SCW配置Web服务器实战：网络安全教程

Windows Server 2003是目前最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows Server 2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单，SCW给配置安全的服务器带来了许多便利。

下面介绍SCW配置的详细过程。

1.安装SCW

安装方法很简单，进入“控制面板”，运行“添加或删除程序”，然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项。如图6-20所示，然后单击“下一步”按钮就可以完成SCW的安装。

2.启动SCW

安装完SCW后，单击“开始”按钮，选择“程序”中的“管理工具”，再选择“安全配置向导”，就可以启动安全配置向导了。如图6-21和图6-22所示。

图6-20 安装SCW

图6-21 启动安全配置向导

启动安全配置向导后，单击“下一步”按钮，就进入安全配置了。

3.创建新的安全策略

1）在图6-23中选择“创建新的安全策略”单选钮，单击“下一步”按钮。

图6-22 安全配置向导的启动界面

图6-23 “配置操作”对话框

2）在图6-24中输入安装计算机的名字“WIN2003”，并单击“下一步”按钮。

3）等待计算机完成初始化安全配置数据库，如图6-25所示，并单击“下一步”按钮。

图6-24 “选择服务器”对话框

图6-25 初始化配置数据库

4.配置服务器角色

1）在进入到“基于角色的服务配置”对话框中，如图6-26所示，单击“下一步”按钮。

2）在图6-27中可以选择服务器在网络中所扮演的角色。根据需要选择“Web服务器”，把其他前面的对勾去掉，单击“下一步”按钮。

图6-26 “基于角色的服务配置”安装初始界面

图6-27 “选择服务器角色”对话框

3）由于只需要Web服务，不需要别的客户端功能，所以把除了“IIS5.0兼容模式”和“IPsec服务”之外的所有的勾都去掉。如图6-28所示，单击“下一步”。

4）同样的道理去掉其他不需要的服务，为了服务器的安全选择IIS5.0兼容模式，IPsec是服务器安全中很重要的一项，所以需要选中它。如图6-29所示，单击“下一步”按钮。

图6-28 “选择客户端功能”对话框

图6-29 “安装管理和其他选项”对话框

5）其他服务中不需要的统统去掉。如果有其他必要的，比如服务器上的瑞星杀毒软件网络版等就选中它。如图6-30所示，单击“下一步”按钮。

6）在图6-31中，选择“禁用此服务”。单击“下一步”按钮。这一步是为了以后有可能安装其他的服务或者其他一些不包含在win2003中的服务。

7）接下来是确认更改服务，这里列出了服务器中禁用和启动的一些服务项目，如图6-32所示，单击“下一步”按钮。

图6-30 “选择其他服务”对话框

图6-31 “处理未指定服务”对话框

5.网络安全配置

1）紧接着就进入了“网络安全”的配置向导。如图6-33所示，单击“下一步”按钮。

图6-32 “确认服务更改”对话框

图6-33 “网络安全”配置向导

2）因为要配置的是Web服务器，所以除了http服务的80端口外，其他一律去掉，如图6-34所示，单击“下一步”按钮。

3）接下来列出了所有列出和关闭的端口，可以看到除了80端口外，一些其他的常见端口（比如3389）都关闭了。如图6-35所示，单击“下一步”按钮。

图6-34 “打开端口并允许应用程序”对话框

图6-35 “确认端口配置”对话框

6.注册表安全设置(www.xing528.com)

1）进入“注册表设置”，如图6-36所示，单击“下一步”按钮。

2）接下来的“SMB选项”根据自己需要设置，如图6-37所示。

图6-36 注册表设置向导

图6-37 SMB选项设置

3）如图6-38所示为局域网的配置，可根据自己需要来配置，也可以都不选。单击“下一步”按钮。

4）在图6-39中，还是关于局域网里面的设置，根据需要设置即可。单击“下一步”按钮。

图6-38 “出站身份验证方法”对话框

图6-39 “入站身份验证方法”对话框

5）即将完成对于注册表的安全设置，列出了改动的选项，如图6-40所示，确认无误后，单击“下一步”按钮。

7.审核策略设置

1）接下来进入“审核策略”的设置，如图6-41所示。单击“下一步”按钮。

2）在图6-42中，选择审核成功的策略，单击“下一步”按钮。

3）在图6-43中，根据上一步的设置列出的策略摘要，单击“下一步”按钮。

8.IIS安全设置

1）在审核策略配置完成后，就进入到如图6-44所示的IIS的设置了。单击“下一步”按钮。

2）由于需要用ASP，所以选中“Active Server Page”和“FrontPage Server Extensions2002”，其他的都去掉，如图6-45所示，单击“下一步”按钮。

图6-40 注册表设置摘要信息

图6-41 “审核策略”配置向导

图6-42 系统审核策略设置

图6-43 审核策略摘要

图6-44 IIS安全设置向导

图6-45 “Web服务扩展”设置对话框

3）由于IIS的“默认虚拟路径”有可能对于服务器造成风险，所以全部不保留。如图6-46所示，单击“下一步”按钮。

4）在图6-47中，把“拒绝匿名用户对内容文件的写权限”选中，单击“下一步”按钮。

图6-46 “IIS默认虚拟路径”设置对话框

图6-47 “阻止匿名用户访问内容文件”对话框

5）即将完成IIS的设置，出现如图6-48所示的IIS设置摘要信息，确认无误后，单击“下一步”按钮。

9.保存并使用配置

1）进入到如图6-49所示界面，安全策略配置完成了，单击“下一步”按钮。

图6-48 IIS设置摘要信息

图6-49 保存安全策略

2）在图6-50中，给安全策略保存的文件起一个名字“my2003”。单击“下一步”按钮。

3）在图6-51中，选中“现在应用”单选钮，单击“下一步”按钮。

4）到图6-52所示界面，Web服务器的安全配置完成了。

图6-50 安全策略文件命名

图6-51 应用安全策略

图6-52 完成安全配置向导