ”意味著在原型計(jì)算機(jī)上為具有相同角色的一組服務(wù)器創(chuàng)建一個(gè)安全策略。 ? ? 使用 Scwcmd 命令行工具查看和分析此安全策略。 當(dāng)您繼續(xù)此方案時(shí)，將執(zhí)行以下任務(wù)： ? 使用 SCW 根據(jù)服務(wù)器的角色為服務(wù)器創(chuàng)建一個(gè)包含所有所需安全設(shè)置的安全策略。 使用代表您的生產(chǎn)環(huán)境中服務(wù)器配置的原型服務(wù)器執(zhí)行本指南中的步驟（在測(cè)試方案中）。 方案概述 影響多臺(tái)計(jì)算機(jī)的設(shè)置、配置或行為的任何技術(shù)的 安全使用要求在部署之前進(jìn)行規(guī)劃。使用 SCW 可幫助在使用服務(wù)器管理器初始安裝角色之后維護(hù)安全的服務(wù)器配置。 第 1 頁(yè) 共 53 頁(yè) 安全策略循序漸近指南：創(chuàng)建和部署基于角色的策略 更新時(shí)間 : 2020年 5月 應(yīng)用到 : Windows Server 2020 在 Windows Server174。 2020 操作系統(tǒng)中，可以使用安全配置向?qū)? (SCW) 通過(guò)修改角色、角色服務(wù)和功能的安全設(shè)置來(lái)減少服務(wù)器的受攻擊面。 關(guān)于本指南 本指南提供在測(cè)試環(huán)境中使用 SCW 創(chuàng)建安全策略并將其應(yīng)用于原型服務(wù)器的循序漸進(jìn)步驟。 SCW 的安全使用包括在生產(chǎn)環(huán)境中應(yīng)用策略之前測(cè)試工具和策略。驗(yàn)證了創(chuàng)建的 SCW 策略并在為您的原型服務(wù)器提供所需的安全性的此測(cè)試方案中應(yīng)用之后，可以將在測(cè)試環(huán)境中創(chuàng)建的策略應(yīng)用于生產(chǎn)環(huán)境中的服務(wù)器。 ? ? 使用 SCW 和 Scwcmd 命令行工具將此安全策略應(yīng)用于目標(biāo)計(jì)算機(jī)。 ? ? 使用 Scwcmd 命令行工具將安全策略保存為組策略對(duì)象 (GPO) 格式。原型計(jì)算機(jī)為模型服務(wù)器，其配置代表組中的每臺(tái)計(jì)算機(jī)。使用 SCW 創(chuàng)建的安全策略是 XML 文件，應(yīng)用該文件后，可以配置服務(wù)、網(wǎng)絡(luò)安全、特定注冊(cè)表值和審核策略。 Scwcmd 命令行工具 SCW 包含 命令行工具。 ? ? 針對(duì) SCW 生成的策略分析一臺(tái)或多臺(tái)服務(wù)器。 ? ? 回滾 SCW 策略。 ? ? 使 用 SCW 注冊(cè)安全配置數(shù)據(jù)庫(kù)擴(kuò)展。 在此方案中，將使用 Scwcmd 執(zhí)行以下操作： ? 將安全策略應(yīng)用于一臺(tái)或多臺(tái)遠(yuǎn)程服務(wù)器。 第 3 頁(yè) 共 53 頁(yè) ? ? 采用 GPO 格式保存策略。這些文件安裝在 %Systemroot%\Security\Msscw\Kbs 中。如果單擊 “處理安全配置數(shù)據(jù)庫(kù) ”頁(yè)上的 “查看安全配置數(shù)據(jù)庫(kù) ”， SCW 將顯示 。 SCW 在 %Systemroot%\Security\Msscw\Kbs 目錄 中包含許多擴(kuò)展，可用來(lái)構(gòu)建新的擴(kuò)展（角色定義）。當(dāng)使用 SCW 創(chuàng)建安全策略時(shí)，您擁有用于應(yīng)用該策略的不同選項(xiàng)。 在 Active Directory 環(huán)境中應(yīng)用策略 對(duì)于遠(yuǎn)程管理，您可以使用 Active Directory174。使用 SCW 為服務(wù)器創(chuàng)建原型策略之后，通過(guò)使用 Scwcmd 命令行工具將其轉(zhuǎn)換為 GPO，然后您只需將此 GPO 鏈接到一個(gè)或多個(gè) OU。您可以使用 GPMC 將 GPO 鏈接到 OU。 有 關(guān) 使 用 GPMC 跨 企 業(yè) 管 理 組 策 略 的 信 息 ， 請(qǐng) 參 閱 “ 組 策 略 管 理 控 制 第 4 頁(yè) 共 53 頁(yè) 臺(tái) ”( 安全模板 除了使用 SCW 創(chuàng)建安全策略之外，還可以使用 SCW 通過(guò)安全模板應(yīng)用安全設(shè)置。您可以在 GPMC 中的以下位置查看安全模板設(shè)置： GPO_Nam